o que é pentest

O que é pentest?

Nos últimos anos, cybersecurity e segurança da informação estão ganhando, cada vez mais, importância tanto no mundo dos negócios, quanto em assuntos estratégicos de segurança nacional mundo a fora. O medo de organizações de terem suas informações vazadas, seus serviços sabotados, espionagem industrial, ou mero vandalismo virtual, cresce a cada dia. E entre os tantos serviços prestados por empresas especializadas, talvez o serviço que mais ganhou demanda, foi o de pentest, ou teste de intrusão. Saiba definitivamente o que é e como este serviço funciona.
Neste artigo você vai encontrar:

  • O que é pentest?
  • Por que fazer pentest?
  • Mito sobre a necessidade de um pentest
  • Como um pentest é conduzido?
  • Quais são as fases de um pentest?
  • Pesquisa de mercado: Quanto ganha um pentester?
  • Como iniciar na área (bônus: dicas adicionais de outros 3 dos melhores profissionais da área, do Brasil)
  • Conclusão

O que é pentest?

O pentest, ou teste de intrusão, é um serviço altamente especializado que foca em investigar a estrutura da rede interna ou externa (acessível através da internet) de uma organização, a fim de encontrar problemas de segurança. É importante não confundir com análise de vulnerabilidades ou análise de riscos. O pentest se destaca pela ação prática de efetivamente tirar vantagem das vulnerabilidades em prol de obter acesso indevido aos sistemas e/ou informações da organização que de outro modo, não seria possível por uma pessoa comum.

Por exemplo, uma organização pode contratar um profissional especializado (pentester) para saber se ela está exposta e poderiam haver vazamentos de informações financeiras e contratos de seus clientes. Ou de forma mais comum, saber se um hacker conseguiria acessar seus sistemas e até onde ele poderia chegar, o que poderia fazer uma vez que obteve acesso.

O pentest se diferencia de uma análise de vulnerabilidades pelo fato de haver justamente a exploração das vulnerabilidades encontradas, enquanto a análise de vulnerabilidades apenas apresenta as vulnerabilidades encontradas através do uso ferramentas e técnicas para detectar tais vulnerabilidades, ou seja, sem a prova efetiva da consequência da mesma. Ficamos apenas no campo teórico da questão e impacto da vulnerabilidade.

Uma analise de vulnerabilidades pode indicar a existência de uma fragilidade em um serviço específico, mas não pode determinar a dimensão do problema. Também não tem a capacidade de correlacionar informações e detectar vulnerabilidades que só podem ser detectadas mediante a teste efetivo de exploração.

Por que fazer pentest?

Uma organização pode beneficiar-se de um pentest para prevenir-se de uma gama de problemas, que poderiam ocorrer em caso de um ataque de hacker bem sucedido:

Problemas legais como um processo desencadeado por um vazamento de informação

Imagine a situação: empresa A sofre um ataque hacker e seus clientes enfurecidos processam a empresa por ter suas informações pessoais vazadas na internet. Recentemente o Banco Inter recebeu uma ação coletiva de 10 milhões de reais após vazamento confirmado, apesar de negar ataque hacker.

Imagem prejudicada no mercado perante seus concorrentes e clientes 

O impacto na imagem é algo estimado pela organização e muitas vezes subestimado, mas quando se trata de uma organização com ações na bolsa, as coisas ficam um pouco mais concretas. Um caso famoso onde isso pôde ser visto, foi no ataque à Equifax, que perdeu milhões em valor de marcado (18% do valor total), após a notícia do vazamento tomar as manchetes.

Perda de capacidade de entrega ao ter seus processos de negócio afetados ou inteiramente paralisados

Imagine ter os processos de seu negócio completamente paralisados. Só de imaginar seu coração já bate mais forte, certo? Agora imagine que sua empresa movimenta milhões por dia e que poucas horas de paralização podem representar uma cifra digna de prêmio de loteria. Podemos citar o caso do ataque à Playstation network, que parou por algumas horas devido a não um, mas dois ataques em poucos dias de diferença.

Ação criminosa direta

Este tipo de caso ficou mais evidente nos últimos tempos por conta de ataques e infecções de malware do tipo ramsomware, que criptografa e bloqueia acesso aos arquivos de servidores, sistemas e computadores da organização, e pedem por resgate.

Existem também casos em que os criminosos vão além e partem para extorsão para evitar vazamento de informações, como o caso do ataque à NetShoes.

Mito sobre a necessidade de um pentest

Não se engane, mesmo o site da padaria é um alvo para hackers, por que os servidores da sua empresa não seriam?
Recentemente escrevi no blog da sucuri.net, um artigo sobre as motivações de um ataque hacker em sites na internet, recomendo a leitura. Vou complementar aqui alguns fatores relevantes:

  • Seu site tem valor para melhorar pontuações e “trapacear” no pagerank do Google. Fazendo o site do hacker (ou do cliente do hacker) aparecer no topo das pesquisas para um nicho específico.
  • Os servidores da sua empresa podem servir de trampolim para atacar outras empresas, e assim o ataque parece ter vindo da sua empresa, e não da casa do hacker (que problemão ein?).
  • As informações que transitam na rede interna da sua empresa, tem valor para seu negócio? E se o hacker tivesse acesso a estas informações? Qual seria o impacto da venda destas informações para seu concorrente ?
  • E se as informações de seus clientes vazassem? Qual seria o tamanho da dor de cabeça ?

A regra geral que fica é: Não importa o tamanho do seu site, da sua empresa, do seu negócio. Você é um alvo, e você precisa medir se o impacto de um hipotético ataque sai mais caro que um serviço espacializado. E normalmente a resposta para esta pergunta é sim.

Como um pentest é conduzido?

Se você está interessado em aprender a fazer um pentest, é importante saber que existem algumas metodologias como o OWASP Testing guide e o PTES que ajudam na hora de aplicar testes de conformidade ou algo para balizar suas atividades. No entanto, pentest também tem um pouco de “feeling” do profissional, que só vem com conhecimento e experiência.

Independente do pentest, alguns comportamentos são sempre iguais:

  • Você receberá o escopo a ser testado/analisado, contendo sites, ips, hosts, servidores, serviços;
  • Um objetivo específico (obter informações de clientes, contratuais) ou na ausência de um objetivo, o objetivo passa a ser invadir e tentar controlar o máximo possível de ativos da estrutura da empresa, com acesso administrativo;
  • Assume-se que então seria possível gerar impactos significativos;
  •  Um período de testes com começo e fim, que varia de acordo com a quantidade e/ou complexidade do escopo a ser testado;
  • A definição se este é um teste pontual, será um projeto recorrente, ou será realizado semestralmente e destinado a algum tipo de certificação, como por exemplo, a PCI-DSS.

Quais são os tipos de pentest?

O teste de intrusão não é uma caixa fechada e imutável, que obedece sempre as mesmas condições de pressão do ar e velocidade do vento. Ele pode ser maleável conforme a necessidade do cliente. Mas é papel da empresa (ou do pentester) informar as diferenças, vantagens e desvantagens de cada tipo de pentest.

Confira quais são os tipos de pentest:

  • Black Box – O pentester vai assumir o papel do hacker, para tentar invadir os sistemas da empresa. Para acelerar o processo, o cliente pode fornecer apenas os ips/urls que fazem parte da organização (escopo). Este tipo de teste possui algumas desvantagens e vantagens derivadas da falta de informação e limitação de tempo.
  • Gray Box – A fim de realizar um teste mais focado e eficiente, o pentester recebe um escopo delimitado, detalhes da topologia de rede, relação entre servidores, algumas credenciais e até mesmo acesso VPN, se necessário.
  • White Box – O pentester tem acesso liberado e privilegiado para conduzir os testes (pode por exemplo, verificar o código-fonte de alguma aplicação para validar uma suspeita de vulnerabilidade), e poderá acionar recursos da organização para ajudar a esclarecer dúvidas, como por exemplo, conversar com o desenvolvedor que criou a aplicação em testes.

Confira com mais detalhes no nosso post sobre quais são os tipos de pentest

Quais são as fases de um pentest?

Algumas bibliografias costumam citar que o pentest deve ser dividido em 4 ou 5 fases, mas de maneira geral, eu divido minhas atividades da seguinte maneira:

  • Coleta e análise de informações e reconhecimento do escopo a ser testado
    • Esta fase envolve analisar como a internet “enxerga” os ativos do escopo, via Google, Shodan e várias outras fontes;
    • Investigar domínios, subdomínios, tipos de aplicações e tecnologias ;
    • Identificar e catalogar serviços, versões, frameworks, pilhas de desenvolvimento de aplicações;
    • Identificar possíveis emails e usuários;
    • Levantar outras informações que podem servir de insumo para o pentest;
  • Correlacionar informações e conduzir testes preliminares para priorizar as atividades
    • Encontrou uma aplicação ou serviço que já explorou antes ou já sabe que pode ter problema? Verifico se é explorável ou não, mas não vou a fundo nesta fase;
    • Esta fase visa separar os pontos mais promissores para focar esforços durante a fase de testes;
  • Identificação e exploração de vulnerabilidades
    • Aqueles pontos testados na fase anterior já podem receber mais atenção;
    • Identificar novos pontos de vulnerabilidades;
    • Testar campos manipuláveis de uma aplicação e analisar comportamento;
    • Verificar como serviços se comportam em determinadas situações;
    • Nesta fase, o conhecimento e a experiência pesa pois a malícia na hora de olhar para um determinado cenário e já “enxergar” possibilidades faz toda a diferença.
  • Coleta de evidências das explorações e vulnerabilidades, anotar detalhes
  • Apagar artefatos deixados no cliente, caso aplicável
  • Confeccionar o relatório com o objetivo de auxiliar o cliente no processo de correção dos problemas encontrados

Um pentest não é trivial, e por isso, existem poucos profissionais no mercado e também por esta razão geralmente é um profissional disputado e tem seu “passe” valorizado. O que nos leva ao próximo tópico deste artigo!

E o mercado? Quanto ganha um pentester?

Hoje um pentester júnior ganha entre 4 mil e 6mil reais mensais, mas esta é uma etapa transitória. A partir do momento que ele colocar “pentester júnior” no seu perfil do Linkedin, ele certamente entrará para o radar de outras empresas que buscam pessoas com este perfil cada vez mais. Um pentester experiente e referência no meio, bilingue, atuando remotamente no Brasil, chega a atingir ganhos na casa dos 30 mil reais mensais.

Trinta mil reais mensais parece um pouco assustador (ou empolgante??) para muitos gestores de segurança da informação, gestores de cybersecurity (são áreas diferentes, inclusive temos um artigo explicando a diferença entre cybersecurity e segurança da informação aqui no blog) e head hunters. Mas o raciocínio é simples: O mercado hoje é global e cada vez mais temos opções de trabalho remoto.

Muitos gestores ainda pensam que devem ter o “controle” sobre as atividades de seus geridos, mas a verdade é que quem trabalha remoto, normalmente entrega mais e melhor. Existem estudos que apontam que funcionário produz muito mais quando trabalha remoto, e estudos que dizem que funcionário feliz produz mais e melhor. Oferecer a opção de trabalho remoto é também um diferencial na hora de contratar um profissional mais capacitado.

Temos um post mais completo sobre quanto ganha um pentester, aqui no blog, vale a leitura!

Como iniciar na área

Hoje existem inúmeros materiais disponíveis na internet que vão te ajudar a entender mais sobre como identificar e como explorar uma vulnerabilidade. Recomendamos seguir a seguinte sequência:

Se você quiser acelerar o processo de aprendizagem e já tirar uma certificação relevante no mercado, recomendo apenas uma:

Algumas ressalvas:
A certificação não determina seu sucesso. O que determina seu sucesso, é seu conhecimento, experiência e como você demonstra isso (você precisa saber vender seu peixe).

A certificação vai te ajudar em um filtro primário na hora de disputar uma vaga, mas se você construir uma imagem e um “nome” no mercado, você pode ter ZERO certificações e ter uma excelente carreira.

Conclusão

Fica evidente que este tipo de serviço tem um valor estratégico para qualquer negócio que tem algo a perder. E mesmo que a empresa implemente medidas de segurança complexas, em camadas, e invista em soluções mirabolantes, não há como ter certeza se o cobertor está curto, sem a efetiva e extensiva avaliação de um bom pentester.

Se você quer aumentar a segurança de seus sites e gastar pouco com isso, recomendo a solução da Sucuri.net. O firewall de aplicação é um dos líderes de mercado e um time de profissionais gabaritado está sempre disposto a ajudar #fica a dica.

Leave a Reply

Your email address will not be published. Required fields are marked *