O que é Pentest?
- Jonatha Fernandes
- 30 de mai. de 2024
- 3 min de leitura
Atualizado: 2 de jun. de 2024
O teste de intrusão,traduzido originalmente do inglês “Penetration Test ou apenas Pentest” é um conjunto de testes e técnicas usados para avaliar a segurança dos sistemas computacionais como Sites, Aplicativos móveis ou mesmo a infraestrutura ao qual as aplicações estão inseridas denominadas Redes.
O teste de intrusão tem como objetivo, simular ataques à infraestrutura ou mesmo subverter regras de negócio inseridas nos sistemas, simulando assim a ação de um agente mal intencionado, o qual geralmente tem como objetivo obter vantagens ilícitas nos softwares ou mesmo causar danos à infraestrutura tecnológica.
Existem muitas metodologias, a serem usadas durante a realização do Pentest, entre elas é possível destacar:
OWASP – Open Web Application Security Project: O OWASP é uma fundação sem fins lucrativos composta por profissionais das áreas de tecnologia e Segurança da Informação e tem o objetivo de promover melhorias no desenvolvimento de sistemas.
NIST Cybersecurity Framework: Essa metodologia foi desenvolvida pelo Instituto Nacional de Padrões e Tecnologia (NIST – National Institute Standards and Technology), um órgão do governo dos Estados Unidos que promove a competitividade e a inovação industrial no país.
PTES – Penetration Testing Execution Standard: É um novo padrão projetado para fornecer a empresas e provedores de serviços de segurança uma linguagem comum e escopo para a realização de testes de penetração (ou seja, avaliações de segurança).
ISSAF – Information Systems Security Assessment Framework: É um framework que tem por objetivo avaliar a segurança de redes, sistemas e aplicações.
OSSTMM – Open Source Security Testing Methodology Manual: Sendo este um manual de uma metodologia desenvolvida pelo ISECOM (Institute for Security Open Methodologies), uma organização colaborativa que realiza pesquisas na área de segurança da informação.
Conforme metodologias citadas acima, vale ressaltar que não existe uma metodologia melhor que a outra, mas é possível afirmar que as metodologias podem ser usadas em conjunto em um mesmo projeto, visando assim obter melhores resultados.
As cinco fases a seguir são comumente seguidas durante o processo de execução dos pentests, e contemplam os processos descritos na maioria das metodologias, respeitando suas características e objetivos individuais:
Reconhecimento: Nesta fase, o consultor de segurança também chamado de Pentester, realiza uma busca avançada usando diversas técnicas para mapear informações relevantes quanto ao alvo disponíveis em fontes abertas da Internet.
Scans / Varreduras: O Pentester executa uma série de ferramentas e técnicas manuais e automatizadas, nos sistemas e infraestrutura alvo dos testes para identificar vulnerabilidades e outras informações relevantes, não obtidas na etapa anterior de Reconhecimento.
Exploração: Durante a fase de exploração, o Pentester tentará explorar as vulnerabilidades identificadas nas etapas anteriores, visando validar e evidenciar as fragilidades do sistema ou ambiente.
Pós-exploração: Um conjunto de atividades e técnicas são aplicadas nesta fase, entre elas a tentativa de persistência e escalada de privilégios no ambiente alvo, bem como a movimentação lateral e eliminação de rastros no ambiente.
Relatório: Independente da metodologia utilizada, esta fase certamente estará contemplada no projeto de testes, pois é aqui, que todos os resultados são documentados e formalizados a organização, contendo informações adicionais quanto a possíveis formas de resolver as fragilidades encontradas.
Independente da metodologia escolhida, é importante realizar testes de intrusão / Pentest de forma frequente, tanto nos ambientes computacionais quanto nos sistemas que fazem parte desse ambiente, visando assim estar um passo à frente de atacantes e agentes mal intencionados, ao identificar as fragilidades de forma pró-ativa através dos testes realizados.
Comments