Metodologias e padrões de teste de penetração – IBM Blog

O espaço online continua a crescer rapidamente, abrindo mais oportunidades para a ocorrência de ataques cibernéticos em um sistema de computador, rede ou aplicativo da web. Para mitigar e preparar-se para tais riscos, os testes de penetração são uma etapa necessária para encontrar vulnerabilidades de segurança que um invasor possa usar.

O que é teste de penetração?

A teste de penetração, ou “pen test”, é um teste de segurança executado para simular um ataque cibernético em ação. A ciberataque pode incluir uma tentativa de phishing ou uma violação de um sistema de segurança de rede. Existem diferentes tipos de testes de penetração disponíveis para uma organização, dependendo dos controles de segurança necessários. O teste pode ser executado manualmente ou com ferramentas automatizadas através das lentes de um curso de ação específico ou metodologia de teste de penetração.

Por que fazer testes de penetração e quem está envolvido?

Os termos "hacking ético” e “teste de penetração” às vezes são usados ​​de forma intercambiável, mas há uma diferença. O hacking ético é uma área mais ampla cíber segurança campo que inclui qualquer uso de habilidades de hacking para melhorar a segurança da rede. Os testes de penetração são apenas um dos métodos usados ​​pelos hackers éticos. Os hackers éticos também podem fornecer análise de malware, avaliação de risco e outras ferramentas e técnicas de hacking para descobrir e corrigir pontos fracos de segurança, em vez de causar danos.

Da IBM Custo de um relatório de violação de dados 2023 concluiu que o custo médio global de uma violação de dados em 2023 foi de 4.45 milhões de dólares, um aumento de 15% em 3 anos. Uma maneira de mitigar essas violações é realizar testes de penetração precisos e pontuais.

As empresas contratam pen testers para lançar ataques simulados contra seus aplicativos, redes e outros ativos. Ao realizar ataques falsos, os testadores de penetração ajudam equipes de segurança descubra vulnerabilidades críticas de segurança e melhore a postura geral de segurança. Esses ataques são frequentemente realizados por equipes vermelhas ou equipes de segurança ofensivas. O Equipa vermelha simula táticas, técnicas e procedimentos (TTPs) de invasores reais contra o próprio sistema da organização como forma de avaliar o risco de segurança.

Existem várias metodologias de teste de penetração a serem consideradas ao entrar no processo de teste de penetração. A escolha da organização dependerá da categoria da organização alvo, do objetivo do pen test e do escopo do teste de segurança. Não existe uma abordagem única para todos. Exige que uma organização compreenda seus problemas de segurança e sua política de segurança para que haja uma análise de vulnerabilidade justa antes do processo de teste de penetração.

Assista a demonstrações de testes de caneta do X-Force

5 principais metodologias de teste de penetração

Uma das primeiras etapas no processo de teste de penetração é decidir qual metodologia seguir.

Abaixo, mergulharemos em cinco das estruturas de teste de penetração e metodologias de teste de penetração mais populares para ajudar a orientar as partes interessadas e as organizações sobre o melhor método para suas necessidades específicas e garantir que ele cubra todas as áreas necessárias.

1. Manual de metodologia de teste de segurança de código aberto

O Manual de Metodologia de Teste de Segurança de Código Aberto (OSSTMM) é um dos padrões mais populares de teste de penetração. Esta metodologia é revisada por pares para testes de segurança e foi criada pelo Institute for Security and Open Methodologies (ISECOM).

O método é baseado em uma abordagem científica para testes de penetração com guias acessíveis e adaptáveis ​​para testadores. O OSSTMM inclui recursos importantes, como foco operacional, testes de canais, métricas e análise de confiança em sua metodologia.

OSSTMM fornece uma estrutura para testes de penetração de rede e avaliação de vulnerabilidades para profissionais de pentest. Pretende ser uma estrutura para os provedores encontrarem e resolverem vulnerabilidades, como dados confidenciais e problemas relacionados à autenticação.

2. Abra o projeto de segurança de aplicativos da Web

OWASP, abreviação de Open Web Application Security Project, é uma organização de código aberto dedicada à segurança de aplicações web.

O objetivo da organização sem fins lucrativos é tornar todo o seu material gratuito e facilmente acessível para qualquer pessoa que queira melhorar a segurança de suas próprias aplicações web. OWASP tem seu próprio 10 topo (o link reside fora de ibm.com), que é um relatório bem mantido que descreve as maiores preocupações e riscos de segurança para aplicativos da Web, como scripts entre sites, autenticação quebrada e proteção contra firewall. A OWASP usa a lista dos 10 primeiros como base para seu Guia de Testes OWASP. 

O guia é dividido em três partes: estrutura de testes OWASP para desenvolvimento de aplicações web, metodologia de testes de aplicações web e relatórios. A metodologia de aplicação web pode ser usada separadamente ou como parte da estrutura de teste web para testes de penetração de aplicações web, testes de penetração de aplicações móveis, testes de penetração de API e testes de penetração de IoT.

3. Padrão de execução de testes de penetração

PTES, ou Penetration Testing Execution Standard, é um método abrangente de teste de penetração.

O PTES foi projetado por uma equipe de profissionais de segurança da informação e é composto por sete seções principais que cobrem todos os aspectos do pentest. O objetivo do PTES é ter diretrizes técnicas para delinear o que as organizações devem esperar de um teste de penetração e orientá-las durante todo o processo, começando na fase de pré-engajamento.

O PTES pretende ser a base para testes de penetração e fornecer uma metodologia padronizada para profissionais e organizações de segurança. O guia fornece uma série de recursos, como práticas recomendadas em cada etapa do processo de teste de penetração, do início ao fim. Algumas características principais do PTES são a exploração e a pós-exploração. Exploração refere-se ao processo de obter acesso a um sistema através de técnicas de penetração, como engenharia social e quebra de senha. A pós-exploração ocorre quando os dados são extraídos de um sistema comprometido e o acesso é mantido.

4. Quadro de Avaliação da Segurança do Sistema de Informação

A Estrutura de Avaliação de Segurança de Sistemas de Informação (ISSAF) é uma estrutura de teste de penetração apoiada pelo Grupo de Segurança de Sistemas de Informação (OISSG).

Esta metodologia não é mais mantida e provavelmente não é a melhor fonte para obter informações mais atualizadas. No entanto, um de seus principais pontos fortes é que ele vincula etapas individuais de teste de penetração com ferramentas específicas de teste de penetração. Esse tipo de formato pode ser uma boa base para a criação de uma metodologia individualizada.

5. Instituto Nacional de Padrões e Tecnologia  

NIST, abreviação de Instituto Nacional de Padrões e Tecnologia, é uma estrutura de segurança cibernética que fornece um conjunto de padrões de teste de penetração para o governo federal e organizações externas seguirem. O NIST é uma agência do Departamento de Comércio dos EUA e deve ser considerado o padrão mínimo a seguir.

Os testes de penetração do NIST estão alinhados com as orientações enviadas pelo NIST. Para cumprir essas orientações, as organizações devem realizar testes de penetração seguindo um conjunto pré-determinado de diretrizes.

Estágios de teste de caneta

Defina um escopo

Antes do início do pen test, a equipe de teste e a empresa definem um escopo para o teste. O escopo descreve quais sistemas serão testados, quando o teste acontecerá e os métodos que os pen testers podem usar. O escopo também determina quanta informação os pen testers terão antecipadamente.

Iniciar o teste

A próxima etapa seria testar o plano de escopo e avaliar vulnerabilidades e funcionalidades. Nesta etapa, a verificação de redes e vulnerabilidades pode ser feita para obter uma melhor compreensão da infraestrutura da organização. Testes internos e externos podem ser feitos dependendo das necessidades da organização. Há uma variedade de testes que os testadores de caneta podem fazer, incluindo teste de caixa preta, teste de caixa branca e teste de caixa cinza. Cada um fornece vários graus de informações sobre o sistema de destino.

Uma vez estabelecida uma visão geral da rede, os testadores podem começar a analisar o sistema e as aplicações dentro do escopo determinado. Nesta etapa, os testadores de caneta coletam o máximo de informações possível para entender quaisquer configurações incorretas.

Relatório sobre descobertas

A etapa final é relatar e interrogar. Nesta etapa, é importante desenvolver um relatório de teste de penetração com todas as descobertas do pen test descrevendo as vulnerabilidades identificadas. O relatório deve incluir um plano de mitigação e os riscos potenciais caso a remediação não ocorra.

Teste de caneta e IBM

Se você tentar testar tudo, desperdiçará tempo, orçamento e recursos. Ao usar uma plataforma de comunicação e colaboração com dados históricos, você pode centralizar, gerenciar e priorizar redes, aplicativos, dispositivos e outros ativos de alto risco para otimizar seu programa de testes de segurança. O X-Force® Red Portal permite que todos os envolvidos na correção visualizem os resultados dos testes imediatamente após as vulnerabilidades serem descobertas e agendem testes de segurança conforme sua conveniência.

Explore os serviços de teste de penetração de rede da X-Force