Auditoria Teste de Invasão(Pentest) – Planejamento, Preparação e Execução
Por Rafael Soares.
Testes de invasão têm por objetivo verificar a resistência de redes, sistemas ou aplicações em relação aos atuais métodos de ataque. Diariamente são descobertas novas falhas nos mais variados sistemas, por isso é de fundamental importância auditorias preventivas, mais especificamente, Testes de Invasão, que podem dar um diagnóstico real sobre a segurança dos ativos em questão.
Algumas vezes é difícil justificar o ROI (Return of Investment) de um teste de invasão para os tomadores de decisão. É preciso mostrar os custos resultantes de um ataque bem sucedido (por exemplo, o prejuízo causado pela indisponibilidade de um site comercialmente ativo – seja um portal de vendas ou para anúncio de serviços) e compará-los ao custo de um teste de invasão, que pode indicar quão protegido o Cliente está deste risco. Além disso, cada vez mais normas internacionais estão recomendando (ou exigindo) testes de invasão periódicos a todos que querem entrar em conformidade com as mesmas.
O objetivo deste artigo é descrever as etapas de um teste de invasão, mostrando que a estrutura dos testes segue modelos cuidadosamente estruturados em passos bem definidos. Afinal, apesar das óbvias semelhanças, há uma série de diferenças entre um ataque simulado contratado e um ataque malicioso real. E é o que veremos à seguir.
1. Planejamento e Preparação
2. Avaliação
1. Obtenção de Informação
2. Sondagem e Mapeamento
3. Identificação de Vulnerabilidades
4. Exploração
3. Documentação e Relatório
4. Conclusões
5. Recomendações de leitura
Planejamento e Preparação
Antes do início do Teste de Invasão é executado um levantamento inicial de informações para planejamento e modelagem dos testes. São levantados detalhes da infraestrutura contemplada, equipamentos e recursos que serão necessários durante os testes, bem como os tipos de ataque a compor a simulação constituem algumas das informações