Para realizar um Teste de Invasão efetivo é preciso saber definir o tipo de ataque a ser realizado pelos técnicos (pentesters) contratados. Entenda como escolher entre o Black, White ou Gray Box.
No início de nossa série sobre Pentest, explicamos o que é e qual a importância de se realizar Testes de Invasão com regularidade nos sistemas e aplicações do seu negócio:
O Pentest é um dos maiores trunfos de Executivos de TI e Segurança da atualidade, fornecendo ainda um relatório completo construído por técnicos especialistas, como uma “caixa preta” de incidentes, antes mesmo que eles possam acontecer.
Ressaltamos, inclusive, que em tempos de LGPD e mega vazamentos de dados, a preocupação com os Testes de Segurança aumentou consideravelmente, e com razão. Afinal, as falhas e vulnerabilidades de Segurança podem comprometer os Dados do negócio, levando a punições como multas de até 50 milhões por infração, dentre outras dores de cabeça.
Mas, para garantir excelentes resultados vindos de um Teste de Intrusão (o Pentest), primeiramente será necessário definir qual o tipo de modelo que deve ser adotado para o seu ambiente, aplicação específica ou até mesmo um resultado mais assertivo.
Este tipo de Pentest é também conhecido como ‘Teste cego’. O método dita que a empresa contratada para realizar o teste e seus técnicos (os pentesters) não terão nenhuma informação sobre a estrutura de rede do contratante, atacando “as cegas”, como faria um criminoso com nenhum conhecimento prévio ou acessos de seu alvo.
Ele pode ser conduzido de duas formas: Blind e Double-Blind.
Por mais que o Blind soe mais confortável e seja preferido por alguns clientes, o Double-Blind se assemelha muito mais a um ataque real, onde a empresa de fato não tem informações de quando e como será atacada. O importante é lembrar que tudo depende do escopo de Teste do cliente e qual o objetivo do Pentest.
Conhecido também como ‘Teste de Caixa Branca’. Neste formato de Teste, a empresa contratada tem pleno conhecimento da infraestrutura interna do cliente, o que permite desenhar as estratégias de ataque com antecedência. É um procedimento muito mais detalhado e efetivo, pois vai simular tanto um ataque que vem de fora da organização, mas também simulando ataques vindos de dentro dela.Por ter acesso a todas as informações da rede (lembrando que as informações citadas são da sua estrutura e não de informações sensíveis) é exigido que o relatório final seja muito mais específico e abrangente.
Igualmente ao anterior, ele também é subdividido em dois tipos: Tandem e Reversal.
O Tandem é análogo ao Blind e o Reversal ao Double-Blind.
Popularmente conhecido como ‘Teste de Caixa Cinza’, sua principal característica é ser uma mescla dos dois métodos acima. A empresa contratada para testar tem acesso apenas parcial às informações da infraestrutura interna do contratante, antes do ataque. Este formato é mais popularmente utilizado em Pentests Web.Igualmente aos outros dois acima, aqui também os métodos e suas funções são exatamente as mesmas: Gray-box e Double Gray-box.
Após decidir o tipo de Pentest a ser aplicado, seja o White Box, Gray Box ou mesmo Black Box, devemos então entender e definir os alvos dos ataques.
Para isso, pedimos que fiquem atentos às nossas redes sociais onde continuaremos a divulgar nossa série de conteúdo sobre os mais variados alvos de um Pentest, sob uma ótica mais técnica e aprofundada.E em caso de dúvidas, a equipe de técnicos e especialistas da Spiritsec está pronta para atender, esclarecer e aplicar os mais variados tipos de Testes. SAIBA MAIS