Analysis
Os testes de penetração - ou pen testing - são importantes para que as organizações descubram as suas vulnerabilidades antes que alguém com intenções criminosos o faça pelas equipas de segurança
Por Rui Damião . 12/10/2023
Com o advento da transformação digital, a exposição aumentou. A larga maioria das organizações – se não mesmo todas – têm algum tipo de serviço virado para a Internet, o que faz com que esteja sujeito a um ciberataque. Os testes de penetração – ou pen testing – permitem identificar as vulnerabilidades mais críticas e avaliar a segurança dos sistemas e aplicações. No entanto, com a escassez de recursos humanos, realizar estes testes não é necessariamente fácil. Para isso, várias empresas fornecem estes testes como um serviço às organizações. MetodologiasLuís Martins, Diretor Geral da Cipher em Portugal, explica que nos testes de penetração são “utilizadas várias metodologias e técnicas nos testes de intrusão que dependem essencialmente dos objetivos que as organizações que contratam estes serviços pretendem atingir, mas servem essencialmente para avaliar a segurança de sistemas, redes e aplicações”, como “testes Black Box, White Box, Gray Box, Vulnerabilidade, Fuzzing, Autenticação e Autorização, Injeção de SQL, XSS e CSRF, Análise de Tráfego de Rede, Engenharia Social, Análise de Código, DoS”, entre outros. Bruno Castro, Fundador e CEO da VisionWare, explica que no caso da VisionWare são aplicados modelos de avaliação de segurança assentes nestes testes “que visem o contexto aplicacional ou tecnológico a avaliar”. Este tipo de ações, refere, são baseados “nas principais normas e checklists do setor”, mas que não aplicam “cegamente uma tecnologia só porque se trata de uma referência”, sendo ajustado ao contexto. Luís Catarino, Offensive Security Manager da S21sec, afirma que “este tipo de exercício é tradicionalmente conduzido como um projeto com datas rigorosas de início e de fim da execução, seguido de uma entrega de relatório e apresentação dos resultados, contando ainda opcionalmente com uma segunda bateria de testes após correção ou mitigação das vulnerabilidades por parte da organização, no sentido de verificar se estas foram abordadas de acordo com as melhores práticas”. Recentemente, “têm vindo a ser desenvolvidas abordagens de testes de intrusão continuados, testes estes que permitem um acompanhamento constante com atualizações periódicas para lidar com novas vulnerabilidades emergentes e garantir uma segurança robusta a longo prazo”. David Grave, Security Director da Claranet Portugal, indica que são utilizadas várias metodologias e técnicas para identificar vulnerabilidades e avaliar a segurança de sistemas e redes. As principais metodologias incluem OWASP Top Tem – focada em identificar as dez vulnerabilidades mais críticas em aplicações web –, Penetration Testing Execution Standard – que oferece um guia abrangente para a execução de testes de penetração em várias fases – e NIST SP 800-115 – que fornece diretrizes detalhadas para testes de penetração em sistemas de informação. As técnicas, que dependem do âmbito e do ambiente alvo, “incluem scan de portas, análise de vulnerabilidades, exploração, engenharia social e testes de intrusão, entre outras”. Ambientes complexosNenhuma empresa é igual e cada uma tem o seu próprio ambiente. Estes ambientes podem ser mais ou menos complexos, mais ou menos personalizados e é importante que o fornecedor dos serviços de pen testing faça um trabalho ético e com sucesso. Bruno Castro refere que “é fundamental ter conhecimento especializado nas vertentes de programação, networking e infraestrutura de segurança ativa. Atualmente, e face à evolução para serviços cloud, é também importante saber auditar em plataformas as-a-Service em ambiente cloud”. Ao mesmo tempo, “e face à evolução e inovação do mundo digital, é também crítico que estejam constantemente atualizados com os mais recentes desenvolvimentos em tecnologia e estar cientes das novas técnicas e métodos de intrusão. Criatividade, curiosidade, persistência e fortes habilidades de se ajustar a novos ambientes digitais são também ativos valiosos para qualquer pessoa que trabalhe na área de segurança informática”. Luís Catarino explica que ao lidar com ambientes complexos ou personalizados é necessária uma “abordagem mais cuidadosa e estratégica”, percebendo “o ambiente em questão”. Este enquadramento permite “criar um plano de testes adaptado, capaz de abordar eficazmente as particularidades do ambiente. É também importante colaborar com as equipas que desenvolvem e mantêm o mesmo, pois estas poderão fornecer-nos informações relevantes para a identificação de componentes que poderão ser mais propensos a vulnerabilidades”. Sublinhando que cada ambiente é único, David Grave indica que é necessária uma “abordagem adaptada e contínua” e é “crucial fazer uma análise de risco inicial, detalhada, do ambiente antes do teste, para identificar particularidades e garantir que as técnicas e cenários de teste são adequados”. Luís Martins relembra que “a cibersegurança é um campo em constante evolução” e que os testes de intrusão “devem ser realizados de forma ética e cuidadosa para garantir a proteção dos sistemas e dados da organização”. Para o sucesso de um teste de intrusão é necessário “ter-se um bom entendimento do ambiente, executar a recolha de informações, fazer a personalização de abordagens, perceber se é possível fazer testes de integração e testes de aplicações sempre em estrita colaboração com a equipa de segurança interna. Só depois executar os testes de intrusão controlados para evitar qualquer impacto negativo na operação normal”. Apoiar a implementação das recomendaçõesFeito o teste de penetração e percebendo quais são as vulnerabilidades mais críticas para a organização, é necessário implementar as remediações necessárias para que o seu ambiente fique mais seguro. Luís Catarino, da S21sec, afirma que “é essencial fornecer ao cliente um relatório detalhado, mas também compreensível, das vulnerabilidades identificadas e recomendações correspondentes. A partir daí, a assistência na elaboração de um plano de ação focado e pragmático para abordar as vulnerabilidades torna-se um próximo passo lógico, onde se priorizam as ações com base no nível de risco de cada uma”. David Grave sublinha o “apoio contínuo” após o teste, a identificação das vulnerabilidades e da classificação do risco associado. “Esta abordagem contínua permite acompanhar a implementação das recomendações ao longo do tempo, garantindo que as vulnerabilidades são corrigidas de forma consistente e que a postura de segurança é fortalecida”, diz. Para Luís Martins, da Cipher, a “chave” para uma “abordagem bem-sucedida na implementação das recomendações é a colaboração próxima com o cliente, a priorização adequada das correções e a atenção contínua à cibersegurança”, até porque, relembra, “a segurança é um processo contínuo e dinâmico e a organização deve estar preparada para se adaptar às ameaças em constante evolução”. Bruno Castro refere que, a seguir a um teste de penetração, “e assente numa visão estritamente pragmática, criamos uma matriz operacional, onde cruzamos as vulnerabilidades detetadas, a sua criticidade para a organização, o seu potencial de impacto, e por fim, o esforço financeiro ou humano para as resolver. Daí, e com o envolvimento direto da gestão de topo, decidimos a estratégia de segurança no que respeita aos próximos seis meses”. O Fundador e CEO da VisionWare ressalva, ainda, que é preciso “conhecer as nossas fragilidades, e baseado na nossa capacidade, desenvolver as melhores estratégias para minimizar a probabilidade de sucesso de um potencial ataque”. Aumentar a postura de cibersegurança das organizações portuguesasDavid Grave, da Claranet, observa “um aumento na consciencialização sobre cibersegurança nas organizações portuguesas”, o que “tem levado muitas delas a investir em testes de penetração como parte das suas estratégias de reforço da postura de segurança”. Luís Martins indica que, em Portugal, “assim como em muitos outros países”, as organizações “estão cada vez mais conscientes da importância da cibersegurança e estão a investir em medidas para melhorar a sua postura. Os testes de intrusão são uma das ferramentas essenciais que as organizações utilizam para avaliar e fortalecer a sua cibersegurança”. Admitindo que “a cibersegurança e as políticas de segurança da informação continuam a ser subestimadas em Portugal”, Bruno Castro indica que “nunca tivemos tantas solicitações de ajuda para responder e investigar as situações, muitas vezes de desastre, oriundos de ciberataques bem-sucedidos como agora”. Tem ainda registado “um número avultado de solicitações de empresas, as quais começam a preocupar- se com a questão da segurança da informação e da cibersegurança, incluindo o interesse na implementação e gestão de um SOC ou no cuidado em incluir a realização de auditorias de cibersegurança”. Luís Catarino verifica que as organizações portuguesas – sejam elas privadas ou públicas – “têm vindo a mostrar-se mais proativas nas suas medidas de proteção”. O Offensive Security Manager da S21sec explica que “esta tendência se deve a múltiplos fatores, tais como a crescente conscientização sobre a importância da cibersegurança, o crescente número de incidentes de segurança reportados, e também a legislação e regulamentos europeus” que tem “vindo a incentivar as organizações a tomarem este tipo de medidas. Entre outras medidas, este aumento de proatividade verifica-se também na crescente realização de testes de penetração. Conduzidos de forma isolada, ou como parte de um diagnóstico mais alargado ao estado da organização, estes testes têm vindo a mostrar-se uma iniciativa valiosa para identificar e resolver vulnerabilidades, de forma a prevenir potenciais incidentes de segurança”. Manter a postura de segurançaLuís Martins recomenda as organizações a “manter uma postura de segurança sólida, o que requer um esforço contínuo e a participação de toda a organização. É importante lembrar que a cibersegurança é dinâmica, e as ameaças estão em constante evolução. Portanto, a vigilância e a adaptação contínuas são essenciais para proteger a organização contra as ameaças”. Bruno Castro, da VisionWare, explica que, “logo após um processo de auditoria de cibersegurança, obrigatoriamente, todo o mindset da organização, nomeadamente da sua gestão de topo, se modifica para sempre. Passam a ter conhecimento de causa de quais são as suas fragilidades, e na realidade, passam a ser solidários entre todos na gestão de risco daí em diante. O tempo da ‘bem-dita ignorância’ fica para trás, e daqui em diante, terão que trabalhar no sentido de minimizar o risco de cibersegurança face ao que passam a ter noção, e na eventualidade de virem mais tarde a serem vítimas de um ciberataque, também terão de estar todos conscientes e responsabilizados das decisões que tomaram baseados nos resultados da última auditoria de cibersegurança”. Luís Catarino refere que, após um teste de penetração, é “importante agir no sentido de remediar as vulnerabilidades identificadas durante o teste, priorizando as de maior risco”. Existindo uma monitorização ativa dos sistemas e aplicações, os testes de intrusão “podem permitir identificar potenciais lacunas neste processo, ou dar visibilidade sobre sistemas que, devido aos riscos existentes, poderão requerer uma maior atenção. Simulações de ataque periódicas podem também ser úteis para manter a equipa alerta e preparada para dar resposta a incidentes de segurança de forma coordenada e eficaz”. David Grave reforça a importância de adotar uma abordagem contínua à cibersegurança, que descreve como “crucial”, uma vez que “permite identificar e corrigir vulnerabilidades de forma proativa, garantindo uma postura de segurança robusta ao longo do tempo”. |