Blog da SPIRITSEC

Pentest: Quais são os tipos de testes de invasão?

Escrito por SPIRITSEC | 02/09/2022 23:05:00

Para realizar um Teste de Invasão efetivo é preciso saber definir o tipo de ataque a ser realizado pelos técnicos (pentesters) contratados. Entenda como escolher entre o Black, White ou Gray Box.

 

O Teste de Intrusão é mais necessário do que nunca

 

No início de nossa série sobre Pentest, explicamos o que é e qual a importância de se realizar Testes de Invasão com regularidade nos sistemas e aplicações do seu negócio:

O Pentest é um dos maiores trunfos de Executivos de TI e Segurança da atualidade, fornecendo ainda um relatório completo construído por técnicos especialistas, como uma “caixa preta” de incidentes, antes mesmo que eles possam acontecer.

Ressaltamos, inclusive, que em tempos de LGPD e mega vazamentos de dados, a preocupação com os Testes de Segurança aumentou consideravelmente, e com razão. Afinal, as falhas e vulnerabilidades de Segurança podem comprometer os Dados do negócio, levando a punições como multas de até 50 milhões por infração, dentre outras dores de cabeça.

Mas, para garantir excelentes resultados vindos de um Teste de Intrusão (o Pentest), primeiramente será necessário definir qual o tipo de modelo que deve ser adotado para o seu ambiente, aplicação específica ou até mesmo um resultado mais assertivo.

 

DevSecOps: Baixe agora a Avaliação e descubra seu nível de maturidade. Conheça os próximos passos para implantar segurança em escala em sua aplicação e infra cloud-native.

 

Pentest Black-Box

Este tipo de Pentest é também conhecido como ‘Teste cego’. O método dita que a empresa contratada para realizar o teste e seus técnicos (os pentesters) não terão nenhuma informação sobre a estrutura de rede do contratante, atacando “as cegas”, como faria um criminoso com nenhum conhecimento prévio ou acessos de seu alvo.

 

Ele pode ser conduzido de duas formas: Blind e Double-Blind.

 

  • Blind: neste formato o cliente sabe que será atacado pelos técnicos contratados, conhece quais metodologias serão empregadas e os horários de cada ataque.
  • Double-Blind: neste, o contratante não tem as informações citadas acima a respeito do ataque, ou seja, o cliente não saberá quando/como/onde acontecerá a tentativa de invasão por parte dos técnicos. Os atacantes contratados também não possuem nenhuma informação prévia sobre o ambiente, e terão que desenvolver suas estratégias ao longo do Teste.

Por mais que o Blind soe mais confortável e seja preferido por alguns clientes, o Double-Blind se assemelha muito mais a um ataque real, onde a empresa de fato não tem informações de quando e como será atacada. O importante é lembrar que tudo depende do escopo de Teste do cliente e qual o objetivo do Pentest.

 

Pentest White-Box

Conhecido também como ‘Teste de Caixa Branca’. Neste formato de Teste, a empresa contratada tem pleno conhecimento da infraestrutura interna do cliente, o que permite desenhar as estratégias de ataque com antecedência. É um procedimento muito mais detalhado e efetivo, pois vai simular tanto um ataque que vem de fora da organização, mas também simulando ataques vindos de dentro dela.Por ter acesso a todas as informações da rede (lembrando que as informações citadas são da sua estrutura e não de informações sensíveis) é exigido que o relatório final seja muito mais específico e abrangente.

Igualmente ao anterior, ele também é subdividido em dois tipos: Tandem e Reversal.
O Tandem é análogo ao Blind e o Reversal ao Double-Blind.

 

Pentest Gray-Box

Popularmente conhecido como ‘Teste de Caixa Cinza’, sua principal característica é ser uma mescla dos dois métodos acima. A empresa contratada para testar tem acesso apenas parcial às informações da infraestrutura interna do contratante, antes do ataque. Este formato é mais popularmente utilizado em Pentests Web.Igualmente aos outros dois acima, aqui também os métodos e suas funções são exatamente as mesmas: Gray-box e Double Gray-box.

 

Quais são os diferentes alvos de um Pentest?

 

Após decidir o tipo de Pentest a ser aplicado, seja o White Box, Gray Box ou mesmo Black Box, devemos então entender e definir os alvos dos ataques.

Para isso, pedimos que fiquem atentos às nossas redes sociais onde continuaremos a divulgar nossa série de conteúdo sobre os mais variados alvos de um Pentest, sob uma ótica mais técnica e aprofundada.E em caso de dúvidas, a equipe de técnicos e especialistas da Spiritsec está pronta para atender, esclarecer e aplicar os mais variados tipos de Testes. SAIBA MAIS