Por que realizar um PenTest?
Não há dúvida de que os testes de intrusão são muito importantes onde a segurança da informação é fundamental, o teste de intrusão fornecerá uma excelente visão da segurança atual de seu ambiente, possibilitando tratar possíveis vulnerabilidades antes que sejam exploradas.
Em um Pentest na modalidade White Box envolve o acesso de toda a rede e informações do sistema com o Pentester, incluindo diagrama de rede e credenciais. Isso ajuda a economizar tempo e reduzir o custo geral de um contrato. o Pentest White Box é útil para simular um ataque direcionado a um sistema específico, utilizando o maior número possível de vetores de ataque.
Em um Pentest na modalidade Gray Box, apenas informações limitadas são compartilhadas com o Pentester. Normalmente, isso assume a forma de credenciais de login. O Pentest Gray Box é útil para ajudar a entender o nível de acesso que um usuário privilegiado pode obter e os danos potenciais que podem causar. O Pentest Gray Box alcança um equilíbrio entre profundidade e eficiência e podem ser usados para simular uma ameaça interna ou um ataque que violou o perímetro da rede.
Em um Pentest na modalidade Black Box, nenhuma informação é fornecida ao Pentester. O Pentester, nesta instância, segue a abordagem de um invasor sem privilégios, desde o acesso inicial e execução até a exploração. Este cenário pode ser visto como o mais autêntico, demonstrando como um hacker sem conhecimento interno atingiria e comprometeria uma organização. No entanto, isso tipicamente o torna a opção mais cara também.
O objetivo do Pentest não é apenas testar as vulnerabilidades de seu ambiente, mas também testar seu pessoal e processos contra prováveis ameaças à sua organização, através de simulação de um ataque cibernético do mundo real testamos os recursos de segurança cibernética de uma organização e apresentamos as vulnerabilidades para ser tratadas antes de ocorrer um ataque.
A tática de acesso inicial se refere aos vetores de ataques que os hackers exploram para acessar um ambiente.
Execução refere-se às técnicas usadas para executar o código do atacante após obter acesso ao ambiente.
As táticas de persistência são ações que permitem que os invasores mantenham a presença em uma rede.
Escalonamento de privilégios se refere às ações tomadas por um atacante para obter maior acesso a um sistema.
As táticas de evasão de defesa são técnicas usadas por Pentester que permitem que eles passem despercebidos pelas defesas de um sistema.
Acesso de credencial refere-se a técnicas usadas para obter credenciais de usuários ou administradores.
Descoberta se refere ao processo de aprendizagem por meio do qual os atacantes entendem melhor o sistema e o acesso que possuem atualmente.
Caminhos Alternativos é usado por atacantes para obter acesso e controle remoto do sistema, como: SQLi, Command Injection, XSS…
As táticas de coleta são aquelas usadas por atacantes para coletar dados direcionados.
Comando e controle são táticas usadas para estabelecer a comunicação entre a rede comprometida e o sistema controlado.
Extração/Vazamento são as ações que os atacantes realizam para remover dados confidenciais do sistema.
Táticas de impacto são aquelas destinadas a afetar as operações de uma empresa.
Uma ferramenta popular para esse tipo de teste é chamada Kali Linux, é uma solução completa e de código aberto capaz de encontrar e explorar vulnerabilidades na segurança de um sistema, entre outras ferramentas.
O Pentest pode envolver a tentativa de violação de qualquer número de sistemas de aplicativos (por exemplo, interfaces de protocolo de aplicativos (APIs), servidores front-end / back-end) para descobrir vulnerabilidades, como entradas não sanitizadas que são suscetíveis a ataques de injeção de código.
As percepções fornecidas pelo teste de intrusão podem ser usadas para ajustar suas políticas de segurança WAF e corrigir as vulnerabilidades detectadas.
Reunir inteligência (por exemplo, nomes de rede e de domínio, servidor de e-mail) para entender melhor como um alvo funciona e suas vulnerabilidades potenciais.
Análise dinâmica – inspecionar o código de um aplicativo em estado de execução. Esta é uma forma mais prática de testar, pois fornece uma visão em tempo real do desempenho de um aplicativo.