Por Felipe Grillo
Se você é responsável pela segurança da informação de uma média ou grande empresa e ainda não inclui a realização de Pentests em sua rotina, você está se expondo a riscos desnecessários. Em um mundo ideal, todas as empresas deveriam realizar o Pentest com certa regularidade como forma de checar suas vulnerabilidades e o nível de atualização de seus sistemas de segurança.
Na prática, o Pentest, ou teste de intrusão, é um método capaz de avaliar a segurança de um sistema computacional ou de uma rede, simulando o ataque de um ator de ameaças. É ele que nos permite identificar e corrigir vulnerabilidades antes que elas sejam utilizadas de fato por cibercriminosos. Ele é importante, e deveria ser feito por todas as empresas, porque faz um papel de antecipação: explora as mesmas vulnerabilidades e utiliza as mesmas técnicas que os atores de ameaças, mostrando para as empresas como os criminosos se aproveitam das falhas encontradas, que podem ser muitas. Por exemplo, é possível acessar a caixa de e-mails de executivos da empresa e, a partir dela, baixar planilhas de cargos e salários, dados pessoais sensíveis e outras informações importantes, sigilosas ou estratégicas.
Os testes de intrusão devem ser vistos como investimentos. Isso porque também tem se tornado comum vermos grandes empresas fora de operação por causa de ataques de ransomware, por exemplo, quando o criminoso espalha malwares que atacam todas as máquinas da empresa, criptografando e indisponibilizando todos os dados. Para solucionar o problema, esse mesmo criminoso oferece uma chave – obviamente por valores altíssimos – que, “teoricamente”, recuperará todos os sistemas.
Além do “resgate” e do prejuízo causado pelo tempo fora do ar, a empresa também fica com a sensação de que tudo pode acontecer novamente a qualquer momento. Tudo isso somado resulta em valores muitas vezes maiores do que o da realização periódica de um Pentest. Mas, mais do que o valor, é importante entender como funciona um teste assim. Idealmente, ele deve ser realizado pelo menos uma vez a cada seis meses, garantindo que novas vulnerabilidades não sejam aproveitadas pelos criminosos.
Um trabalho bem-feito costuma levar cerca de um mês. Neste período, a empresa vai passar por duas simulações de ataques. Uma vinda de fora, onde o site da empresa é atacado em tentativas de se aproveitar, por exemplo, dos servidores dos sites da empresa como pontes para a rede interna. Uma vez acessada a rede interna, tentamos escalar privilégios, como o de administrador da rede, com acesso a tudo o que circula por ali.
A outra parte do trabalho é dentro das premissas da empresa e emula um tipo de ataque que vem ganhando muita força no mercado. Aqui, começamos o ataque dentro da rede interna da empresa, executando ações maliciosas de funcionários ou de criminosos que, por exemplo, possam comprar credenciais da empresa na deep web. Recentemente foram registrados diversos ataques a sites de órgãos do governo feitos desta forma: os criminosos aliciam funcionários insatisfeitos, compram suas credenciais e realizam os ataques. Nesses casos, mesmo com firewall e serviços bem dimensionados, o ataque já começa de dentro da VPN da empresa. Outro vetor que tem sido bastante utilizado para ataques internos é o uso de spear-phishing, geralmente a partir de um e-mail malicioso aceito por funcionários que não estejam bem treinados em relação a isso.
Uma vez realizados estes dois testes, a equipe que os fez apresenta para o time técnico do cliente tudo o que foi feito, apontando onde existiam vulnerabilidades, que tipo de ataques elas permitiram e como corrigir o problema. A partir desta apresentação é produzido um relatório técnico, permitindo que o próprio time do cliente possa reproduzir o teste, e uma relação das correções que precisam ser feitas no ambiente. O passo seguinte é a realização de uma apresentação executiva com os resultados do teste, gráficos e uma análise sobre o quanto a empresa está segura e, se for o caso, onde precisa investir, o que pode ir de uma simples aquisição de antivírus até a compra de um novo firewall.
Apesar dos resultados, muitos times de TI demonstram resistência com a realização de um Pentest, isso porque sabem que seu ambiente potencialmente será invadido e que o board saberá como isso ocorreu. Por isso, é importante que esse tipo de demanda seja estimulada pelo board para que todos saibam que o objetivo é mostrar oportunidades de melhoria e não ameaçar profissionais de TI. Há muitas empresas maduras em relação a isso, mas há outras em que a resistência ainda é grande, inclusive com divergências entre os times de segurança da informação e de infraestrutura, por exemplo. Em todos os casos, o Pentest precisa ser visto como um trabalho de antecipação que vai gerar melhorias.
Seu objetivo é tirar um Raio-X da segurança da empresa e, por isso, ele precisa ser visto como algo necessário. É sempre melhor que estas vulnerabilidades sejam exploradas em um teste do que em um ataque real, que muitas vezes pode trazer impactos irreversíveis para a empresa.
*Felipe Grillo, Especialista em Segurança Ofensiva