Penetration Test

As Melhores Práticas e os mais atuais modelos de Maturidade em Segurança de Software recomendam que sejam realizados testes de penetração sobre as aplicações web mais críticas, pelo menos uma vez ao ano, visando avaliar a eficiência dos esforços de segurança resultantes do framework adotado pela empresa.

Para orientar as atividades dos testes de penetração, um pacote completo de serviços profissionais de Managed Security Services, incluindo testes de avaliação de segurança do Sistema RedeSegura (Web Security Check up) podem ser incluídos no pacote de serviços.

Note: o uso do Sistema RedeSegura para gerenciar vulnerabiliades não dispensa a necessidade de testes de penetração, mas orientará os profissionais de segurança de tal modo que otimizará seus esforços durante um Pen Test, permitindo um exame mais avançado e abrangente sobre as brechas exploráveis na segurança do ambiente de TI, e, em muitos casos, com menor consumo de tempo de consultoria.

O Pen Test pode ser realizado de forma cega (Black Box test) sobre todos os serviços disponíveis publicamente na web, ou ser dirigido para algum serviço específico. As atividades incluem avaliações locais e/ou remotas, e o trabalho pode ser assistido opcionalmente por um Analista de Segurança do Cliente.

O escopo de serviços de execução de um Pen Test dependerá de fatores como o ponto de origem (interno ou externo), das evidências de alguma avaliação prévia da segurança do ambiente (relatório de vulnerabilidades de rede e de aplicação web), da quantidade de servidores internos e externos, da complexidade do ambiente de infraestrutura, e se o escopo inclui outras atividades como “war dialling”, uso de engenharia social, etc.

Pela complexidade natural inerente a este processo de pesquisa sobre o ambiente, o Pen Test normalmente é contratado como um pacote estimado de horas de Consultoria, durante as quais um Consultor busca identificar falhas exploráveis na segurança que permitam causar algum impacto. Em alguns casos há como comporvar o risco de um ataque a partir da produção de uma evidência com impacto controlado sobre o ambiente alvo do Pen Test.

Sobre o processo de Pen Test, deve-se considerar o seguinte:

O objetivo de um Pen Test é comprovar o grau de impacto de um ataque feito a partir de uma vulnerabilidade encontrada no sistema;
O Pen Test é recomendado para sistemas com controles de segurança mais maduros, e não encontra nem explora todas as falhas encontradas;
O alcance de um Pen Test é limitado e dirigido a um sistema alvo, pois trata-se de uma tarefa de pesquisa que pode se aprofundar a partir dos primeiros resultados;
Trata-se de uma tarefa de análise manual realizada por um Consultor Especialista, que pode ser suportada por ferramentas de testes;
Testar vulnerabilidades é o primeiro passo para orientar e priorizar as atividades de pesquisa de um Pen Test;
Não substitui processos preventivos automatizados que avaliam os controles de segurança periodicamente;
O Gerenciamento de Vulnerabilidades provê documentação histórica importante para orientar e otimizar recursos em um Pen Test.