Pentest e seus objetivos
Pentest, como o nome sugere, é um ataque cibernético simulado contra o sistemas de seu computador para verificar vulnerabilidades que possam ser exploradas no ambiente da organização. O conceito e os objetivos subjacentes para descobrir possíveis vulnerabilidades na segurança e fortalecer os mecanismos de defesa são os mesmos.
Na verdade, muitas das mesmas ferramentas e vetores de ataque são aproveitados durante o engajamento. A principal diferença é encontrada na metodologia que os analistas usam para rastrear ou mapear uma funcionalidade de uma aplicação e, em seguida, testar os pontos de entrada (geralmente campos de entrada fornecidos pelo usuário).
Ferramentas automatizadas são absolutamente necessárias para este tipo de avaliação, no entanto, um entendimento detalhado da interação cliente / servidor baseada na web é necessária para usar adequadamente a maioria das ferramentas disponíveis.
A Infosec Security juntamente com a Desec Security utilizam o guia de testes da OWASP como metodologia de avaliação, juntamente com táticas, técnicas e procedimentos do mundo real para garantir a qualidade dos testes realizados em aplicação web ou rede. A Infosec Security utiliza ferramentas licenciadas para a realização de alguns testes, o que possibilita uma cobertura ampla da aplicação web que está sendo testada.
O Pentest realizado em aplicações Web realizado pela Infosec Security garante uma cobertura completa do OWASP Top 10
- A01:2021-Broken Access Control
- A02:2021-Cryptographic Failures
- A03:2021-Injection
- A04:2021-Insecure Design
- A05:2021-Security Misconfiguration
- A06:2021-Vulnerable and Outdated Components
- A07:2021-Identification and Authentication Failures
- A08:2021-Software and Data Integrity Failures
- A09:2021-Security Logging and Monitoring Failures
- A10:2021-Server-Side Request Forgery
As aplicações Web são sempre uma parte particularmente vulnerável dos sistemas de informação, devido ao seu nível de exposição a ataques e à falta de consciência das equipas de desenvolvimento observada em muitas empresas.
O objetivo desse serviço é avaliar a robustez de sua plataforma Web: servidores, aplicativos de front / back office, serviços da Web e APIs.
O resultado é um relatório operacional que permite aos desenvolvedores corrigir as falhas de segurança identificadas. Para editores de software que desejam fornecer produtos aos seus clientes ou parceiros, a Infosec Security pode produzir um segundo relatório certificando que as falhas de segurança foram corrigidas.
O escopo dos testes devem ser definidos de acordo com o(s) objetivo(s) desejado(s)
- O que deve ser incluído no pentest e o que deve ser excluído dos testes? (Aplicação Web, APIs, serviços de terceiros, site de demonstração, etc.)
- Qual é o nível de detalhe necessário: pesquisar as chamadas vulnerabilidades principais ou pesquisar todas as vulnerabilidades?
- Qual é o nível de risco a ser testado: teste apenas ataques externos (pentest web black box) ou também ataques de uma conta de usuário (pentest web gray box)?
- Certos tipos de testes específicos devem ser incorporados? (engenharia social, etc.)
Estágios de um pentest
O primeiro estágio é a definição do escopo. Durante este estágio essencial, os pentesters são informados sobre os objetivos da auditoria, os elementos a serem incluídos no pentest, as condições do pentest e as solicitações específicas do cliente.
Durante a fase de preparação da auditoria, são definidas as condições técnicas: escolha de datas, definição de target, encaminhamento de informação e criação de contas-teste, se necessário, validação do plano de comunicação em caso de emergência.
No início dos testes, nossa equipe entra em contato com a equipe técnica responsável pela plataforma Web a ser testada.
Na maioria dos casos, os pentesters realizam a auditoria nos escritórios de Infosec Security.
Os resultados são retornados apenas quando a auditoria é concluída, a menos que o cliente solicite especificamente o contrário (escolha de uma opção de relatório em tempo real).
Pentest em aplicação Web
A Infosec Security juntamente com a Desec Security procura por vulnerabilidades relacionadas a recursos, lógica de negócio, implementação e uso de componentes de terceiros, no servidor e seus vários serviços, configurações de segurança, etc.
Pentest em aplicação web é um trabalho artesanal/manual. Não basta apenas rodar um scan de vulnerabilidade contra a aplicação e entregar o relatório gerado pela ferramenta ao cliente.
Pentest na camada da aplicação
O teste de invasão na camada da aplicação é responsável pela maior parte da auditoria. Exemplos de falhas de segurança comuns:
- Falhas de injeção (principalmente SQL e comandos)
- Vulnerabilidades na gestão de autenticação e de sessões
- Exposição de dados sensíveis
- Falta de controle de acesso
- Cross-Site Scripting (XSS)
O pentest Web inclui a busca por falhas técnicas e lógicas (relacionadas ao fluxo da aplicação). Falhas lógicas existem quando a operação normal de uma aplicação, um estágio lógico ou o processo pretendido pode ser burlado ou evitado.
Pentest em servidor
Os testes realizados em servidores se concentram em encontrar vulnerabilidades específicas à configuração da infraestrutura que hospeda os serviços. Exemplos de vulnerabilidades comuns:
- Serviços abertos e mal protegidos
- Software não atualizado (sistema operacional, FTP, etc.)
- Elementos de segurança que podem ser burlados
- Erros de configuração
Foco na negação de serviço (DoS)
O pentest pode ou não incluir ataques de negação de serviço (DoS), dependendo de sua preferência.
Este tipo de teste permite identificar vulnerabilidades que podem estar relacionadas à configuração do servidor ou da aplicação. Em ambos os casos, as soluções dependem da sua equipa técnica e não da escolha do alojamento.
A Infosec Security juntamente com a Desec Security exclui ataques distribuídos de negação de serviço (DDoS) do teste de invasão, porque o problema e a solução dependem principalmente dos meios do lado do ataque, bem como do lado atacado.
Pentest não é:
Rodar o Nessus, Qualys ou qualquer ferramenta no ambiente do cliente e entregar o relatório que a ferramenta gerou. Isso não é pentest. O pentest vai muito mais além do que um simples escanner de vulnerabilidade, é um trabalho artesanal/manual.
Para o Pentest, a Infosec Security juntamente com a Desec Security podem analisar qualquer tipo de ambiente digital, independente da linguagem de programação utilizada no desenvolvimento.
