por Lucas Dartora

Um teste de vulnerabilidade ou Pentest (teste de penetração) tem como principal objetivo descobrir quais as vulnerabilidades estão presentes em seu ambiente de rede através de revisões abrangentes e sistemáticas, buscando identificar no sistema quaisquer pontos fracos que o torne suscetível a ataques ou tentativas de invasões que podem se materializar em um incidente.

Antes mesmo de aprofundarmos no tema “teste de vulnerabilidades” vamos entender o que é uma vulnerabilidade. Vulnerabilidades são fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações que, ao serem exploradas por ameaças, permitem a ocorrência de um incidente de segurança, afetando negativamente um ou mais pilares da segurança da informação: confidencialidade, integridade e disponibilidade.

Existem diversas vulnerabilidades já conhecidas pelos desenvolvedores, por isso, existe um documento padrão de conscientização para os desenvolvedores e segurança de aplicativo da web, seu nome é OWASP Top 10, que detalha e classifica as 10 vulnerabilidades mais comuns e prejudiciais aos negócios, dentre elas estão respectivamente:

A01 – Quebra de Controle de Acesso;

A02 – Falhas Criptográficas;

A03 – Injeção;

A04 – Design Inseguro;

A05 – Configuração Insegura;

A06 – Componente Desatualizado e Vulnerável;

A07 – Falha de Identificação e Autenticação;

A08 – Falha na Integridade de Dados e Software;

A09 – Monitoramento de Falhas e Registros de Segurança;

A10 – Falsificação de Solicitação do Lado do Servidor.

O processo de execução de um teste de vulnerabilidade é composto por seis etapas. As quais podemos citar:

1. Coleta de informações: buscar dados públicos ou privados da empresa ou do negócio aonde será aplicado.
2. Scanning: coleta de IPs, portas abertas, servidores, e qualquer outro ativo conectado em rede.
3. Enumeração: objetivo é analise de serviços e versões de sistemas operacionais.
4. Análise de Vulnerabilidades: busca por falhas documentadas.
5. Hacking: explorar as falhas para quebrar senhas, interromper serviços, acessar algum dado indevidamente.
6. Pós-Exploração: limpeza de rastros, alteração ou manutenção de acessos.

 

Através do teste de vulnerabilidade é possível identificar ameaças que o ambiente da organização possui e que pode ser materializado em um incidente, causando danos reputacionais, financeiros e entre outros. Dentre os benefícios de um teste de vulnerabilidades podemos citar:

✔ Avalia o risco, meça o nível da segurança de sua empresa

✔ Identificar vulnerabilidades conhecidas e trata-las

✔ Identificar configurações incorretas

✔ Testar passivamente os controles de segurança

✔ Identificar a falta de controles de segurança

 

A Égide Pró possui profissionais capacitados para realizar o teste de vulnerabilidades e fornecer um relatório final de vulnerabilidades identificadas, e quais as medidas técnicas de segurança a serem implementadas para explorar, mitigar, transferir ou aceitar o risco.