2.2 - Penetration Test - PenTest (Teste de Penetração)

O teste de penetração não consiste em apurar o quão difícil é invadir uma rede de computadores. É uma busca e identificação de vulnerabilidades em uma rede ou sistema computacional. O objetivo de um PenTest é investigar o sistema do ponto de vista do atacante, identificando exposições de risco antes de se procurar uma solução.

A forma de elaboração de um teste pode variar, desde determinar um breve panorama de segurança da infraestrutura de uma empresa, até o chamado de inspeção profunda, com o objetivo de obter informações específicas sobre um ativo de uma organização.

Um teste de penetração pode revelar:

Que tipo de informação pode ser obtida fora da organização, ou seja, sem necessariamente se conectar à rede da empresa ou acessá-la fisicamente;
Como os sistemas reagem a um ataque;
Se é possível acessar o sistema com informações disponíveis ou já existentes;
Informações que possam se tornar acessíveis em caso de pane no sistema.

Existem três tipos de abordagens para teste de penetração:

Teste de penetração zero

Conhecido com BlackBox, onde o grupo de teste não tem nenhuma informação real sobre o alvo e deve começar com a coleta de informações. Esse tipo de teste foi projetado para oferecer o teste de penetração mais realístico possível.

Teste de penetração parcial

É o Grey Box, onde a organização alvo fornece à equipe de testes informações sobre o que provavelmente um atacante motivado pode encontrar. Um teste de penetração parcial também pode ser escolhido se o objetivo for testar um novo tipo de ataque ou mesmo ou se a equipe quer focar em um host específico da empresa. Para esse tipo de testes é necessário que sejam fornecidos documentos sobre topologia de rede, política de segurança, inventário de ativos e outras informações valiosas.

Teste de conhecimento

Conhecido como White Box, em que a equipe detém muita informação sobre a infraestrutura e sobre os sistemas alvo. Nesse caso, o teste visa simular um atacante que possui um conhecimento íntimo da organização alvo.