Pentest conhecido como teste de invasão, é um método que avalia a segurança de uma rede ou de um sistema por meio de uma simulação de ataque ao ambiente. O processo envolve, explorar e identificar vulnerabilidades em potencial, focando nas particularidades de cada aplicação.
Quais são tipos de Pentest?
Existe três categorias de Pentest:
Black Box – Simula uma situação real, uma vez que profissional responsável por realizar o teste de invasão, não obtém acesso às informações, obrigando acessá-las como se fosse um hacker.
White Box – É o teste mais extenso, pois o profissional tem acesso ao ambiente que será explorado, obtendo informações sobre rede, infraestrutura, algumas senhas, usuários e outros.
Por atuar em um teste mais superficial, não costuma ser mais solicitado pela as empresas, sendo que sua metodologia não simula uma situação de ataque real.
Gray Box – É uma combinação entre as duas categorias anteriores, o responsável pelo Pentest, terá acesso a algumas informações limitadas sobre o ambiente que será testado.
Na prática, as três categorias conseguem ser usados em diversos cenários, desde os serviços em rede, aplicações web e até engenharia social.
Você Sabia?
Hackers são pessoas com profundos conhecimentos em programação e técnicas de invasão de sistemas computacionais, popularmente sua imagem está vinculado como vilão, bandido ou ladrão digital, mas o verdadeiro Hacker é ético e procura realizar seus trabalhos de forma segura e em prol da honestidade. No caso dos verdadeiros cibercriminosos são conhecidos como Crackers.
Benefícios do Pentest?
- Evitar o custo do tempo de inatividade da sua aplicação
- Evitar o custo do tempo de inatividade da sua rede
- Atenda aos regulamentários e evite multas
- Evitar Contribui para manter a reputação da empresa, já que o teste de invasão mostra o comprometimento da organização em certificar da segurança corporativa.
Quantas vezes devo usar Pentest?
"O recomendado que o teste de invasão seja feito anualmente, pois neste período, novas vulnerabilidades podem ser descobertas."1
É recomendado, também, que seja feito toda vez que acontecer uma mudança considerável na infraestrutura de TI.
O que é OWASP?
"O OWASP (The Open Web Application Security Project) é uma fundação sem fins lucrativos que trabalha para melhorar a segurança do software. Por meio de projetos de software de código aberto liderados pela comunidade, centenas de capítulos locais em todo o mundo, dezenas de milhares de membros e conferências educacionais e de treinamento líderes, a OWASP Foundation é a fonte para desenvolvedores e tecnólogos protegerem a web."2
Referencias: 1- (Guia do Teste de Penetração - PCI Security Standards Council, 2017, p. 6)