Teste de intrusão (pentest)

O que é um teste de intrusão?

O teste de intrusão, também chamado de pentest ou hacking ético, consiste na simulação de ciberataques reais com a finalidade de testar as capacidades de cibersegurança de uma organização e expor suas vulnerabilidades. Embora para algumas pessoas os testes de intrusão sejam apenas uma varredura de vulnerabilidades e um item a ser marcado na lista de requisitos de conformidade, na verdade, esse exercício deveria ser muito mais abrangente do que isso.

O objetivo do teste de intrusão não é apenas identificar as vulnerabilidades do seu ambiente, mas também testar suas equipes e processos contra prováveis ameaças à sua organização. Saber quais adversários têm maior probabilidade de atacar você permite que os realizadores do teste de intrusão imitem técnicas, táticas e procedimentos (TTPs) exatos desses adversários específicos, dando à sua organização uma ideia muito mais realista de como um ataque pode ocorrer.

Etapas do teste de intrusão

Na maior parte dos casos, um teste de intrusão seguirá as etapas estabelecidas no framework MITRE ATT&CK. O framework MITRE é uma base de conhecimento composta por técnicas, táticas e procedimentos adversários conhecidos que ocorrem ao longo das várias fases do ciclo de vida de um ataque.

Com esse framework, os realizadores do teste de intrusão podem criar um modelo baseado no comportamento de um adversário específico, mimetizando um ataque com mais precisão durante o teste. Atualmente, a matriz Mitre Enterprise abrange 12 táticas:

1. Tática de acesso inicial: refere-se aos vetores que os hackers exploram para acessar um ambiente
2. Execução: refere-se às técnicas usadas para executar o código do adversário após ele obter acesso ao ambiente
3. Táticas de persistência: são as ações que possibilitam que os invasores mantenham sua presença em uma rede
4. Elevação de privilégios: são as ações que um adversário realiza para ampliar seu acesso em um sistema
5. Táticas de evasão de defesa: são técnicas que os invasores utilizam para passar despercebidos pelas defesas de um sistema
6. Acesso a credenciais: refere-se às técnicas usadas para obter credenciais de usuários ou administradores
7. Descoberta: é o processo de aprendizado pelo qual adversários compreendem melhor o sistema e o acesso que possuem atualmente
8. Movimento lateral: é utilizado pelos adversários para acessar e controlar o sistema remoto
9. Táticas de coleta: são usadas pelos invasores para coletar dados-alvo
10. Comando e controle: abrangem as táticas utilizadas para estabelecer a comunicação entre a rede comprometida e o sistema controlado
11. Exfiltração: são as ações que os adversários realizam para remover dados sensíveis do sistema
12. Táticas de impacto: são aquelas destinadas a afetar as operações de uma empresa

É importante observar que as táticas acima utilizadas em um teste de intrusão dependem das táticas do adversário que está sendo mimetizado.

De forma geral, a realização de um teste de intrusão envolve os seguintes estágios: planejamento, reconhecimento, ganho/manutenção de acesso, análise e remediação.

Tipos de teste de intrusão

Ao considerar a realização de um teste de intrusão, é importante lembrar que não existe um teste universal. Os ambientes, riscos do setor e adversários mudam de organização para organização. Além disso, não existe um único tipo de teste de intrusão que atenderá a todas as necessidades de uma empresa.

Diversos tipos de teste de intrusão foram desenvolvidos para atender às metas específicas e ao perfil de ameaças de cada organização. Veja a seguir alguns dos tipos de intrusão mais comuns.

1. Teste de intrusão interno

Avalia os sistemas internos da sua organização para identificar como um invasor poderia se movimentar lateralmente pela sua rede. O teste inclui identificação de sistemas, enumeração, descoberta de vulnerabilidades, exploração, elevação de privilégios, movimento lateral e objetivos.

2. Teste de intrusão externo

Avalia seus sistemas voltados para a Internet para determinar se há vulnerabilidades exploráveis que expõem dados ou acesso não autorizado ao mundo externo. O teste inclui identificação de sistemas, enumeração, descoberta de vulnerabilidades e exploração.

3. Teste de intrusão de aplicações Web

Avalia sua aplicação Web usando um processo dividido em três fases. A primeira é o reconhecimento, quando a equipe descobre informações como o sistema operacional, serviços e recursos em uso. A segunda fase é a descoberta, quando a equipe tenta identificar vulnerabilidades. A terceira fase é a exploração, quando a equipe aproveita as vulnerabilidades descobertas para obter acesso não autorizado a dados sensíveis.

4. Teste de intrusão de ameaças internas

Identifica riscos e vulnerabilidades que podem expor seus ativos e recursos internos sensíveis a pessoas não autorizadas. A equipe avalia pontos fracos, como ataques de desautenticação, configurações incorretas, reutilização de sessões e dispositivos sem fio não autorizados.

5. Teste de intrusão sem fio

Identifica riscos e vulnerabilidades associados à sua rede sem fio. A equipe avalia pontos fracos, como ataques de desautenticação, configurações incorretas, reutilização de sessões e dispositivos sem fio não autorizados.

6. Teste de intrusão físico

Identifica riscos e vulnerabilidades em sua segurança física na tentativa de obter acesso a um sistema computacional corporativo. A equipe avalia pontos fracos, como brechas de engenharia social, tailgating, clonagem de crachás e outros objetivos de segurança física.

Quando realizar um teste de intrusão?

O momento mais importante para realizar um teste de intrusão é antes que ocorra um ataque. Muitas organizações não têm essa iniciativa até sofrerem um ataque bem-sucedido, isto é, depois de perderem dados, propriedade intelectual e reputação. No entanto, caso sua organização tenha sido atacada, é recomendável realizar um teste de intrusão para remediação pós-ataque para assegurar medidas de mitigação efetivas.

As práticas recomendadas recomendam realizar testes de intrusão tanto durante o desenvolvimento ou instalação do sistema, quanto imediatamente antes de sua implantação em produção. Os perigos de executar um teste de intrusão muito tardiamente são que as atualizações de código costumam ser caras, e as janelas de modificação de código geralmente são menores.

Os testes de intrusão não são uma proposta a ser executada uma única vez. Eles devem ser realizados sempre que ocorrerem mudanças ou pelo menos uma vez ao ano. Fatores como porte da empresa, infraestrutura, orçamento, requisitos regulatórios e o surgimento de novas ameaças determinarão a frequência apropriada.

Com que frequência o teste de intrusão deve ser realizado?

A recomendação é que as empresas realizem um amplo teste de intrusão pelo menos uma vez ao ano. Isso possibilita não só a implantação de upgrades e correções regulares de segurança, mas também facilita a conformidade com padrões de segurança de dados, por exemplo, o PCI DSS (Payment Cardholder Industry Data Security Standard).

No entanto, testes semestrais ou até mesmo trimestrais podem revelar possíveis riscos de segurança mais frequentemente — e antes que eles sejam explorados— oferecendo uma visão geral mais ampla do seu status de segurança.

Os testes de intrusão visam detectar vulnerabilidades específicas em um sistema ou rede. Portanto, o ideal é que o teste de intrusão seja realizado em todas as novas adições à infraestrutura de rede ou sempre que houver uma reestruturação significativa em aplicações-chave. São nessas situações que o ambiente está mais vulnerável, e os pontos fracos têm mais chances de serem expostos.

Quem realiza testes de intrusão?

Diversos especialistas em cibersegurança independentes e empresas oferecem testes de intrusão como um serviço. E embora os testes de intrusão possam ser realizados internamente, "hackers éticos" conseguem oferecer insights melhores, uma vez que não têm conhecimento prévio do sistema.

No entanto, a natureza da atividade em si leva a complicações. As questões jurídicas associadas a qualquer atividade de "hacking" exigem que todo o processo do teste de intrusão seja tratado com cuidado. Até o momento, a maior parte dos testes de intrusão realizados sob a legislação americana não foi monitorada. No entanto, estão em vigor estatutos estaduais e federais para garantir a ética e a conformidade desses testes.

De acordo com a legislação americana, as empresas devem assinar um formulário de consentimento que descreva exatamente o escopo e o alcance do que está sendo testado. As empresas que não fazem isso caem no guarda-chuva do hacking não autorizado e podem enfrentar diferentes penalidades, dependendo do estado, uma vez que alguns estados ainda consideram o hacking ético simplesmente uma forma de hacking.

Certifique-se de que toda atividade de teste de intrusão cumpra as exigências legais e de que todos os documentos jurídicos sejam preenchidos de forma completa e por completo. Também é importante verificar os antecedentes e as credenciais de hackers éticos. Por exemplo, o CREST e o NCSC são certificações reconhecidas pelo setor e concedidas a empresas confiáveis que realizam testes de intrusão.

O que fazer após um teste de intrusão?

Os testes de intrusão ampliam e desenvolvem sua estratégia de segurança no longo prazo, com base na correção de vulnerabilidades reais testadas.

Agir rapidamente com base nos resultados dos testes de intrusão é crucial para evitar o tempo de inatividade e a interrupção associados aos ataques de cibersegurança, bem como evitar as pesadas multas impostas àqueles que descumprem os regulamentos de proteção de dados.

Após o teste de intrusão, você deve:

• Revisar o relatório final e discutir as descobertas presentes nele tanto com a equipe externa do teste de intrusão quanto com sua equipe interna de cibersegurança
• Desenvolver uma abrangente estratégia de cibersegurança e um plano de remediação no intuito de atuar sobre essas descobertas
• Utilizar testes de repetição e varreduras de vulnerabilidades para monitorar no longo prazo o êxito e o progresso de suas correções e upgrades

Os testes de intrusão são abrangentes por definição. Eles trazem insights detalhados sobre o escopo e a severidade de qualquer possível ponto fraco em seu ambiente. Assim, sempre haverá inúmeros achados acionáveis para ajudar a impulsionar a segurança da sua empresa.

O que é "teaming"?

"Teaming" é uma metodologia de teste de intrusão que as empresas utilizam para organizar e aprimorar suas credenciais de cibersegurança. Os participantes são divididos em duas equipes: red e blue. Uma equipe busca ativamente e testa vulnerabilidades, enquanto a outra equipe tenta corrigir esses riscos e evitar que eles sejam explorados.

O foco não está em expor o maior número possível de vulnerabilidades, mas sim em avaliar a eficácia das respostas a ameaças e fraquezas. Os aprendizados dos exercícios de teaming visam capacitar uma empresa a se proteger rápida e efetivamente no arriscado ciberespaço moderno.

Os exercícios de teaming podem incluir três tipos de equipes:

• Red teams: geralmente são externas e examinam a eficácia da infraestrutura de segurança existente em uma organização. As red teams conduzem testes semelhantes a um teste de intrusão, mas miram em problemas isolados, em vez de considerar todo o ambiente de uma só vez.
• Blue teams são as equipes de segurança internas da empresa. Os responsáveis por aperfeiçoar a segurança em uma empresa são testados e alertados pelas red teams para garantir respostas rápidas e de qualidade a ameaças repentinas.
• Purple teams são formadas quando a red team e a blue team trabalham juntas, formando uma unidade coesa. O objetivo da purple team é aprimorar as respostas de cibersegurança, fornecendo informações de maior qualidade e feedback sobre possíveis ameaças. As purple teams também são úteis para revisar e avaliar os aprendizados resultantes do exercício.