O artigo fala sobre metodologias de Pentest e traz uma pesquisa com empresas nacionais que atuam na área. Aqui segue a Introdução:
Nos últimos anos, a gestão da segurança da informação tem
sido um assunto gerador de bastante estresse para as empresas, em especial, às
equipes de TI (Tecnologia da Informação). Algumas empresas dão a devida atenção
ao tema, mas ainda hoje, é comum deparar-se com instituições onde a segurança
das informações é vista de forma secundária e que provavelmente, só será
relevante quando um incidente grave de segurança acontecer. Aliada a essa drástica
realidade, algumas equipes de TI seguem um modelo ultrapassado de gestão, no
qual um bom programa antimalware[1]
e um firewall eram considerados suficientes
para sanar o problema. Atualmente a gestão da segurança da informação é um
campo bem mais amplo e complexo, demandando maiores cuidados, investimentos e
ferramentas que visam proteger os negócios da empresa.
Para as empresas que se preocupam com essa gestão, os
Pentests (Penetration Tests) ou
Testes de Penetração vêm se tornando uma prática imprescindível, fundamental e
em alguns casos, obrigatória. Após incidentes de segurança e manifestos como o
do hacker de pseudônimo “The Mentor”[2],
as empresas começaram a se interessar pelo fato de estarem vulneráveis na rede
mundial de computadores. A ideia de atacar seus próprios sistemas para
identificar vulnerabilidades antes que hackers
o fizessem parecia então mais promissora, senão obrigatória. Equipes foram formadas
para invadir sistemas de computadores, mas conforme Banks e Carric (2008), sem
uma metodologia específica e com diversas táticas radicalmente diferentes ente
si, as empresas não se sentiam seguras o suficiente com os resultados obtidos,
principalmente quando comparados. Se o resultado não pudesse ser reproduzido,
não se tratava de um teste de penetração, mas de uma invasão qualquer; fato que
acabou se tornando uma premissa para os Pentests.
Os Pentests são testes de penetração contra a
infraestrutura de um sistema ou rede, utilizando métodos específicos para
estimar seu nível de segurança. Conforme Kang (2008), o uso dos Pentests pelas
organizações para testar a segurança dos seus serviços e sistemas de informação,
antes que usuários mal-intencionados o façam, vem crescendo. Em alguns casos
como no padrão PCI DSS[3]
(Payment Card Industry Data Security Standard),
a realização de um Pentest é obrigatória ao menos uma vez por ano, ou sempre
que houver qualquer alteração ou upgrade significativo na infraestrutura ou nos
aplicativos. A aplicação de um Pentest permite identificar vulnerabilidades nos
processos, nos recursos e nos sistemas do negócio. Permite à equipe de TI
mensurar o quão seguro/inseguro é o seu ambiente corporativo e consequentemente
prover informações para melhor direcionar os investimentos em segurança. Isto
faz com que os sistemas fiquem menos vulneráveis. Além disso, conforme Corsaire
(2009 apud Vernersson, 2010), a
execução de Pentests evita perdas financeiras e de receitas, evitando que haja
uma quebra de confiança nos sistemas e processos. Também prova a devida
diligência e respeito aos reguladores da indústria aos seus clientes e
acionistas, visto que uma não conformidade pode se transformar rapidamente em
perda de negócios e consequentemente de recursos financeiros. Outro motivo para
a aplicação dos testes é identificar vulnerabilidades e qualificar seu impacto
para o negócio, permitindo que as empresas hajam de maneira proativa.
Num cenário em que diferentes metodologias podem ser aplicadas
para executar um Pentest, contra empresas que possuem diferentes ativos,
pode-se chegar à seguinte problemática: Qual a metodologia mais abrangente a
ser utilizada na aplicação de um Teste de Penetração? Existem diversos métodos
e a escolha de um deles para a execução dos testes não se apresenta como uma
tarefa fácil. Optar por uma metodologia adequada representa um passo muito
importante para a execução bem sucedida de um Pentest.
O presente trabalho tem por objetivo comparar algumas das
metodologias de Pentest utilizadas no mercado, a fim de descobrir qual delas é
mais abrangente, considerando-se o seu escopo, atualizações, prazos de
execução, entre outros fatores. As seguintes metodologias farão parte desse
estudo comparativo: ISSAF, NIST, OSSTMM e OWASP. Além de comparar essas
metodologias, foi realizada uma pesquisa com empresas que aplicam Pentests no
Brasil para descobrir qual delas é a mais utilizada na prática, bem como suas
motivações. Ao resultado dessa pesquisa, foi realizada uma comparação com o
trabalho de Santos (2010), no qual, entre outros resultados, concluiu-se que 35,29%
das empresas apostariam em “metodologias proprietárias” para a execução dos
testes num futuro próximo, a despeito das metodologias disponíveis na época da
pesquisa.
Para ler o artigo na íntegra acesse: http://www.cristiano.eti.br/Documentos/Artigo-Pentest-Cristiano.pdf
Nenhum comentário:
Postar um comentário