Análise de Vulnerabilidade e Pentest - Athena Security

Análise de Vulnerabilidade e Pentest

Em uma época em que o mercado está cada vez mais digitalizado, investir na análise de vulnerabilidade é essencial para preservar a segurança da informação de qualquer empresa. Afinal, é preciso ter em mente que dados de clientes ou referentes a contratos e títulos acionários podem ser mais valiosos do que equipamentos.

Assim, é preciso utilizar as ferramentas e estratégias certas para se prevenir de ataques cibernéticos e, consequentemente, manter toda informação protegida. Todavia, nesse cenário, existem dois termos que costumam ser utilizados como sinônimos, mas que na verdade não são a mesma coisa: análise de vulnerabilidade e pentest.

Essas são atividades com ações e objetivos distintos. Quer entender mais sobre as diferenças dessas duas avaliações? Confira, abaixo, tudo que você precisa saber sobre o uso de ambas no seu negócio!

Análise de vulnerabilidades

A análise de vulnerabilidade tem por objetivo identificar e consertar sistematicamente as brechas e falhas do ambiente de rede e sistemas. Para um processo detalhado e conciso, devemos contar com o acompanhamento de perto de profissionais qualificados em segurança de dados, pois o desenvolvimento do projeto possui etapas que tem como objetivo detectar falhas, controlar o reconhecimento e removê-las.

análise de vulnerabilidade é realizada para identificar e corrigir falhas de redes e sistemas. Entre os objetivos da atividade estão:

  • a identificação e o tratamento de falhas que comprometem a segurança da empresa;
  • a seleção de soluções de segurança e mecanismos para bloquear ataques;
  • a alteração de configurações para tornar os softwares menos suscetíveis a ataques, entre outros.

É importante deixar claro que a análise de vulnerabilidade é uma ferramenta a ser usada dentro de uma política de segurança da informação. Sendo assim, há que atentar para a necessidade de criar uma cultura que protege a empresa, elaborando uma estratégia consolidada de segurança de Tecnologia da Informação (TI).

Desse modo, o acompanhamento das vulnerabilidades da organização consiste em um processo contínuo, que define, identifica, classifica, combate e monitora as falhas de segurança em todo o contexto que compreende o manuseio de dados sensíveis.

Em suma, a análise de vulnerabilidade faz parte da cultura de segurança da informação. Com o auxílio de profissionais especializados, a empresa obtém um diagnóstico completo e capaz de qualificar os níveis de perigo dos processos decisórios dos gestores com a finalidade de assegurar a confiabilidade, a estabilidade e a disponibilidade dos dados, softwares, sistemas e infraestrutura do departamento de TI.

Pentest

Conhecido como teste de intrusão, busca a exploração de falhas e vulnerabilidades identificadas no decorrer do projeto. É ideal para saber qual as ferramentas, softwares, sistemas, websites, do seu ambiente de tecnologia podem ser invadidos por um cibercriminoso e as formas que isso pode ocorrer. Avaliando então a maturidade de segurança de um ponto de vista técnico avançado de todo seu ambiente.

As primeiras etapas que compõem essa ação são o reconhecimento da infraestrutura de TI e a varredura e identificação de falhas e vulnerabilidades. A partir daí, inicia-se a fase de simulação do ataque. O resumo dos resultados encontrados e as recomendações de solução também são entregues em forma de relatório.

Cadeia de Processos OWASP

TOOLS REQUIRED
Fase de reconhecimento, nesta fase é efetuado um levantamento das informações para análises que serão efetuadas no ambiente a ser auditado.

WEAPONIZATION
Com as informações técnicas necessárias, esta etapa consiste na execução
e análise dos respectivos resultados do ambiente ou sistema auditado.

TOP TEN EXPLORATION
Nesta etapa é realizada busca por falhas ou vulnerabilidades (já conhecidas) com obtenção de evidências.

TOP TEM EXPLORATION
Esta fase pós análise de execuções anteriores as vulnerabilidades identificadas no ambiente/sistema, foca na exploração de uma lista das vulnerabilidades de alto risco com alta frequência de utilização.

EXTRA EXPLORATIONS
Desenvolvimento e entrega de malwares, códigos maliciosos, payloads, entre outros.
Explorações extras que podem trazer resultados ou evidências para os relatórios.

OWASP RISK RATING

Para entrega dos relatórios, esta etapa consiste na execução do OWASP RISK RATING utilizando as suas 6 etapas para analisar das falhas ou vulnerabilidades identificadas.

REPORT
São geradas informações detalhadas de todo a cadeia do processo dos projetos. Apresentadas então relatórios gerenciais e relatórios técnicos para as devidas apresentações.

Cadeia de Processos PTES

RECONNASSANCE
Seleção das ferramentas necessárias durante um pentest. Definir as seguintes ferramentas são obrigatórias para concluir um pentest com os resultados esperados.

INTELIGENCE GATHERING
Nesta etapa de INFORMATION GATHERING são também utilizadas técnicas e ferramentas de inteligência, aumentando o levantamento de informações para a execução do pentest.

TOP TEN EXPLORATION
Etapa onde é executado as análises com as ferramentas definidas e informações coletadas anteriormente para que seja possível analisar e avaliação dos riscos.

EXPLORATION
Após efetuar as análises de falhas e vulnerabilidades identificadas, a etapa de
exploração consiste na aplicação e desenvolvimento de códigos para evidenciar testar vulnerabilidades e falhas.

POST ESPLORATIONS
Etapa realizada quando há sucesso na intrusão de sistemas, serviços, aplicações, entre outros. Nela é realizado atividades de enumeração interna ou um simples “whoami” por exemplo.

REPORT
São geradas informações detalhadas de todo a cadeia do processo dos projetos. Apresentadas então relatórios gerenciais e relatórios técnicos para as devidas apresentações.

Tipos de PENTEST

White box

Todas as informações do cliente sobre a rede, servidores, banco de dados e sistemas que estão inclusos no escopo do teste de invasão, e demais informações de acesso são fornecidas para que possam ser realizados testes extensivos e com maior abrangência. Testes White Box são conhecidos por analisar aplicações web, infraestruturas internas onde a configuração do servidor e o próprio código-fonte são auditados em busca de falhas de segurança que possam comprometer o serviço.

Black box

Nenhuma informação sobre os sistemas, arquiteturas ou demais é passada ao executor. É o tipo de análise mais próximo de um ataque externo, pois nenhuma informação vinda do cliente é fornecida ao analista de teste. Sendo assim, todo e qualquer tipo de informação para a realização de um teste Black Box é adquirida através de técnicas específicas de hacking sobre os serviços disponíveis do alvo, identificando assim as vulnerabilidades e os possíveis danos causados por um ataque mal intencionado.

Grey box

É uma mistura entre modalidades anteriores, informações básicas são fornecidas ao executor, tendo uma limitação nas informações recebidas. Um bom exemplo de teste Grey Box são aqueles direcionados para analisar possíveis falhas de segurança em uma aplicação externa.

Após identificar o tipo de pentest a ser realizado, também categorizamos os tipos de projetos de acordo com as descrições abaixo:

Teste Interno

Este tipo de teste é realizado dentro da infraestrutura do cliente com uma ótica de um funcionário interno, é dimensionado em função do número e tipos de ativos no escopo.

Teste Externo

É realizado a partir de origens externas, os ataques e técnicas utilizadas a este serviço é dimensionado em função do número de filiais e demais localidades da organização.

Teste por aplicação

Este teste é dimensionado de forma específica, que pode ser feito internamente ou externamente, com foco em apenas a aplicação.

Metodologias

As metodologias são descritas por organizações Internacionais ou projetos e fundações Open Source, de comunidade aberta. Estes projetos têm um alto padrão de qualidade, permite muitos desenvolvimentos e estabelece padrões a serem seguidos. Nós da ATHENA SECURITY seguimos como embasamento as metodologias descritas abaixo:

Projeto desenvolvido para ter maior abrangência em todas as etapas de um Pentest, com sua ampla estrutura de execução permite aos profissionais seguirem padrões.

Trata-se do Projeto mais conhecido em Cyber Segurança de aplicações WEB, com ferramentas desenvolvidas exclusivas para testes WEB permite e estabelece diversos testes em aplicações ou web-sites.

Matriz de risco detalhada

O processo de análise de matriz de risco é efetuado e descrito na documentação elaborada. Existe definido um padrão para análise, mantendo e adequando ao nosso padrão de qualidade.

A matriz de risco é gerida a partir de duas vertentes para análise, sendo então uma prática de fácil análise. A análise para sua colocação no gráfico só pode ser efetuada de acordo com sua identificação. Sendo seguido uma pontuação de “0 à 10” para cada vertente.

De acordo com a descrição efetuada para nossa matriz de risco, as vulnerabilidades e falhas se adequaram no gráfico seguindo o processo em quatro etapas:

  • Entender o Contexto;
  • Identificar Risco;
  • Analisar/Avaliar Risco;
  • Tratar Risco.

Relatório e Reporte

Após identificar todas as vulnerabilidades, a equipe de segurança coleta as evidências das falhas de segurança e gera um relatório reportando todos os pontos da aplicação que apresentam brechas, como má configuração de softwares, falta de atualização do sistema, falhas na rede etc. Além disso, são apontados todos os danos que cada falha pode causar à empresa. Com isso, é preciso prosseguir com as etapas de correção dos problemas.

Ao contrário de uma invasão real, a simulação do pentester não causa nenhum dano à empresa contratada. Ela tem total ciência da varredura que será feita em seu site e concede autorização para tal. O objetivo é evidenciar falhas identificadas a partir de vulnerabilidades que representam um risco de segurança em sua página e que os problemas sejam corrigidos evitando então danos reais.

necessita de prática. Você pode precisar resumir evidências de forma clara para todos, desde o pessoal da TI responsáveis por ajustar as vulnerabilidades, até a alta gestão que contratam os auditores externos.

A ATHENA SECURITY entrega dois documentos, uma apresentação executiva e o relatório técnico.  Um contém todas as informações detalhadas e técnicas das atividades e tarefas executadas. Já o outro contém métricas, informações de riscos, gráficos onde mostram informações numéricas, sendo seu objetivo detalhar.

Solicite um orçamento para nossa equipe especialista em segurança.