Teste de penetração (pentesting): o que é e quando fazê-lo

A melhor forma de saber se as suas defesas aguentam é que alguém tente quebrá-las em condições controladas, antes que o faça um atacante real. Isso é um teste de penetração ou pentest: uma simulação de ataque autorizada e profissional que procura ativamente as vulnerabilidades dos seus sistemas para que as possa corrigir. Ao contrário de uma análise automática, um pentest combina ferramentas e criatividade humana para encadear falhas como o faria um atacante real, encontrando o que as ferramentas por si só não veem.

Neste artigo explicamos o que é um pentest, que tipos existem, como é o processo e quando convém realizá-lo.

O que é um pentest e o que não é

Um teste de penetração é uma avaliação de segurança ofensiva: profissionais autorizados (muitas vezes chamados hackers éticos) tentam comprometer os seus sistemas com a sua permissão, dentro de regras acordadas, e documentam como o conseguem. Não é uma simples análise de vulnerabilidades, que apenas lista falhas potenciais; um pentest verifica-as de verdade, demonstra o seu impacto real e descarta os falsos positivos. O resultado é uma imagem honesta de até onde poderia chegar um atacante.

Tipos de pentest

Consoante o âmbito e a informação de partida, os pentests classificam-se de várias formas:

• Caixa preta: a equipa parte sem informação, como um atacante externo real.
• Caixa cinzenta: parte com alguma informação ou credenciais limitadas.
• Caixa branca: acesso completo ao código e à arquitetura para uma análise aprofundada.
• Externo: contra os sistemas expostos à internet.
• Interno: simula um atacante já dentro da rede.
• De aplicação web, móvel ou de infraestrutura, consoante o objetivo.

Como é o processo

Um pentest profissional segue fases bem definidas: primeiro acorda-se o âmbito e as regras de envolvimento (o que se pode tocar e o que não), depois vem o reconhecimento e a identificação de vulnerabilidades, a exploração controlada para demonstrar o impacto e, por fim, a elaboração de um relatório. Esse relatório é o verdadeiro entregável: detalha cada achado, a sua gravidade, como foi reproduzido e, sobretudo, como corrigi-lo, priorizado para que a equipa saiba por onde começar.

Porque é que uma análise não basta

Muitas empresas julgam estar cobertas com uma análise automática, mas há uma diferença enorme. Uma ferramenta de análise encontra vulnerabilidades conhecidas uma a uma; um pentester encadeia-as, combina falhas pequenas para conseguir um acesso grande e pensa como o atacante. Além disso, a análise gera muitos falsos positivos e não compreende o contexto do seu negócio. O pentest aporta o critério humano que distingue uma falha teórica de uma que de facto põe em risco os seus dados.

O que acontece depois do pentest

O pentest não termina com a entrega do relatório: aí começa a parte que realmente reduz o risco. Com os achados priorizados, a equipa deve corrigir primeiro as vulnerabilidades críticas e de alto impacto e, depois, as de menor gravidade, planeando cada correção. Uma boa prática é realizar uma reavaliação (retest) depois de aplicadas as correções, para confirmar que as falhas foram fechadas de verdade e que as soluções não introduziram problemas novos. Sem essa fase de correção e verificação, um pentest fica-se por um diagnóstico sem tratamento, e o dinheiro investido não se traduz em segurança real.

Quando e com que frequência fazê-lo

Há momentos-chave para um pentest: antes de lançar um produto ou uma aplicação nova, após uma mudança importante na infraestrutura, para cumprir uma norma ou certificação e de forma periódica (pelo menos uma vez por ano) porque as ameaças e os sistemas mudam. A segurança não é um estado, mas um processo: um pentest é uma fotografia no tempo, e convém repeti-la com regularidade para que a fotografia continue fiel.

Na AxiomTech realizamos testes de penetração profissionais sobre aplicações, infraestrutura e redes, com relatórios claros e priorizados para que saiba exatamente o que corrigir. Se quiser saber até onde poderia chegar um atacante, falemos e definimos o âmbito.