Black Box
O teste da black box ou caixa preta assume que não existe qualquer conhecimento prévio da infraestrutura a ser testada. Sendo que o primeiro teste deve determinar a localização e extensão dos sistemas antes de iniciar a análise.
Um Pentest ou Teste de Intrusão é um teste que simula de forma real um ataque malicioso em uma aplicação ou sistema. O teste tem o objetivo de encontrar e explorar falhas de segurança em redes e aplicações. É uma simulação de um ataque real feito de forma controlada e documentada, onde, ao final, é entregue um relatório completo informando detalhes sobre as vulnerabilidades encontradas e recomendações para mitiga-las.
A filosofia do Pentest funciona da seguinte forma: O analista enxerga o sistema de maneira ofensiva – com os olhos de um hacker – ou seja, de fora para dentro, e não da maneira defensiva (de dentro para fora).
O Pentest é feito da forma mais manual possível. Isso é um trabalho complexo e demanda de mais tempo, porém, em contrapartida, a aplicação é testada da maneira mais realista possível, simulando ataques reais. Isso significa que todos os controles são testados exaustivamente sem a utilização de ferramentas de softwares automatizados, os quais causam grande número de falsos positivos. As falhas não somente são identificadas como também são exploradas, demonstrando a sua prova de conceito. Cada vulnerabilidade é classificada com um nível de risco de impacto e é analisada detalhadamente para verificar possíveis escalações de privilégios no sistema a partir dela.
No Pentest, são conduzidas simulações de ataques reais, resultando na descoberta de falhas da configuração e/ou vulnerabilidades. Vulnerabilidades estas que possam vir a permitir que a sua empresa sofra impactos com ataques direcionados, perdendo a disponibilidade, integridade e confidencialidade de informações e sistemas.
O Pentest deve fazer parte do programa de Segurança da Informação da sua empresa. Ele tem por objetivo verificar a resistência do sistema em relação aos métodos atuais de ataques. Este método pode ser simplesmente de engenharia social, ou mais complexo como, por exemplo, utilizando técnicas de ataques a sistemas externos e internos de sua empresa. Uma vez comprometendo algum sistema interno da empresa exposto para o exterior, o atacante pode obter muito mais do que somente acesso ao sistema interno exposto, em alguns casos de nossos clientes, após nossos consultores obterem acesso a um sistema interno da empresa alvo, foi possível até mesmo a invasão de máquinas de gerentes e gestores da empresa, obtendo documentos e cópias de CNH, CPF, RG e até mesmo comprovantes de renda. Estas informações poderiam originar um ataque financeiro a gestores e gerentes da empresa onde um atacante, por meio destes dados e informações, poderia abrir contas bancárias e solicitar empréstimos a bancos com o nome dos devidos funcionários da empresa.
Inicialmente, existe uma conversa com o cliente sobre a definição do escopo do pentest. É nessa fase que serve para educar o cliente sobre as expectativas de um escopo completo.
Nesta fase, é realizada uma coleta detalhada de inteligência (informação), requerida para criar uma representação compreensiva da organização e suas operações. Alguns modos de coletar essas informações é através do Google hacking, footprinting, redes sociais, etc.
Aqui, as informações coletadas na fase anterior são utilizadas para identificar qualquer vulnerabilidade existente do alvo. É onde se determina os métodos mais eficientes de ataque.
Durante a análise de vulnerabilidade as informações coletadas são usadas para entender quais tipos de ataques são mais viáveis. Podem ser realizados escaneamentos de portas e vulnerabilidades, dados coletados de banner grabbing, etc.
Aqui executamos exploits contra as vulnerabilidades que descobrimos (às vezes usando ferramentas como o Metasploit) em uma tentativa de acessar os sistemas do cliente.
Durante a pós-exploração, reunimos informações sobre o sistema atacado, procurando por arquivos interessantes, tentando elevar nossos privilégios quando necessário, e assim por diante. Podemos, por exemplo, despejar os hashes de senha para ver se nós podemos revertê-las ou usá-las para acessar sistemas adicionais. Nós também podemos tentar usar a máquina explorada para atacar outros sistemas anteriormente não disponíveis para nós, girando/articulando para eles.
É a fase mais importante do pentest. Será gerado um relatório para comunicar o que foi feito, como foi feito e como a organização deve corrigir as vulnerabilidades descobertas durante o pentest. As informações obtidas são essenciais para o programa de Segurança da Informação da organização. A organização deve utilizar essas informações para aumentar a conscientização da Segurança da Informação e se proteger do que foi descoberto melhorando a segurança como um todo, seguindo à risca as recomendações do relatório, e não apenas aplicando pacotes de correções.
Para proteger o cliente contra a divulgação não autorizada de dados identificados pela Optra Security durante a realização do serviço e da não divulgação, seja por qualquer circunstância, dos resultados adquiridos, um Acordo de Confidencialidade será assinado entre ambas as partes. Um acordo formal deverá ser assinado antes da realização do serviço de Pentest entre as partes envolvidas, a fim de afirmar a confidencialidade dos dados adquiridos durante os testes pela Optra Security. É feita uma análise ativa de deficiências técnicas, vulnerabilidades e fraquezas da atual infraestrutura física e lógica que hospeda os objetos em questão (como localidades e sistemas acessíveis ao público interno e externo de uma empresa), sempre visando a disponibilidade, integridade e confidencialidade das informações do cliente.
Nosso serviço de Pentest segue os padrões internacionais de Testes de Intrusão, como NIST 800-115, OWASP, OSSTMM, ISSAF/PTF e PTES sempre com o objetivo de garantir a maior qualidade e confiabilidade possíveis para o cliente. Utilizamos ferramentas exclusivas para o serviço, que é realizado de forma a garantir total confidencialidade para o cliente.
Entre em contato conosco e solicite um orçamento sem compromisso!