top of page
cyber pentest.jpg

Segurança Cibernética Ativa:
Pentest - Ataque é a melhor defesa!

Prof. Dr. Antonio Celso Ribeiro Brasiliano, CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.

Junho | 2022                                                                                                                                                                           

Quando se trata de ameaças cibernéticas, o ataque é a melhor defesa!!!

Cada organização tem seus orçamentos e custos, resultados de negócios desejados, diferentes fluxos de receita e clientes. E todos, sem exceção, têm interconectividade com a tecnologia, hoje um fator de sucesso crítico. Essa interdependência cria uma necessidade de investimento para proteger o negócio.

 

Entender os processos e resultados mais importantes de uma organização é o primeiro passo para colocar um contexto de negócios em torno da segurança cibernética.

 

As ameaças cibernéticas estão entre os riscos latentes que mais se intensificaram neste século XXI.  Os criminosos buscam formas cada vez mais ousadas e inovadoras para roubar ativos estratégicos e/ou deixar a empresa paralisada, comprometendo gravemente a sua imagem. Com isso, os cibercriminosos estruturaram um grande negócio que pode ter fins lucrativos ou atender a outras motivações, como ativismo político ou espionagem.

 

Dessa forma, as empresas, de qualquer porte e ramo de atividade, precisam, mais do que nunca, de resiliência cibernética.

 

É cada vez mais importante que uma organização conheça sua superfície de ataque, bem como as principais ameaças em torno de seus negócios. Dessa forma, toda organização precisa se preocupar preventivamente para evitar incidentes cibernéticos, e estar preparada para mitigar as consequências, mantendo sua continuidade de processos, sistemas e informações considerados críticos.

 

Para isso, os executivos corporativos e seus gestores de cibersegurança devem saber que as fragilidades proliferam nas organizações, e isso por várias razões. Um caso muito comum é deixar seguir as melhores práticas de segurança e, às vezes, permitir que funcionários ou terceiros tenham acesso ilimitado a todos os seus ativos. Gestores de cibersegurança e equipes encarregadas de proteger o negócio têm entre seus desafios identificar e corrigir essas vulnerabilidades. As ameaças estão em todos os lugares: redes, hardware, aplicativos e dispositivos de funcionários. Muitas vezes, devido à falta de visão, as empresas optam por usar apenas ferramentas automatizadas para testar seus ambientes.

 

Para prevenir a ação do atacante é necessário, antes de tudo, pensar como ele, visualizar a forma como o agressor irá agir. É necessário testar o ambiente utilizado o modus operandi do hacker.

 

Para isso é necessário dispor de uma solução que envolva uma equipe especializada e que seja capaz de simular as ações do atacante. Dessa forma, é possível identificar e explorar em profundidade as falhas de segurança, evidenciando os principais impactos no negócio, mas tomando cuidado para não gerar danos à organização.

Essa solução se chama Pentest e é comandada por hackers éticos. Por isso o pentest é muito mais eficaz, abrangente e preciso que as ferramentas automatizadas. 

 

Um pentest nada mais é do que um teste de penetração, um teste para ver se seu sistema pode ser hackeado. Neste caso, hackers éticos tentam violar sua segurança utilizando-se dos meios necessários.

 

O teste de penetração manual foi projetado para ajudá-lo a identificar as vulnerabilidades críticas conhecidas e desconhecidas em organizações e ambientes. Os testes podem ser aplicados a uma infinidade de alvos: redes, aplicativos, hardware e sistemas para caixas eletrônicos, carros, aviões, dispositivos IoT e muito mais.

A ferramenta pentest apresenta as seguintes vantagens:

- Explora a vulnerabilidade do alvo e o impacto do ataque;

- Encontra vulnerabilidades desconhecidas;

- Valida os processos e sistemas de defesa da empresa, atestando se estão ou não em um nível de maturidade à altura das ameaças atuais.

 

As abordagens técnicas para proceder-se a um pentest são: 

- BlackBox: não há conhecimento prévio sobre infraestrutura de rede e arquitetura de aplicativos. Amplamente utilizado para produzir um cenário de ataque real;

 

- GreyBox: acesso, validação de informações e credenciais legítimas, com o objetivo de que a validação de permissões e autorizações de acesso estejam de acordo com a necessidade do negócio;

 

- WhiteBox:  todas as informações de infraestrutura de rede e arquitetura de aplicativos são fornecidas para análise e revisão de segurança do código-fonte do aplicativo desenvolvido/testado.

 

Com pentest a empresa antecipa intrusos oportunistas, intrusos maliciosos, funcionários insatisfeitos e a ação de malware nas redes.

 

A figura a seguir mostra o processo holístico do pentest, enfatizando que, fazendo uso de diversas técnicas, podemos alcançar uma visão de antecipação, essencial para a empresa prevenir e mitigar ataques cibernéticos.    

 

Sua empresa realiza pentest? Não? Então prepare-se para ser atacado. Só não vale depois chorar...

voltar

bottom of page