Métodos de Pentest

Métodos de Pentest

março 9, 2021 0 Por Abraão Dias

Em um serviço de Pentest uma das primeiras etapas a ser definida é qual será o método a ser seguido.

O que são os testes black, gray e white-box?

Os testes vão do Black Box, onde o técnico tem apenas um mínimo conhecimento do sistema ao White Box, no qual é garantido ao técnico um alto nível de informações e acesso para que se possa estressar ao máximo a segurança dos sistemas envolvidos.

Black Box

Se a demanda está relacionada a uma visão mais próxima de um ataque real, feito por um hacker, a abordagem recomendada será com método Black Box, onde o intuito é que o técnico não tenha nenhuma informação do ambiente além do nome da empresa ou em alguns casos o domínio/URL.

A partir dessa informação cabe ao Pentester garimpar informações públicas que possam levá-lo a uma invasão de rede/aplicação. Uma das possibilidades é encontrar nomes ou e-mails de funcionários e iniciar um ataque via engenharia social, que pode ser, por exemplo, um Phishing que seria um primeiro passo para ter acesso à rede interna.

Gray Box

Se o enfoque do teste black box é examinar uma rede da perspectiva externa, o Gray box é um teste no qual o técnico tem acesso e nível de conhecimento de um usuário, possivelmente com elevados privilégios de acesso na rede/aplicação.

A proposta deste teste é prover uma análise mais eficiente da segurança interna do que um ataque Black box, podendo o Pentester concentrar seus esforços em sistemas que oferecem grande risco a continuidade dos negócios.

White Box

Se você possui uma visão mais ampla do ambiente, já se certificou que os mecanismos de defesa e monitoração estão apostos para identificar/conter/mitigar ataques externos/internos sem que atacante tenha muitas informações do ambiente alvo, o próximo passo recomendado é realizar uma avaliação com um maior conhecimento sobre a estrutura alvo, esse cenário se aplica para o método White Box, onde o Pentester terá informações detalhadas de uma rede ou aplicação, como credencial válida, conhecimento de domínios da empresa, topologia da rede, tecnologias em uso, acesso a compartilhamento de arquivos, entre outras informações.

Nesse estágio será possível validar se as ferramentas, processos e pessoas, se estão realmente seguros com base nas políticas e diretrizes em uso, ou se existem brechas que possam ser exploradas de dentro para fora.

Alguns estudos apontam que na maioria dos casos, os vazamentos de dados ocorrem por pessoas internas, sendo vários os motivos que os levam a fazer esse tipo de ação, portanto o Pentest em modelo White Box, visa mapear o quanto antes possíveis falhas internas que permitiria alguém expor informações da empresa de forma não autorizada.  

Conclusão

Sabendo quais são os principais métodos praticados no serviço de Pentest, fica claro que a combinação de todos eles oferecem uma abordagem ampla e realista da maturidade de segurança da empresa.

Não necessariamente todos eles precisam ser validados ao mesmo tempo, existem projetos que podem englobar os três métodos, ou podem ser aplicados de forma individual, recomenda-se entender o momento atual da empresa para identificar qual a melhor metodologia se aplica para aquela realidade.

Por exemplo, uma empresa que nunca passou por uma análise de Pentest, geralmente opta por uma abordagem Black Box para ter uma visibilidade inicial da superfície de ataque que ela está exposta ao mundo externo, agora uma empresa que já passou dessa fase, e tem uma recorrência maior desse serviço de forma trimestral, semestral ou anual, geralmente costuma praticar os três métodos ao decorrer de sua programação. 

Com base nessas informações, é aconselhado sempre que possível realizar o Pentest de forma recorrente, pois tecnologia, processos e pessoas mudam de forma muito rápida devido as transformações digitais que vivemos, uma boa prática seria criar um programa semestral revezando entre diferentes provedores de serviço conforme boa prática de mercado.