Testar os componentes do ambiente de IT é uma tarefa contínua e, por vezes, assustadora. Para que possa melhorar a sua postura de segurança cibernética, é fundamental estar a par das mais recentes técnicas de ataque, assim como testar e avaliar as suas defesas contra essas ameaças.
Foram inúmeras as empresas alvo de ciberataques, e, a fim de colmatar esta avalanche de ataques virtuais, consultoras, como a ActiveSys, têm o dever de consciencializar o público para os constantes cibercrimes e manter a população informada sobre as mais diversas formas de proteção.
Desta forma, a ActiveSys hoje centra-se numa tecnologia recente, denominada de Penetration Testing.
O Pentest, Hacking Ético ou Teste de Penetração em Português, é um exercício de segurança, em que um especialista em cibersegurança tenta encontrar e explorar vulnerabilidades num sistema de computador.
O principal objetivo deste ataque simulado prende-se com a identificação de pontos fracos nas defesas, dos quais os hackers possam tirar proveito, ao mesmo tempo que a superfície de ataque diminui. Para além de testar vulnerabilidades, esta simulação procura testar os colaboradores e processos.
Preferencialmente, estes testes devem ser levados a cabo por elementos externos, que não tenham qualquer conhecimento sobre a política de segurança que a empresa adota. Estes são muitas vezes designados de hackers éticos, uma vez que foram contratados para invadir um sistema, com autorização e com o propósito de aumentar a segurança.
Não existe um pentest de tamanho único, quer isto dizer que os ambientes, os riscos e os adversários são diferentes de uma organização para a outra. Para além disso, há vários tipos de pentesting.
De acordo com a CrowdStrike, são seis os tipos de PenTests:
Interno
Este tipo de teste avalia os sistemas internos da organização, com o objetivo de determinar como um invasor se pode mover por toda a rede.
Externo
Já o externo, afere os sistemas voltados para a Internet, com o propósito de identificar se há vulnerabilidades exploráveis que expõem dados ou acessos não autorizados ao mundo exterior.
Ameaça Interna
Identifica os riscos e vulnerabilidades que podem expor recursos e ativos internos confidenciais a elementos sem autorização.
Aplicação Web
Analisa a aplicação Web em três passos:
– o reconhecimento (onde a equipa descobre informações como o sistema operacional, serviços e recursos em uso);
– a descoberta (identificação de vulnerabilidades);
– a exploração (aproveitamento das fragilidades para obter acesso não autorizado a dados sigilosos).
Wireless
Neste caso, são identificados os riscos e fraquezas associados à rede sem fios, avaliando pontos fracos.
Físico
Este tipo de teste de penetração identifica riscos e debilidades da segurança física, com a finalidade de obter acesso a um sistema de computador corporativo.
Normalmente, nestes testes, o primeiro passo é o reconhecimento, tempo durante o qual um hacker ético passa a recolher todos os dados e informações que vão usar para fazer o ataque simulado.
Após a visão geral, o passo seguinte é o planeamento de todo o processo.
Depois, o objetivo é ganhar e manter o acesso ao sistema, através de um amplo conjunto de ferramentas como SQL Injections e técnicas de engenharia social que facilitam a procura por elementos desprotegidos. Alguns exemplos de técnicas utilizadas são o envio de emails de Phishing e o disfarce de entregadores.
No final, o profissional analisa e partilha os resultados com a equipa de segurança da empresa alvo e esta trata de resolver os problemas de segurança detetados.
Assim, o momento ideal para a realização deste tipo de testes é antes de ocorrer uma violação, e, no mínimo, uma vez por ano, porque, tal como diz o ditado popular “mais vale prevenir, do que remediar”.
Contudo, o aconselhado é a realização destes exercícios de cada vez que sejam adicionados elementos à infraestrutura de rede, ou sempre que houver uma revisão significativa nos principais ativos.
O Teaming é a metodologia de teste de penetração a que as empresas recorrem para organizar melhor as suas credenciais de segurança cibernética. As Red Team, já mencionadas num artigo anterior, utilizam, frequentemente, este tipo de exercício, já que conseguem detetar e expor vulnerabilidades através de engenharia social, de técnicas de Phishing, entre outros.
A ActiveSys é o apoio ideal para ajudar a sua empresa a implementar estas metodologias que garantem a máxima segurança. Não hesite em contactar-nos.