Os testes de penetração podem ter uma ampla variedade de objetivos e metas dentro do escopo. Por causa disso, nenhum teste de penetração é igual e não existe um caso único sobre como um testador de penetração deve abordá-lo.
As etapas que um testador de penetração executa durante um envolvimento são conhecidas como metodologia. Uma metodologia prática é inteligente, onde as medidas tomadas são relevantes para a situação em questão. Por exemplo, ter uma metodologia que você usaria para testar a segurança de uma aplicação web não é prático quando você precisa testar a segurança de uma rede.
Antes de discutir algumas metodologias padrão da indústria, devemos observar que todas elas têm um tema geral das seguintes etapas:
Coleta de informações:
Esta fase envolve a recolha do máximo possível de informações publicamente acessíveis sobre um alvo/organização, por exemplo, OSINT e investigação.
*Nota: não envolve a verificação de nenhum sistema.
Enumeração/Verificação (Scanning):
Este estágio envolve a descoberta de aplicativos e serviços em execução nos sistemas. Por exemplo, encontrar um servidor web que possa ser potencialmente vulnerável.
Exploração:
Este estágio envolve o aproveitamento de vulnerabilidades descobertas em um sistema ou aplicativo. Este estágio pode envolver o uso de explorações públicas ou a exploração da lógica do aplicativo.
Escalonamento de privilégios:
Depois de explorar com sucesso um sistema ou aplicativo (conhecido como ponto de apoio), este estágio é a tentativa de expandir seu acesso a um sistema. Você pode escalar horizontalmente e verticalmente, onde horizontalmente está acessando outra conta do mesmo grupo de permissão (ou seja, outro usuário), enquanto verticalmente é o de outro grupo de permissão (ou seja, um administrador).
Pós-exploração: Esta etapa envolve algumas subetapas:
- Quais outros hosts podem ser alvos (pivotagem)
- Quais informações adicionais podemos coletar do host agora que somos um usuário privilegiado
- Cobrindo seus rastros
- Relatórios
OSSTMM: O Manual de Metodologia de Teste de Segurança de Código Aberto: fornece uma estrutura detalhada de estratégias de teste para sistemas, software, aplicativos, comunicações e o aspecto humano da segurança cibernética.
A metodologia centra-se principalmente na forma como estes sistemas e aplicações comunicam, pelo que inclui uma metodologia para:
- Telecomunicações (telefones, VoIP, etc.)
- Redes com fio
- Comunicações sem fio
Vantagens:
- Abrange várias estratégias de teste em profundidade.
- Inclui estratégias de teste para alvos específicos (ou seja, telecomunicações e redes).
- A estrutura é flexível dependendo das necessidades da organização.
- A estrutura pretende estabelecer um padrão para sistemas e aplicações, o que significa que uma metodologia universal pode ser usada em um cenário de teste de penetração.
Desvantagens:
A estrutura é difícil de entender, muito detalhada e tende a usar definições únicas.
A estrutura "Open Web Application Security Project" é uma estrutura dirigida pela comunidade e frequentemente atualizada, usada exclusivamente para testar a segurança de aplicações e serviços da web.
A fundação escreve regularmente relatórios informando as dez principais vulnerabilidades de segurança que um aplicativo da web pode ter, a abordagem de teste e a correção.
Vantagens:
Fácil de entender.
Mantido ativamente e atualizado com frequência.
Abrange todas as fases de um trabalho: desde testes até relatórios e remediação.
Especializada em aplicações e serviços web.
Desvantagens:
Pode não estar claro que tipo de vulnerabilidade um aplicativo da web possui (muitas vezes elas podem se sobrepor).
A OWASP não faz sugestões para nenhum ciclo de vida de desenvolvimento de software específico.
A estrutura não possui nenhum credenciamento como CHECK.
Estrutura de segurança cibernética do NIST 1.1
A Estrutura de Segurança Cibernética do NIST é uma estrutura popular usada para melhorar os padrões de segurança cibernética de uma organização e gerenciar o risco de ameaças cibernéticas. Esta estrutura recebe uma menção honrosa por causa de sua popularidade e detalhes.
A estrutura fornece diretrizes sobre controles de segurança e benchmarks para o sucesso de organizações, desde infraestrutura crítica (usinas de energia, etc.) até comercial. Há uma seção limitada sobre uma diretriz padrão para a metodologia que um testador de penetração deve seguir.
Vantagens:
Estima-se que o NIST Framework seja usado por 50% das organizações americanas até 2020.
A estrutura é extremamente detalhada no estabelecimento de padrões para ajudar as organizações a mitigar a ameaça representada pelas ameaças cibernéticas.
A estrutura é atualizada com muita frequência.
O NIST fornece credenciamento para organizações que usam esta estrutura.
A estrutura do NIST foi projetada para ser implementada juntamente com outras estruturas.
Desvantagens:
O NIST tem muitas iterações de estruturas, por isso pode ser difícil decidir qual delas se aplica à sua organização.
A estrutura do NIST possui políticas de auditoria fracas, tornando difícil determinar como ocorreu uma violação.
A estrutura não considera a computação em nuvem, que está rapidamente se tornando cada vez mais popular para as organizações.
Vantagens:
Esta estrutura é apoiada por uma agência governamental de segurança cibernética.
Esta estrutura fornece acreditação.
Este quadro abrange catorze princípios que vão desde a segurança até à resposta.
Desvantagens:
A estrutura ainda é nova na indústria, o que significa que as
organizações não tiveram muito tempo para fazer as mudanças necessárias
para se adequarem a ela.
A estrutura é baseada em princípios e ideias e não é tão direta quanto ter regras como algumas outras estruturas.
Referências:
https://tryhackme.com/room/pentestingfundamentals
Nenhum comentário:
Postar um comentário