Você sabe como um criminoso pode atacar os Sistemas de uma empresa? E onde estão armazenados os Dados de maior valor? Já que hoje os Dados são o nosso Ouro Digital, nunca foi mais necessário conhecer os alvos dos ataques de invasores, com a ajuda do Pentest.
Em artigos passados, aprendemos sobre o que é um Pentest e qual a sua importância, também chamado de Teste de Invasão ou Teste de Intrusão. Uma equipe de técnicos qualificados irá vasculhar e atacar os sistemas e aplicações, encontrando falhas de Segurança e então gerando um relatório de melhorias. Esta “caixa preta” do incidente é valiosíssima para que as empresas detectem e trabalhem para eliminar seus riscos, antes que um criminoso invada seus sistemas. Não só isso, mas aprendemos também sobre os tipos de Pentest que podem e devem ser aplicados, de acordo com o ambiente e a necessidade da empresa, respeitando seus limites e garantindo o melhor resultado possível. Agora, precisamos falar sobre quais os alvos do Pentest. Estes alvos são sempre pensados de acordo com a operação do negócio, considerando situações em que criminosos e atacantes poderiam explorar para invadir os sistemas. Vamos conhecer os mais importantes:
Um dos mais populares tipos de Teste, e também de extrema relevância, visto que hoje a maioria esmagadora dos negócios encontra-se dependente de plataformas Web.
Em um Pentest Web investiga-se toda e qualquer aplicação que esteja conectada e acessível por meio da Internet. Seja um site, plataforma ou aplicação, buscam-se falhas que podem fazer com que a sua própria organização seja violada. Técnicos também encontram as vulnerabilidades que possam ser usadas, dentro de sua aplicação Web, como forma de realizar uma atividade ilícita em um terceiro.
Em virtude da grande e contínua expansão da Internet e da necessidade de aplicações sempre conectadas, popularizaram-se os smartphones e dispositivos móveis, e com isso novos (e muito perigosos) tipos de ameaças.Nesse escopo de Pentest será testado sua aplicação disponível nas principais plataformas, como por exemplo Android, IOs e afins.O intuito é averiguar se sua aplicação não está ligada, direta ou indiretamente, a uma violação de privacidade, dentre outras falhas. É comum este Pentest ser feito juntamente com a análise do código fonte do software em questão.
Consiste em fazer o levantamento do máximo de informações possíveis de cada host e máquinas conectadas a uma determinada rede, dependendo do escopo do projeto.Levantadas essas informações, será feito uma análise de vulnerabilidade individualmente. Assim, possíveis falhas podem ser corrigidas pela equipe de TI da empresa contratante ou pela equipe da empresa contratada.
É muito importante salientar que um Pentest de Rede não necessariamente inclui a rede Wifi, já que eles são complementares mas não dependentes.
Conforme citado anteriormente, esse tipo de teste pode e geralmente vem acompanhado do anterior, mas não é obrigatório.O objetivo continua sendo detectar vulnerabilidades na rede, desta vez considerando a Wireless.Atividades comuns deste Teste incluem:
Dentre outras análises, de acordo com o escopo.É importante unir este Teste ao de Rede, em virtude da inerente fragilidade de qualquer conexão Wifi, garantindo que a rede seja testada de todas as formas.
Para mais conteúdos gratuitos ou em caso de dúvidas, não deixe de contatar a nossa equipe de especialistas da Spiritsec. Nossos técnicos estão à disposição para entender o seu ambiente e ajudar a encontrar vulnerabilidades, fortificando o seu negócio. Para soluções de Cibersegurança à empresas de Alta Performance, conte conosco: FALE CONOSCO