Essencialmente, o pentest busca tentar simular um hacker, de forma ética, e auxiliar o cliente e sanar as vulnerabilidades
Por Julio Cesar Fort
O cenário pandêmico que convivemos nos últimos dois anos acabou alterando a lógica em diversos setores da sociedade.
No mundo corporativo, uma das consequências mais impactantes vem sendo o expressivo crescimento nos números de tentativas de ataques cibernéticos.
Segundo o relatório “How Covid-19 is impacting future investment in security and privacy”, divulgado pela consultoria EY, somente no ano passado os ataques ilícitos em sistemas tecnológicos corporativos aumentaram em cerca de 300% em relação aos meses pré-pandemia.
O levantamento levou em consideração mais de 130 companhias de cinco continentes, em países como Estados Unidos, Brasil, África do Sul, Suíça, Índia e Dinamarca, entre outros.
Diante desse grave problema, as corporações de todo o mundo buscam encontrar soluções para não só resolver quando o problema acontece, mas também evitar de forma antecipada essas adversidades.
Neste contexto, cresce no mercado a prática conhecida como pentest, nome surgido a partir dos termos em inglês penetration testing, ou teste de penetração (também conhecido como teste de intrusão no Brasil).
Essa definição dá nome a uma simulação controlada de um ataque a uma rede ou sistema informático de uma instituição ou empresa.
O intuito dessa execução é encontrar pontos fracos e possíveis vulnerabilidades de forma antecipada aos invasores, que poderiam se aproveitar dessas brechas para causar danos à empresa, como vazamento de dados ou fraudes.
Sendo assim, a companhia consegue antever fraquezas em seu sistema para que haja resoluções prévias e que esse gap seja solucionado antes mesmo de um ataque.
Essencialmente, o pentest busca tentar simular um hacker, de forma ética, e auxiliar o cliente e sanar as vulnerabilidades antes que um malfeitor tire proveito delas.
Benefícios e condições
Podendo ser conduzidos tanto de forma presencial quanto remota, os pentests podem testar os serviços de rede, aplicação web, softwares, até as redes sem fios oferecidas pela corporação.
Independente do conteúdo que será avaliado, esta prática exige alguns passos estruturais importantes para atingir as expectativas prescritas pela empresa alvo.
Uma dessas condições é a participação de profissionais com ampla experiência no momento de execução. Isso porque além de exigir um conhecimento técnico vasto e variado, é preciso que eles não apenas conheçam de perto as técnicas e táticas mais comuns utilizadas pelos hackers, mas também saibam combater essas tentativas.
Outra premissa que faz parte desse processo de pentest é o acompanhamento constante por parte dos profissionais da área.
Essa revisão no trabalho é essencial para acompanhar o desenvolvimento que acontece também por parte dos hackers, que rapidamente podem encontrar brechas não percebidas anteriormente.
Além disso, é preciso saber se o trabalho feito anteriormente segue sendo efetivo contra as ferramentas utilizadas por esses criminosos no contexto atual. A sugestão ideal é de que esse acompanhamento ocorra, pelo menos, uma vez ao ano.
A partir dessas condições, a expectativa é compreender e testar de forma ilustrativa e com experiências reais, as defesas da companhia contra os cada vez mais frequentes ataques virtuais.
Dessa forma, é possível traçar planos de mitigação e redução de riscos para manter a continuidade de negócio sem impacto operacional, livre de ataques dos hackers maliciosos.
Etapas do processo
Da mesma forma que apresenta condições para o seu funcionamento, a execução do pentest também exige que algumas etapas sejam realizadas para que se obtenha êxito na execução.
O primeiro passo é uma preparação inicial bastante minuciosa e detalhada. Essa etapa prévia envolve todo o entendimento do escopo de trabalho.
Nisso, é preciso elencar os sistemas utilizados pela companhia que serão alvo dos testes, os objetivos que a análise deve alcançar, além dos sistemas e tipos de teste ideais.
Essa fase do processo é essencial, já que apenas por meio de um conhecimento aprofundado da empresa analisada será possível encontrar vulnerabilidades e pontos fracos na instituição, sejam eles computacionais ou humanos.
Em seguida, o profissional deve explorar essas brechas identificadas, simulando um ataque e demonstrando o perigo que um possível investida hacker poderia causar para a organização.
Todos esses resultados são compilados em um relatório detalhado com informações técnicas e um sumário gerencial para os executivos da instituição, além de uma apresentação em alto nível para a gerência.
Vale dizer que na maioria das ocasiões as análises de segurança são realizadas em ambientes replicados do ambiente original da empresa, ou seja, não é exatamente onde as operações ocorrem.
No entanto, por outras vezes, contudo, é possível executar a simulação diretamente nos sistemas em operação.
Nestes casos, é imprescindível alinhar o trabalho junto à equipe de TI da instituição para não realizar ataques mais agressivos, ou fazê-los, por exemplo, fora do horário comercial.
Diante de todo esse cenário, as evidências apontam que o pentest é hoje um dos recursos mais eficazes para evitar os ataques cibernéticos no mercado corporativo.
Sem dúvida, a sua implementação de forma massiva pode resultar em um grande avanço no combate à onda de vazamento de dados e fraudes digitais.
Sobre o autor
Julio Cesar Fort é sócio e diretor de serviços profissionais da Blaze Information Security. Especialista em cibersegurança com quase 20 anos de experiência, agregou a equipe de segurança cibernética das Olimpíadas de Londres de 2012 e do banco de investimentos UBS.
Necessidade de proteção às informações e utilização do Pentest
O que é engenharia social? Por Petter Lopes
Cadastre-se para receber o IDNews
E acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!