DevSecOps

22 dez, 2014

Melhores de 2014 – Diferença entre Pentest e Scan Automatizado de Segurança

Publicidade

Co-autor: Leonardo Vergani Analista de Marketing Digital, integrante da Célula Digital da Site Blindado S.A.

Identificar as brechas de um servidor, que representam a exposição das portas de entrada para pessoas mal intencionadas, é fundamental para garantir a segurança da informação. Por isso é necessário utilizar o que há de mais moderno no mercado e realizar a auditoria dos servidores. Essa atitude será crucial para o controle e redução dos riscos.

Scan ou Pentest?

O sistema utilizado para realizar essa auditoria de vulnerabilidade é o Pentest. Ele é uma maneira de estudar as diferentes formas de invasões que podem ocorrer. Mas e o Scan de vulnerabilidade, que realiza uma análise do sistema para identificar possíveis falhas? Eles não tem a mesma função?

Essa dúvida é corriqueira e alguns profissionais ainda não entendem essa diferença, afinal, aparentemente eles fazem a mesma coisa. Entretanto cada um cumpre um papel diferente na auditoria de segurança.

Para dar continuidade ao artigo, vamos fazer uma rápida explicação do que se trata cada um deles.  Essas informações serão úteis para relembrar suas aplicabilidades e ajudar os que ainda não a conhecem a entender a diferença entre eles. Ao final do artigo serão apresentadas as diferenças.

Pentest

Pentest é a abreviação da expressão Penetration Test, ou Teste de Penetração. Esta nomenclatura é utilizada para se referir ao ato de realizar os testes de vulnerabilidade em redes, sistemas ou em aplicações da WEB.  Ele é utilizado para encontrar aberturas que possibilitam o acesso as informações das empresas por terceiros, geralmente mal intencionados. Para isso, o Pentest simula ataques reais. Quem realiza esta simulação, a pedido das empresas, são profissionais especializados neste tipo de procedimento de segurança.  Existem algumas modalidades diferentes de realizar o Pentest. Cabe ao administrador da rede definir qual irá gerar melhores resultados.

Os tipos de Pentest:

  •  Tendem

Existe um roteiro a ser seguido e que foi definido em conjunto entre quem realizará os testes e a empresa que se submeterá a ele. O responsável por realizar o ataque possuí todas as informações necessárias para a atividade. Todos os que estão envolvidos no processo sabem exatamente o que será testado. As pessoas envolvidas no processo são os gestores e profissionais que trabalham na linha de frente do TI das empresas.

  • Reversal

O invasor terá acesso a todas as informações da estrutura do site. Isso permitirá que ele realize os ataques, que serão os mesmos executados por pessoas mal intencionadas. Quando se opta por essa modalidade, a “vítima” no caso, os funcionários da empresa que contratou o produto, não saberão que estão sendo atacados e quais testes serão realizados. Apenas a pessoa que contratou o serviço saberá que serão realizados os testes.

  • Blind

A empresa sabe o que será invadida e como isso será feito, já o invasor não terá conhecimento prévio da estrutura que empresa detém e irá explorar as vulnerabilidades encontradas.

  • Double Blind

O responsável por realizar o ataque não terá acesso a nenhuma das informações referente a empresa que será invadida. A empresa, assim como o atacante, não sabe quais medidas serão adotadas pelo invasor.

  • Gray Box

O invasor sabe algumas informações e o que será auditado, mas são apenas informações parciais. Já empresa sabe que será atacada e os teste que serão feitos.

  • Double Gray Box

O Invasor continua tendo conhecimento parcial. Só que nesta modalidade, embora o empresário saiba que será atacado, ele não saberá quais testes podem ser feitos.

Scan automatizado de segurança

É um software utilizado para verificar as vulnerabilidades do servidor, procurando por pontos que podem ser utilizados como porta de entrada para invasões.

Existem dois tipos de scanners, cada um com as suas características e que atendem a determinadas situações, são eles:

  • Scanners Ativos

São usados para identificar pontos suspeitos que oferecem riscos. O Scanner ativo também é utilizado para analisar portas que foram invadidas por pessoas mal intencionadas e descobrir a vulnerabilidade que foi explorada para isso. Ele pode agir para autobloquear endereços que ofereçam riscos, ou seja, que tenham IP malicioso. O scan ativo aponta direto a uma vulnerabilidade e faz a varredura nela.

  • Scanners passivos

Eles podem ser programados para funcionarem de forma direta, sem interrupções ou para fazer a análise em determinados períodos de tempo, de acordo com a necessidade da empresa. Os passivos monitoram os aplicativos ativos, o sistema operacional e as portas abertas na rede. De uma maneira simples, ele espera as informações passarem por ele para encontrar as vulnerabilidades.

Mas qual a diferença entre Pentest e Scan?

O Scan de Vulnerabilidade atua como uma espécie de radar de superfície. Ele buscará e identificará quais as brechas existentes no servidor, aplicações e outros pontos vulneráveis que representam riscos. Trata-se de um varredura externa, mais generalizada. A empresa pode utilizar dessas informações para tomar ações e minimizar os riscos de ser invadida.

Já o Pentest é um processo mais focado, que inclusive pode utilizar o Scan de Vulnerabilidade para realizar as suas atividades. Depois de definir o tipo de Pentest que será aplicado é necessário seguir um roteiro:

Mapeamento das informações: Nesse processo é realizado o levantamento de todas as informações necessárias para quem irá efetuar a invasão. São levados em conta todos os dados possíveis, tais como nome de funcionários, quem são os concorrentes, qual a atividade da empresa, redes sociais. É importante saber a qual grupo a empresa pertence e quais as outras empresas do grupo, além de todas as informações que o invasor julgue necessárias.

Scan de vulnerabilidade: Neste processo é utilizado o Scan Automatizado de Segurança, que fará aquela análise citada anteriormente e apontará quais os pontos a serem explorados. Não é obrigatório realizar o Scan, mas essa parte do processo é importante, pois muitos responsáveis pelas estruturas das empresas, acabam indicando um determinado ponto a ser explorado pelo Pentest. Não utilizar o Scan pode fazer com que algumas brechas deixem de ser identificadas como potenciais riscos.

Invasão: Realizados todos os procedimento de mapeamento e o Scan de todas as vulnerabilidades, chega a hora de aprofundar a análise e entender as diferentes formas para evitar ataques e como pessoas mal intencionadas podem utilizar destas falhas para invadir o servidor ou aplicação.

Portanto…

…podemos afirmar que o Scan de Vulnerabilidade faz uma análise inicial e é parte integrante do procedimento de Pentest. Ele faz um varredura inicial dos “buracos” que podem oferecer riscos de invasão e o Pentest atua para entender como alguém pode agir para entrar por esses “buracos”.