Investir nos mais sofisticados recursos de segurança para automação bancária sem dúvida é necessário, já que o mercado financeiro e os clientes de instituições estão entre os alvos mais visados de hackers no mundo todo. Mas para saber se o investimento realmente é positivo é preciso testar as infraestruturas na prática, motivo pelo qual existem os diferentes tipos de PenTest, ou testes de intrusão.
Além dos tipos, existem ainda métodos variados para realizar as análises, sendo que cada um deles se encaixa melhor em determinada situação e infraestrutura. E neste texto abordaremos os diferentes tipos de testes existentes, os métodos mais utilizados para aplicá-los e como definir a técnica mais adequada para o cenário em questão.
Tipos de PenTest
De engenharia social
O intuito desse teste é avaliar se a infraestrutura permite a um intruso manipular profissionais e induzi-los a erros para obter dados da instituição e de clientes dela. Ou seja, é um teste feito em ambientes nos quais o ciberataque depende da interação humana para ter sucesso, como em técnicas de spear phishing, baiting e tailgating.
Por exemplo, um PenTest de engenharia social pode simular um hacker que acompanha um funcionário autorizado dentro da rede até o acesso a um local no qual estão informações valiosas, como funciona o tailgating.
Para aplicações web
Testes em aplicações web, como sistemas de internet banking, são feitos para que elas não sejam disponibilizadas aos clientes com falhas de segurança que colocarão em risco eles e a própria empresa.
Podem ser testes manuais ou automatizados, que além da própria aplicação também avaliam a segurança e procuram vulnerabilidades em demais componentes importantes no ambiente e no funcionamento da aplicação, como banco de dados, rede de back-end e criptografia utilizada.
Em serviços de rede
É uma análise complexa em toda a infraestrutura de rede da instituição, avaliando quesitos como:
- configuração de firewalls;
- protocolos de conexão, transferências e segurança;
- endereços de IP;
- servidores;
- arquitetura.
O objetivo é solificar qualquer vulnerabilidade que seja encontrada em algum ponto que faz parte da rede provedora de serviços da corporação.
Client Side
Como o nome diz, é um teste para que a empresa analise a segurança pelo lado do cliente, aplicado em softwares dos quais eles farão uso. O objetivo é, como de todos os tipos de PenTest, avaliar a segurança, medir impactos de danos e encontrar vulnerabilidades, mas com a diferença de que o Client Side assegura que os clientes poderão utilizar os sistemas disponibilizados a eles com segurança.
O Cliente Side serve para minimizar as chances de os seguintes riscos se tornarem concretos:
- clickjacking: quando um script ou código malicioso é inserido sem que o usuário saiba para induzi-lo a clicar em algo que o invasor deseja;
- sequestro de formulário;
- XXS, ou script entre sites: muito utilizada por hackers para intervir em aplicações web, funciona com a inserção de um código malicioso em uma página web.
Métodos de PenTest
White Box
Entre os tipos de PenTest que abordaremos, o White Box é o mais completo por conta de realizar uma análise completa da infraestrutura testada. Isso ocorre pelo fato de o profissional responsável pelo teste — o pentester, ou hacker ético da avaliação — tem acesso a dados como:
- endereços de IP;
- diagramas da rede;
- configurações;
- credenciais de acesso;
- senhas;
- topografia.
Portanto, o pentester tem possibilidade de direcionar a intrusão e fazê-la de forma ampla, podendo colher dados e percepções para aplicação em melhorias e reformulação de estrutura e recursos de segurança.
Além de simular ataques de agentes de fora da instituição em diversos ataques autenticados e baseados em funções, também simula riscos advindos de agentes internos que detêm muitas informações sobre a companhia. As simulações podem ser feitas por aplicações web que analisam servidores, redes e códigos-fonte em busca de falhas de segurança.
Black Box
Diferentemente do método anterior, no Black Box o pentester não conta com nenhuma informação ou credencial, motivo pelo qual é chamado de teste não autenticado. Dessa forma, a simulação corresponde a um possível ataque de agente externo à organização de maneira fiel.
Com técnicas de hacking, o pentester busca conseguir dados e ter acesso não autorizado a redes, softwares e demais componentes da infraestrutura avaliada, no intuito de encontrar pontos fracos na segurança e avaliar a possibilidade de a infraestrutura ser afetada por uma tentativa de intrusão. Igualmente ao White Box, o tipo de avaliação em questão também permite ataques direcionados à arquitetura alvo do teste de intrusão.
Por conta de o hacker ético não contar com dados e credenciais previamente, o Black Box geralmente demora mais para ser feito, pois o pentester precisa empregar várias formas diferentes de hacking, em tentativa e erro, sem ter em mãos informações que facilitam e agilizam a intrusão.
Grey Box
Aqui temos uma mescla entre os tipos de PenTest vistos acima, conciliação que ocorre da seguinte forma: o responsável pelo teste conta com conhecimento parcial sobre a infraestrutura a ser analisada.
Quanto ao tipo de conhecimento, vai de acordo com os objetivos de teste, podendo ser apenas da arquitetura de softwares, em relação a redes, de credenciais ou de dispositivos. Então, define-se no projeto quais informações e credenciais serão disponibilizadas, sempre em baixo volume, e quais não devem ser.
Como escolher o método mais adequado
Não é uma questão de preferência de um gestor ou da equipe de TI, mas sim de quais são as necessidades do negócio em relação a segurança e serviços entregues e de qual é o cenário da instituição.
O White Box, por exemplo, é indicado para uma infraestrutura cujo projeto ainda está em consolidação. Isso porque os resultados do método ajudam na definição de processos de segurança, diretrizes e prioridades para o sistema. Em vista disso, teoricamente, é um método mais voltado a novos projetos ou companhias que estão iniciando no mercado ou ainda não consolidaram suas estruturas, como fintechs.
Já o Black Box encaixa em um infraestrutura já consolidada e com alto nível de maturidade em segurança, tecnologias e processos, ajudando empresas com essa realidade a complementar os seus recursos de segurança. Ou seja, no geral é indicado a grandes bancos e demais instituições que possuem infraestruturas muito sólidas há algum tempo.
Por fim, o método Gray Box é interessante testes nos quais o objetivo é entender como um possível invasor enxerga uma parte específica da infraestrutura de segurança e tecnologia. Por exemplo, o teste pode ser direcionado a avaliar possibilidades específicas de falhas de segurança em uma aplicação por um pentester autenticado, mas que terá de passar por níveis variados de permissões. Então, o Grey Box pode ser muito bem aplicado em qualquer tipo de infraestrutura pelo fato de poder ser personalizado, ainda mais se a análise não for ampla, como de toda uma infraestrutura de rede de uma corporação.