Segurança e Conhecimento

Atualmente no cenário de Tecnologia da Informação a área de segurança está em alta, pois o acesso a informação está cada vez mais difundido, com muitos adeptos aos ataques via internet. Com essa linha de pensamento, pessoas e empresas estão cada vez mais preocupadas em proteger suas informações.

O "Pentesting", ou teste de penetração, é uma prática essencial de segurança cibernética que envolve a simulação de ataques a sistemas de computadores, redes ou aplicações web com o objetivo de descobrir vulnerabilidades de segurança que um invasor mal-intencionado poderia explorar. Essa prática é crucial para identificar falhas de segurança antes que possam ser exploradas, permitindo que as organizações fortaleçam suas defesas contra ataques cibernéticos reais. Existem várias metodologias e frameworks desenvolvidos para guiar profissionais de segurança durante o processo de pentesting, cada um com suas próprias diretrizes e áreas de foco. Vamos detalhar algumas das mais conhecidas:

O princípio Hackeré fazer a mesma coisa de maneira diferente, isso faz seu pensamento ir muito mais além que o comum.

“Para conhecer o seu inimigo você deve tornar-se seu inimigo”
–Sun Tzu-

Alguns modelos a seguir, passam a ideia geral de uma linha base a ser utilizada;

NIST 

National Institute of Standards and Technology, equivalente ao INMETRO (Br), elabora diversos documentos em diversas áreas, e esse 800-115 não é um guia para pentest mas apresenta vários testes de segurança que servem como norte.

NIST 800-115

O "Technical Guide to Information Security Testing and Assessment" (Guia Técnico para Teste e Avaliação de Segurança da Informação) desenvolvido pelo NIST (National Institute of Standards and Technology) fornece orientações para a condução de testes de segurança, incluindo testes de penetração. Este guia enfatiza uma abordagem planejada e organizada para a avaliação de segurança, cobrindo planejamento, execução e relatórios de testes de penetração.

OSSTMM

O (Open Source Security Testing Methodology Manual) OSSTMM é um manual abrangente sobre testes de segurança operacional e análise de segurança. Este framework foca na integridade, confidencialidade e disponibilidade dos sistemas, oferecendo uma metodologia para a realização de testes de segurança em diversos ambientes, como redes, aplicações web e locais físicos. O OSSTMM atualiza periodicamente suas práticas recomendadas para refletir as novas tendências de segurança.

PTES

O PTES fornece uma estrutura normativa para a execução de testes de penetração, buscando padronizar tanto o processo quanto a nomenclatura utilizada na indústria. Ele detalha sete fases principais: pré-engajamento, inteligência, modelagem de ameaças, análise de vulnerabilidades, exploração, pós-exploração e relatório. O PTES é particularmente útil para garantir que os testes de penetração sejam abrangentes e consistentes.

Um dos mais conhecidos modelos e Frameworks utilizados como referências, por seu nível de segregação bem definidos nas fases de um teste de intreusão, seus pontos são;

• Pre-engagement Interactions
• Intelligence Gathering
• Threat Modeling
• Vulnerability Analysis
• Exploitation
• Pre-engagement Interactions

OWASP

O OWASP é uma fundação que trabalha para melhorar a segurança do software. Embora não seja um framework de teste de penetração per se, o OWASP oferece numerosos recursos para testes de segurança, especialmente para aplicações web. O "OWASP Testing Guide" e o "OWASP Top 10" são referências fundamentais para identificar as dez principais vulnerabilidades em aplicações web e como testá-las.

PCI DSS

O PCI DSS (Payment Card Industry Data Security Standard)é um padrão de segurança para organizações que lidam com cartões de marca das principais bandeiras. Embora seu principal foco não seja o teste de penetração, o PCI DSS requer que testes de penetração sejam realizados regularmente para garantir a segurança dos dados do titular do cartão. Esses testes são parte integral das exigências de conformidade para organizações que processam, armazenam ou transmitem dados de cartão de crédito.

“Primeira regra dos negócios: Proteja seu investimento”.
-Etiqueta do banqueiro, 1775-

Cada uma dessas metodologias e frameworks oferece uma abordagem única para a realização de testes de penetração, ajudando as organizações a identificar e remediar vulnerabilidades, proteger contra ataques cibernéticos e cumprir com regulamentações de segurança. A escolha do framework ou da metodologia depende dos requisitos específicos da organização, dos ativos a serem testados e das normas de conformidade que devem ser atendidas.

Gostou?