Passos Essenciais para Realizar um PenTest de Valor para as empresas

Resultado de imagem para PTES

Vários profissionais de segurança da informação  se reuniram há muito tempo atrás para discutir quais etapas seriam necessárias para se fazer um PenTest de qualidade.

A idéia era padronizar e  definir o que era realmente um Teste de Penetração, que passarei a chamar daqui para frente de PentTest.

Ajuda os testadores ou como chamamos de “PenTesters” a aumentar a qualidade e repetibilidade dos testes. Isso se deve ao fato que apesar de se realizar os testes em empresas diferentes , as tecnologias utilizadas são semelhantes ou até mesmo iguais. Várias empresas podem utilizar servidores web apache, nginx, joomla , etc. Com isso pode se gerar uma forma sistemática de realizar os testes e mostrar as empresas como realizar esses mesmo testes.

Imagine agora esses mesmos profissionais de segurança , cada um com suas experiências práticas, e seus próprios meios de conduzir seu PenTest, chegarem a um consenso de como seria a forma mais correta e com a qualidade desejada de se realizar um PenTest. Uma tarefa homérica mas que acabou em sucesso.

Cabe ressaltar esse detalhe: Esse padrão foi criado por um grupo de profissionais , com experiência, vivência no mercado, e não por uma instituição ou empresa.

Dai surgiu o Padrão de Execução de Testes de Penetração – PTES (Penetration Testing Execution Standard).

Esses profissionais fizeram um mapa mental, com as informações de como eles faziam seus testes de penetração. Esse mapa foi sendo alterado e adaptado para ser o mais genérico possível para abranger um público maior.

O PTES é bom caminho para profissionais que estão iniciando na área de segurança, e também queiram realizar esses mesmos testes em seu ambiente de trabalho. É melhor você mesmo testar suas fechaduras do que deixar outros fazerem.

Esse padrão criado contêm 7 seções que define o conteúdo de um teste de penetração. Cobre desde a formalização legal e comercial do acordo inicial até como deve ser um relatório sobre os testes. Abaixo segue uma pequena descrição de cada fase.

1 – Pré-acordo de interação

Nessa seção são definidas regras básicas , escopo do teste, pontos de contato e quais as metas desse acordo de interação.

Será definido quais os recursos permitidos que o PenTester poderá utilizar. Ao PenTester é dada a oportunidade para que ele tenha uma melhor compreensão do negócio da empresa e qual aspecto será explorado, e quais os objetivos reais do teste.

Nessa etapa também deverá ser produzido, aceito e assinado o NDA (Non-disclosure Agreement) ou seja , um acordo de não divulgação das informações do PenTest.

O cliente poderá definir diretrizes para o teste e é importante ter uma plena compreensão dos canais de  comunicação adequados com o time que irá realizar os testes.

O objetivo é deixar bem claro para os dois lados quais são as metas a serem alcançadas antes que os testes comecem.

2 – Coletas inteligentes de informação

Essa fase deve ser muito bem feita. É uma das principais etapas. Dessa forma já teremos uma noção do resultado do PenTest. O PenTester constrói uma possível imagem da empresa, uma visão mais clara sobre os aspectos da mesma. Tudo a partir das informações da empresa, as operações, processos de negócios cruciais, informações financeiras, sua presença em mídias sociais e internet e como um hacker usa essas informações para atacá-la. Por outro lado, a organização vai ter uma visão clara  de como ela é percebida por um atacante. Vai verificar quais informações estão sendo publicadas sobre elas sem sua autorização em canais de comunicação legítimos e preparar-se para que tais informações não sejam utilizadas contra elas e corrigir eventuais lacunas nas políticas de divulgação de informações.

A maioria das empresas não entendem a gravidade das informações que podem ser coletadas sobre elas. Por exemplo, nessa fase pode-se descobrir que em algumas máquinas tem um versão desatualizada do Acrobat Reader que pode permitir uma exploração do lado do cliente.

Nessa fase o objetivo é reunir o máximo de informações possíveis sobre o alvo.

Existem muitas ferramentas open-source para coleta dessa informações, é um método chamado OSINT (Open Source Intelligence).

3 – Modelagem de ameaças

Nessa etapa fornece ao PenTester e a organização documentação clara e relevante de ameaças bem como os ativos e os seus valores.

A modelagem de ameaças é realizada em torno de  duas linhas centrais – o atacante e os ativos da empresa. Da perspectiva do atacante, todas as ameaças relevantes são identificadas, pesquisadas, documentadas, e sua capacidade são totalmente analisadas.

De uma perspectiva de ativos de negócios, todos os ativos críticos (seja ele físico, lógico, processo, intelectual, etc) são identificados. Durante a fase de documentação desses ativos, cada sistema de tecnologia de apoio relevante é mapeado, junto com o pessoal responsável, interação, processamento, e o ciclo de vida da informação.

O principal resultado dessa fase é um modelo de ameaças bem documentado que leva em conta os dados coletados e analizados  na fase de coleta de informações, e pode ser criado um árvore de ataques para  mapear locais para análise de vulnerabilidades de processos chaves e tecnologias. Este é outro componente chave para fornecer valor a um  PenTest. Se o cliente não sabe  qual a ameaça para o seu negócio e o seu risco real, para que resolver o problema?

4 – Análise de Vulnerabilidades

Só nesta fase nos deparamos com o mais tradicional PenTest.  Pode fornecer valor para a organização, com informações cruciais , que podem ser atualizadas com as ameaças mais relevantes, possíveis vulnerabilidades que serão utilizadas para a prática de gerenciamento de riscos.

Não é apenas executar uma varredura de  porta ou fazer um  mapeamento da rede. Este é um processo global para analisar os dados coletados e identificar possíveis rotas de ataque, bem como identificar locais para ataques.

O PenTester irá tentar de forma convencional ou não convencionais para identificar vulnerabilidades, patches ausentes, serviços abertos, erros de configuração, senhas padrão, vazamento de informações, e muito mais.

Uma vez que o PenTester analisou as potenciais vulnerabilidades presentes, terá uma clara imagem do que, porque, como, onde e quando executar ataques para confirmar a validade dessa vulnerabilidade.

5 – Exploração

A seção de exploração  inclui o ataque real execução contra a organização.

Não devemos apenas ver scans e tentativas de exploração a partir de uma ou mais ferramentas, mas também e mais importante, um ataque a vulnerabilidades específicas contra os ativos da organização.

Existe o perigo de ataques automatizados, pois deve-se agir sobre as vulnerabilidades identificadas e confirmadas. Isso serve para evitar executar exploits contra hosts que não tem a vulnerabilidade a ser explorada. Isso pode gerar um excessivo tráfego da rede e um risco potencial para o ambiente de negócios, e ainda ser rastreado pela equipe de segurança da organização (se houver) através de IPS/IDS.

6 – Pós-Exploração

Os motivos dessa fase é determinar o valor dos sistemas comprometidos. Esse valor é determinado pela sensibilidade dos dados armazenados nos ativos comprometidos. Ajuda o PenTester a identificar e documentar dados importantes, identificar configurações, canais de comunicação e relacionamentos com outros dispositivos de rede que podem ser usados para ganhar acesso a rede, ou seja, um atacante pode instalar um backdoor para depois ter acesso a rede e voltar ao sistema comprometido quando bem desejar.

Nessa fase também , dependendo do acordo de interação, o PenTester pode realizar uma escalada de privilégios, acessar dados específicos ou ainda causar um indisponibilidade através de uma ataque de negação de serviço. Claro que isso deve ser bem claro no pré-acordo de interação.

7 – Relatório

Finalmente o PenTest deve ser concluído com um relatório claro e útil para a organização. O valor não está limitado a documentar as lacunas técnicas que precisam ser abordadas, mas também precisa fornecer um relatório de nível executivo que reflete a exposição da organização a perda de negócios (financeiros).

Isso pode incluir o significado real  de que os ativos estão em risco, quanto recursos são utilizados para proteger os ativos, e uma recomendação sobre como corrigir de forma eficaz as lacunas encontradas.

Este também é o lugar onde a Organização acaba encontrando o real valor da contratação, em oposição a PenTests mais comuns que o deixam uma grande lista de exploits e vulnerabilidades, sem sua importância real ou impacto nos negócios.

A preocupação deve ser dupla, tanto em gerar um relatório onde os Gerentes possam entender os riscos das vulnerabilidades encontradas, bem como mostrar para a equipe técnica o que foi feito para explorar e concretizar o ataque.

Esse metodologia PTES é muito interessante e de bastante ajuda para os profissionais de segurança que realizam testes de penetração , pois ela dá uma direção dos passos necessários para efetuarem testes para verificar a segurança da rede e de ativos .

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s