PT0-002 / Módulo 01: Definição de escopo de requisitos organizacionais/do cliente para testes de penetração
1. Introdução
Penetration Testing (PenTest) é um método crítico para avaliar e melhorar a postura de segurança cibernética de uma organização. Este capítulo apresenta o processo PenTest, requisitos de conformidade e maneiras de manter o profissionalismo durante o processo de teste.
Definir o escopo dos requisitos organizacionais/do cliente para testes de penetração é uma etapa crucial no processo por vários motivos importantes:
1. Definindo objetivos claros: O escopo ajuda a estabelecer objetivos claros e específicos para o teste de penetração. Isso garante que o teste esteja alinhado com as metas de segurança da organização e aborde suas preocupações mais urgentes.
2. Otimização de Recursos: Ao definir claramente o escopo, as organizações podem alocar recursos de forma mais eficaz. Isso evita desperdício de tempo e esforço em áreas de teste que não são críticas ou relevantes para a postura de segurança da organização.
3. Gerenciamento de Riscos: O escopo adequado ajuda a identificar e priorizar os ativos e sistemas mais críticos para teste. Isso garante que áreas de alto risco recebam atenção e recursos apropriados durante o teste de penetração.
4. Considerações legais e de conformidade: O escopo ajuda a garantir que o teste de penetração esteja em conformidade com as leis, regulamentações e padrões da indústria relevantes. Ele pode ajudar a evitar problemas legais não intencionais que podem surgir de testes além dos limites acordados.
5. Minimizar a interrupção operacional: Um escopo bem definido pode limitar o potencial de interrupção das operações comerciais normais. Ele pode especificar quais sistemas podem ser testados, quando os testes podem ocorrer e quais tipos de testes são permitidos.
6. Definindo Expectativas: O escopo define expectativas claras tanto para a equipe de teste quanto para o cliente. Ajuda a evitar mal-entendidos sobre o que será testado, como será testado e quais entregas esperar.
7. Controle de Custos: Ao definir claramente o escopo, as organizações podem estimar e controlar melhor os custos associados ao teste de penetração. Isso evita o aumento do escopo e despesas inesperadas.
8. Abordagem Personalizada: Cada organização tem necessidades de segurança únicas. O escopo permite uma abordagem personalizada que aborda os requisitos, preocupações e limitações específicas da organização.
9. Considerações éticas: O escopo adequado garante que o teste de penetração seja conduzido de forma ética e responsável. Ele define limites que impedem que os testadores acessem ou comprometam inadvertidamente dados ou sistemas confidenciais fora do escopo acordado.
10. Resultados mensuráveis: Um escopo bem definido permite resultados mais mensuráveis e comparáveis. Isso é particularmente útil para rastrear melhorias de segurança ao longo do tempo ou comparar resultados entre diferentes testes de penetração.
11. Conformidade regulatória: para setores sujeitos a regulamentações específicas (por exemplo, saúde, finanças), o escopo garante que os testes de penetração atendam aos requisitos regulatórios e possam ser usados como evidência de conformidade.
12. Facilitando a comunicação: um escopo claro fornece um entendimento comum entre todas as partes interessadas, facilitando uma melhor comunicação durante todo o processo de teste de penetração.
13. Foco no contexto empresarial: o escopo permite que o teste de penetração seja alinhado ao contexto empresarial da organização, garantindo que os testes e os resultados sejam relevantes para o setor, o tamanho e o perfil de risco específicos da organização.
14. Preparação para remediação: Ao definir claramente o que será testado, as organizações podem se preparar melhor para possíveis descobertas e alocar recursos para esforços de remediação de forma mais eficaz.
Concluindo, o escopo dos Requisitos Organizacionais/do Cliente para Testes de Penetração é essencial para garantir que os testes sejam eficazes, eficientes, relevantes e alinhados com as necessidades e restrições da organização. Ele estabelece a base para um engajamento de teste de penetração bem-sucedido que fornece insights valiosos e resultados acionáveis para melhorar a postura de segurança da organização.
1. Compare e contraste relatórios de governança, risco e conformidade.
Explicação:
Os relatórios de governança focam em como uma organização é gerenciada e controlada. Os relatórios de risco identificam e avaliam ameaças potenciais a uma organização. Os relatórios de conformidade demonstram a adesão a leis, regulamentos e padrões da indústria.
Cenário ilustrativo:
Um banco multinacional, o GlobalFinance, realiza avaliações anuais:
- Relatório de governança: descreve a estrutura de liderança do banco, os processos de tomada de decisão e os controles internos.
- Relatório de Risco: Identifica potenciais ameaças cibernéticas, riscos de mercado e vulnerabilidades operacionais.
- Relatório de conformidade: demonstra adesão a regulamentações como GDPR, PCI DSS e leis bancárias locais.
Embora o relatório de governança possa recomendar melhorar a supervisão do conselho sobre segurança cibernética, o relatório de risco pode destacar vulnerabilidades específicas no sistema bancário online. O relatório de conformidade mostraria então se essas vulnerabilidades violam quaisquer requisitos regulatórios.
2. A importância do escopo e dos requisitos organizacionais/do cliente
Explicação:
O escopo define os limites de um teste de penetração, garantindo que os esforços de teste sejam focados, eficientes e alinhados com as necessidades da organização. O escopo adequado previne trabalho desnecessário, reduz riscos e garante que sistemas críticos sejam examinados minuciosamente.
Cenário ilustrativo:
A TechInnovate, uma empresa de software, solicita um teste de penetração para seu novo aplicativo baseado em nuvem. O processo de escopo envolve:
- Definir limites de teste (por exemplo, apenas o aplicativo, não a infraestrutura de nuvem subjacente)
- Identificação de ativos críticos (por exemplo, banco de dados do usuário, módulo de processamento de pagamentos)
- Definir limitações de teste (por exemplo, sem ataques de negação de serviço)
- Alinhamento com os requisitos organizacionais (por exemplo, testes fora do horário de pico)
Esse escopo garante que o teste de penetração se concentre nas preocupações mais críticas da TechInnovate, evitando interrupções em suas operações comerciais.
3. A importância da comunicação durante o processo de teste de penetração
Explicação:
A comunicação eficaz garante que todas as partes interessadas entendam o progresso, as descobertas e as implicações do teste. Ela ajuda a gerenciar expectativas, permite uma resposta rápida a descobertas críticas e garante que o relatório final atenda às necessidades da organização.
Cenário ilustrativo:
Durante um teste de penetração para a SecureHealth, uma provedora de saúde, a equipe de testes descobre uma vulnerabilidade crítica no sistema de registros de pacientes. Eles comunicam isso imediatamente à equipe de TI do cliente, permitindo uma mitigação rápida. Durante todo o teste, eles fornecem atualizações diárias e um briefing no meio do teste, garantindo que a gerência da SecureHealth esteja totalmente informada e possa tomar decisões oportunas sobre alocação de recursos e gerenciamento de riscos.
4. Dado um cenário, demonstre uma mentalidade de hacking ético, mantendo profissionalismo e integridade
Explicação:
Uma mentalidade de hacking ético envolve conduzir testes com permissão, respeitar limites, proteger dados sensíveis e priorizar a segurança do cliente. Requer manter profissionalismo e integridade durante todo o processo de teste.
Cenário ilustrativo:
Durante um teste de penetração para o EduOnline, uma plataforma de e-learning, a equipe de testes obtém acesso a um banco de dados contendo informações dos alunos. Em vez de exfiltrar esses dados, eles documentam a vulnerabilidade, informam imediatamente o cliente e fornecem recomendações para proteger o banco de dados. Eles também garantem que todos os dados de teste sejam excluídos com segurança após o engajamento, demonstrando seu comprometimento com práticas éticas e proteção de dados.
5. Dado um cenário, execute reconhecimento passivo
Explicação:
O reconhecimento passivo envolve reunir informações sobre um alvo sem interagir diretamente com seus sistemas. Isso pode incluir o uso de fontes públicas, mídias sociais e outras informações disponíveis abertamente.
Cenário ilustrativo:
Antes de iniciar um teste de penetração autorizado para a GreenEnergy, uma empresa de energia renovável, a equipe de testes realiza um reconhecimento passivo:
- Eles analisam o site da GreenEnergy, observando as tecnologias utilizadas e os potenciais pontos de entrada.
- Eles analisam as ofertas de emprego da empresa para entender seu conjunto de tecnologias.
- Eles examinam registros públicos e comunicados de imprensa para obter informações sobre a infraestrutura da GreenEnergy.
- Eles usam ferramentas OSINT para coletar informações sobre os intervalos de rede e formatos de e-mail da empresa.
Esse reconhecimento passivo fornece informações valiosas para as fases subsequentes do teste de penetração, tudo isso sem alertar os sistemas de segurança da GreenEnergy ou exigir qualquer interação direta com sua rede.
Esses objetivos coletivamente garantem que os testadores de penetração abordem seu trabalho de forma metódica, ética e alinhada às necessidades do cliente e aos requisitos regulatórios. Eles enfatizam a importância da comunicação clara, conduta profissional e preparação completa no processo de teste de penetração.
2. Definindo o PenTesting Organizacional
2.1 Avaliação da saúde cibernética e resiliência
As organizações reconhecem cada vez mais a necessidade de proteger seus sistemas. Para garantir a Confidencialidade, Integridade e Disponibilidade (CIA) dos dados, muitas empregam três tipos principais de controles:
a) Controles administrativos: Incluem políticas e procedimentos. Por exemplo, políticas de senha que exigem senhas complexas e alterações regulares, ou políticas de uso aceitável que definem como os funcionários podem usar os recursos da empresa.
b) Controles físicos: Estes se relacionam à proteção de ativos físicos. Exemplos incluem salas de servidores trancadas, câmeras de segurança e sistemas de acesso biométrico.
c) Controles técnicos ou lógicos: abrangem soluções de software e hardware, como firewalls, criptografia e sistemas de detecção de intrusão.
Todos esses controles devem aderir ao Princípio do Menor Privilégio, o que significa conceder aos usuários apenas o nível mínimo de direitos de acesso que eles precisam para executar seus trabalhos. Esse princípio ajuda a minimizar o dano potencial de acidentes ou ações maliciosas.
2.2 Reduzindo o Risco Geral
Um objetivo primário do PenTesting é reduzir o risco geral. A fórmula para determinar o risco é:
RISCO = AMEAÇA * VULNERABILIDADE
Onde:
- As ameaças podem ser malware, hackers ou até mesmo desastres naturais.
- Vulnerabilidades são fraquezas ou falhas no sistema que podem ser exploradas.
Por exemplo, se um servidor tiver uma vulnerabilidade não corrigida (pontuação 8 de 10 em gravidade) e a ameaça de exploração for moderada (5 de 10), o risco seria 8 * 5 = 40 de 100.
O gerenciamento de risco envolve identificar, avaliar, analisar e responder a esses riscos. O PenTesting ajuda nesse processo ao descobrir vulnerabilidades antes que agentes maliciosos possam explorá-las.
2.3 O processo de PenTest estruturado CompTIA
A CompTIA descreve um processo de oito etapas para a realização de testes de penetração:
1. Planejamento e escopo: envolve delinear o plano para o PenTest, incluindo a definição de objetivos, sistemas a serem testados e limitações.
2. Reconhecimento: Coleta de informações sobre o alvo. Isso pode envolver métodos passivos (informações publicamente disponíveis) e ativos (interação direta com o alvo).
3. Scanning: Identificar hosts ativos, portas abertas e serviços em execução. Ferramentas como Nmap são frequentemente usadas nesta fase.
4. Obter acesso: Tentar explorar vulnerabilidades para ver até onde o testador consegue penetrar na rede.
5. Manter o acesso: uma vez obtido o acesso, o testador tenta mantê-lo sem ser detectado pelo maior tempo possível, simulando o comportamento de um invasor real.
6. Cobrir rastros: remover qualquer evidência de penetração, como entradas de log ou arquivos criados.
7. Análise: Analisar as descobertas e derivar um resumo da classificação de risco para cada vulnerabilidade encontrada.
8. Relatórios: Entregar os resultados em um relatório abrangente, geralmente incluindo um resumo executivo e descobertas técnicas detalhadas.
Cenário: PenTest de sistemas de saúde MediTech
A MediTech é uma provedora regional de assistência médica com várias clínicas e um hospital central. Eles contrataram a CyberShield, uma empresa de segurança cibernética de renome, para conduzir um teste de penetração abrangente de seus sistemas.
1. Planejamento e escopo: A CyberShield se reúne com as equipes de TI e gestão da MediTech para delinear o plano PenTest. Eles definem objetivos (avaliação da segurança dos registros de pacientes e do sistema de agendamento), sistemas a serem testados (rede hospitalar principal, redes de clínicas e portal do paciente) e limitações (nenhuma interrupção em sistemas médicos críticos).
2. Reconhecimento: CyberShield começa a coletar informações sobre a MediTech:
- Passivo: Eles pesquisam registros públicos, analisam o site da MediTech e revisam os perfis de mídia social dos funcionários.
- Ativo: Eles fazem ligações para a MediTech se passando por pacientes em potencial para coletar informações sobre seus sistemas.
3. Escaneamento: Usando o Nmap e outras ferramentas, o CyberShield escaneia as redes da MediTech:
- Eles identificam hosts ativos nas redes de hospitais e clínicas.
- Eles descobrem portas abertas em vários servidores, incluindo algumas portas abertas inesperadas no servidor do portal do paciente.
- Eles enumeram serviços em execução, observando uma versão desatualizada de um serviço de banco de dados em um dos servidores da clínica.
4. Obtendo acesso: O CyberShield tenta explorar as vulnerabilidades encontradas:
- Eles usam um exploit conhecido no serviço de banco de dados desatualizado para obter acesso inicial ao servidor de uma clínica.
- A partir daí, eles exploram uma senha fraca em uma conta de administrador para acessar a rede principal do hospital.
5. Manutenção do acesso: Uma vez dentro dos sistemas da MediTech, o CyberShield:
- Cria uma conta de usuário oculta com privilégios elevados.
- Instala uma ferramenta de acesso remoto disfarçada em vários servidores principais.
- Configura tarefas agendadas que verificam periodicamente seu servidor de comando e controle.
6. Cobrindo rastros: Para permanecer indetectável, o CyberShield:
- Modifica os logs do sistema para remover evidências de sua intrusão.
- Exclui todos os arquivos temporários criados durante suas atividades.
- Garante que sua ferramenta de acesso remoto não apareça nas listas de processos em execução.
7. Análise: A CyberShield analisa suas descobertas:
- Eles identificam vulnerabilidades críticas no portal do paciente e nas redes da clínica.
- Eles avaliam o impacto potencial de cada vulnerabilidade, considerando fatores como facilidade de exploração e potencial exposição de dados.
- Eles classificam cada vulnerabilidade em uma escala de baixa a crítica com base em sua análise.
8. Relatórios: A CyberShield entrega um relatório abrangente à MediTech:
- Resumo executivo: Visão geral de alto nível do teste, principais descobertas e avaliação geral de risco.
- Descobertas técnicas detalhadas: explicação detalhada de cada vulnerabilidade, incluindo como ela foi descoberta e explorada.
- Classificações de risco: detalhamento claro dos níveis de risco para cada vulnerabilidade.
- Recomendações: Medidas específicas e práticas para a MediTech abordar cada vulnerabilidade.
- Apêndices: Dados brutos de varreduras, capturas de tela de explorações bem-sucedidas (com informações confidenciais redigidas) e outras evidências de apoio.
Este cenário ilustra como cada etapa do processo de teste de penetração é aplicada em um contexto do mundo real, demonstrando a abordagem metódica que os testadores profissionais adotam para avaliar minuciosamente a postura de segurança de uma organização.
2.4 Comparando as etapas realizadas durante o teste de penetração
É crucial distinguir entre equipes de PenTesting e agentes de ameaças reais:
- PenTesting Team: O objetivo principal é testar as defesas de uma infraestrutura. Eles operam dentro de limites acordados e com a permissão da organização.
- Threat Actor: O objetivo principal é alterar a integridade do sistema para propósitos maliciosos. Eles não têm limites e frequentemente visam causar danos ou roubar informações.
Entender essa diferença ajuda a simular ataques no mundo real, mantendo os limites éticos e legais.
Cenário: Plataforma de banco on-line do SecureBank
O SecureBank atualizou recentemente sua plataforma de banco on-line e quer garantir sua segurança. Eles contrataram uma equipe de PenTesting para uma avaliação de segurança. Enquanto isso, sem o conhecimento do SecureBank, um grupo Threat Actor também colocou seus olhos nos sistemas do banco.
Equipe de PenTesting:
1. Engajamento: A equipe é oficialmente contratada pelo SecureBank e assina um contrato descrevendo o escopo e as limitações de seu trabalho.
2. Objetivos: O objetivo é identificar vulnerabilidades na plataforma de banco on-line para ajudar o SecureBank a melhorar sua segurança.
3. Metodologia: Eles seguem uma abordagem estruturada, começando com reconhecimento e varredura, e então tentando explorar as vulnerabilidades descobertas.
4. Limitações: Eles operam dentro de limites acordados. Por exemplo, eles podem evitar testes durante os horários de pico para evitar interrupções para os clientes.
5. Ética: se eles obtiverem acesso a dados confidenciais, eles não os exfiltram nem os utilizam indevidamente.
6. Comunicação: Eles mantêm contato regular com a equipe de TI do SecureBank, especialmente se descobrirem vulnerabilidades críticas.
7. Duração: O noivado tem um prazo definido, normalmente algumas semanas.
8. Relatórios: No final do teste, eles fornecem um relatório detalhado de suas descobertas e recomendações ao SecureBank.
Ator da ameaça:
1. Engajamento: Eles não são autorizados e operam ilegalmente, geralmente de um local remoto.
2. Objetivos: O objetivo geralmente é o ganho financeiro, seja roubando fundos diretamente ou vendendo dados roubados na dark web.
3. Metodologia: Embora possam usar ferramentas e técnicas semelhantes às da equipe de PenTesting, eles não estão vinculados a nenhuma regra ou ética.
4. Limitações: Eles não têm limitações e podem atacar a qualquer momento, inclusive em horários de pico, para aumentar a confusão.
5. Ética: Se obtiverem acesso a dados confidenciais, eles os explorarão para ganho pessoal ou os venderão.
6. Comunicação: Eles evitam qualquer comunicação com o SecureBank, tentando permanecer indetectáveis pelo maior tempo possível.
7. Duração: Eles podem persistir no sistema por meses ou até anos se não forem detectados.
8. Relatórios: em vez de um relatório, eles podem deixar uma nota de resgate se decidirem implantar um ransomware ou simplesmente desaparecer com os dados roubados.
Exemplo de resultado:
PenTesting Team: Eles descobrem uma vulnerabilidade na função de redefinição de senha que pode permitir a tomada de conta. Eles notificam o SecureBank imediatamente, demonstram a vulnerabilidade em um ambiente controlado e fornecem recomendações para corrigi-la. O SecureBank corrige a vulnerabilidade em poucos dias.
Threat Actor: Eles descobrem a mesma vulnerabilidade, mas a exploram para obter acesso a várias contas de clientes. Eles transferem fundos para contas não rastreáveis e vendem dados de clientes na dark web. O SecureBank só descobre a violação meses depois, quando os clientes relatam transações não autorizadas.
Este exemplo ilustra o contraste gritante entre PenTesting Teams e Threat Actors. Embora ambos possam usar técnicas semelhantes, suas intenções, métodos e resultados são fundamentalmente diferentes. PenTesting Teams trabalham para melhorar a segurança com o conhecimento e consentimento da organização, enquanto Threat Actors buscam explorar vulnerabilidades para propósitos maliciosos sem o conhecimento da organização.
3. Requisitos de conformidade
3.1 PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento)
O PCI DSS especifica controles que devem estar em vigor para lidar com dados de cartão de crédito. Os principais requisitos incluem:
- Criar e manter uma infraestrutura de rede segura: isso envolve implementar firewalls e segmentação de rede adequada.
- Proteção de dados do titular do cartão: uso de criptografia para transmissão e armazenamento de dados.
- Manter um programa de gerenciamento de vulnerabilidades: atualizações e patches regulares para sistemas.
- Implementar medidas fortes de controle de acesso: Utilizando autenticação multifator e o princípio do menor privilégio.
- Monitorar e testar redes regularmente: Realizar verificações de segurança e testes de penetração regulares.
- Manter uma política de segurança da informação: documentar e aplicar práticas de segurança em toda a organização.
As empresas devem estar vigilantes em seus esforços para proteger os dados:
- Eles precisam concluir avaliações e relatar os resultados.
- O nível do comerciante define se ele deve preencher um Relatório de Conformidade (ROC).
- Os comerciantes de nível 1 (que processam mais de 6 milhões de transações com cartão anualmente) devem passar por uma auditoria externa realizada por um Avaliador de Segurança Qualificado (QSA) aprovado.
- Os níveis 1 e 2 devem preencher um Relatório de Conformidade.
- Os níveis 2 a 4 podem ter um auditor externo ou enviar um questionário de autoavaliação (SAQ) que comprove que estão tomando medidas ativas para proteger a infraestrutura.
3.2 Regulamento Geral de Proteção de Dados (RGPD)
O GDPR se concentra na privacidade dos dados do consumidor:
- Afeta qualquer pessoa que faça negócios com residentes da UE e da Grã-Bretanha.
- Os principais componentes incluem:
a) Exigência de consentimento: as organizações devem pedir permissão para cada fonte de dados que coletam de indivíduos.
b) Permitir a revogação do consentimento: Os consumidores podem cancelar o consentimento a qualquer momento.
c) Alcance global: aplica-se a qualquer organização que lide com dados de residentes da UE, independentemente de onde a organização esteja sediada.
d) Restringir a coleta de dados: As organizações devem coletar apenas o necessário.
e) Relatório de violação: as empresas devem relatar uma violação dentro de 72 horas após a descoberta.
3.3 Outras Leis de Privacidade
- SHIELD Act (Stop Hacks and Improve Electronic Data Security): Promulgado no estado de Nova York para proteger os dados dos cidadãos. Ele exige que as empresas implementem salvaguardas para as “informações privadas” dos residentes de Nova York.
- Lei de Privacidade do Consumidor da Califórnia (CCPA): Esta lei dá aos residentes da Califórnia mais controle sobre suas informações pessoais, incluindo o direito de saber quais dados estão sendo coletados e a capacidade de solicitar sua exclusão.
- Health Insurance Portability and Accountability Act (HIPAA): Esta lei dos EUA fornece disposições de privacidade e segurança de dados para salvaguardar informações médicas. Ela se aplica a provedores de assistência médica, planos de saúde e câmaras de compensação de assistência médica.
Exemplos de empresas ou organizações que precisam aplicar PCI DSS, GDPR, SHIELD Act, CCPA e HIPAA, juntamente com casos de uso específicos e os benefícios da conformidade.
1. PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento)
Exemplo de organização: Global Retail Inc., uma empresa internacional de comércio eletrônico
Caso de uso: a Global Retail processa milhões de transações de cartão de crédito anualmente por meio de sua loja online e locais físicos em todo o mundo.
Aplicação: Eles devem implementar os padrões PCI DSS em todos os seus sistemas de pagamento, incluindo:
- Criptografando dados do titular do cartão durante a transmissão e o armazenamento
- Atualizar e aplicar patches regularmente nos sistemas
- Implementando controles de acesso fortes
- Realização de avaliações de segurança regulares
Benefícios:
- Risco reduzido de violações de dados e custos associados
- Aumento da confiança e fidelidade do cliente
- Evitar multas e penalidades pesadas de marcas de cartão
- Postura geral de segurança melhorada
2. RGPD (Regulamento Geral de Proteção de Dados)
Exemplo de organização: EuroTech Solutions, uma empresa de software sediada nos EUA com clientes na UE
Caso de uso: a EuroTech coleta e processa dados pessoais de cidadãos da UE para suas atividades de CRM e marketing.
Aplicação: Eles precisam:
- Obter consentimento explícito para coleta de dados
- Forneça opções para que os usuários acessem, modifiquem ou excluam seus dados
- Implementar medidas de proteção de dados
- Nomear um Encarregado da Proteção de Dados
Benefícios:
- Maior confiança com clientes e parceiros europeus
- Práticas aprimoradas de gerenciamento de dados
- Prevenção de multas severas do RGPD (até 4% do faturamento anual global)
- Vantagem competitiva em mercados preocupados com a privacidade
3. Lei SHIELD (Lei de Impedir Hacks e Melhorar a Segurança de Dados Eletrônicos)
Exemplo de organização: NY Financial Advisors, uma pequena empresa de consultoria financeira em Nova York
Caso de uso: a empresa lida com informações financeiras confidenciais de moradores de Nova York.
Aplicação: Devem:
- Implementar um programa de segurança de dados
- Treinar funcionários sobre práticas de segurança cibernética
- Realizar avaliações de risco regulares
- Garantir que os provedores de serviços terceirizados possam proteger os dados
Benefícios:
- Risco reduzido de violações de dados
- Melhoria da confiança do cliente
- Conformidade com a lei do estado de Nova York
- Práticas gerais de segurança aprimoradas
4. CCPA (Lei de Privacidade do Consumidor da Califórnia)
Exemplo de organização: TechGiant Corp, uma grande empresa de tecnologia sediada na Califórnia
Caso de uso: a TechGiant coleta e processa informações pessoais de residentes da Califórnia por meio de seus vários serviços online.
Aplicação: Eles precisam:
- Fornecer informações claras sobre as práticas de coleta de dados
- Ofereça opções de cancelamento para vendas de dados
- Responder às solicitações dos consumidores para acesso ou exclusão de dados
- Implementar medidas de segurança razoáveis
Benefícios:
- Maior transparência e confiança com os consumidores da Califórnia
- Melhoria na gestão e organização de dados
- Evitar penalidades da CCPA
- Preparação para potenciais leis federais de privacidade
5. HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde)
Exemplo de organização: HealthCare Plus, um provedor de saúde multi-estado
Caso de uso: o HealthCare Plus gerencia registros eletrônicos de saúde e se comunica com pacientes e outros provedores eletronicamente.
Aplicação: Devem:
- Implementar controles de acesso e autenticação fortes
- Criptografe os dados do paciente em trânsito e em repouso
- Realizar avaliações regulares de risco de segurança
- Treinar a equipe sobre práticas de privacidade e segurança
- Estabelecer acordos de parceria comercial com fornecedores
Benefícios:
- Proteção de informações confidenciais do paciente
- Aumento da confiança e satisfação do paciente
- Evitar penalidades severas da HIPAA
- Melhoria da eficiência operacional por meio de práticas padronizadas
Em todos esses casos, a conformidade não só ajuda as organizações a evitar penalidades, mas também melhora sua postura geral de segurança, cria confiança com os clientes e, muitas vezes, leva a práticas operacionais aprimoradas. Embora a implementação inicial possa ser desafiadora e potencialmente custosa, os benefícios de longo prazo em termos de redução de risco e melhoria da reputação geralmente superam os custos.
4. Comparando Padrões e Metodologias
4.1 Identificando Estruturas de Pentest
Penetration Testing Frameworks são diretrizes e metodologias estruturadas que ajudam profissionais de segurança a conduzir avaliações de segurança completas e consistentes. Essas estruturas fornecem uma abordagem sistemática para identificar vulnerabilidades, explorar fraquezas e relatar descobertas de forma padronizada.
1. OWASP (Projeto de Segurança de Aplicações Web Abertas)
OWASP é uma fundação sem fins lucrativos que trabalha para melhorar a segurança de software. Ela fornece vários recursos, ferramentas e metodologias para segurança de aplicativos web.
Componentes principais:
- OWASP Top 10: Uma lista atualizada regularmente dos riscos de segurança de aplicativos da web mais críticos
- Guia de testes OWASP: um guia abrangente para testar a segurança de aplicativos da web
- OWASP ZAP (Zed Attack Proxy): Um scanner de segurança de aplicativos da web de código aberto
Exemplo de aplicação: Uma startup de tecnologia financeira está desenvolvendo uma nova plataforma de banco on-line. Eles usam o OWASP Top 10 como uma lista de verificação para garantir que estão abordando os riscos de segurança mais críticos. Durante o desenvolvimento, eles verificam regularmente seu aplicativo usando o OWASP ZAP para identificar vulnerabilidades potenciais. Antes do lançamento, eles conduzem uma avaliação completa seguindo o OWASP Testing Guide para garantir uma cobertura de segurança abrangente.
2. NIST (Instituto Nacional de Padrões e Tecnologia)
O NIST é uma agência do governo dos EUA que desenvolve padrões e diretrizes de segurança cibernética. Embora não seja especificamente uma estrutura de pentesting, o NIST fornece recursos valiosos para testes de segurança.
Componentes principais:
- NIST SP 800–115: Guia técnico para testes e avaliações de segurança da informação
- Estrutura de segurança cibernética do NIST: fornece um conjunto de diretrizes para mitigar riscos de segurança cibernética organizacional
Exemplo de aplicação: Um grande contratante do governo está se preparando para uma auditoria de segurança. Eles usam o NIST SP 800–115 para orientar seu processo de avaliação de segurança interna, garantindo que eles cubram todos os aspectos de seus sistemas de informação. Eles também alinham sua estratégia geral de segurança com o NIST Cybersecurity Framework, usando suas cinco funções principais (Identificar, Proteger, Detectar, Responder, Recuperar) para estruturar seu programa de segurança.
3. OSSTMM (Manual de Metodologia de Teste de Segurança de Código Aberto)
OSSTMM é uma metodologia revisada por pares para executar testes e métricas de segurança. Ela fornece uma abordagem científica para testar a segurança operacional de locais físicos, interações humanas e todas as formas de comunicação.
Componentes principais:
- Seis seções cobrindo diferentes tipos de segurança (física, espectro, comunicações, redes de dados, ambiental e humana)
- RAV (Risk Assessment Values): Uma abordagem quantitativa para medir a segurança
Exemplo de aplicação: Uma corporação multinacional quer avaliar a segurança de toda a sua operação, incluindo escritórios físicos, infraestrutura digital e fatores humanos. Eles usam o OSSTMM como uma estrutura abrangente para essa avaliação. Por exemplo:
- Segurança física: eles testam controles de acesso, sistemas de vigilância e respostas a alarmes.
- Redes de dados: conduzem testes completos de penetração de rede.
- Humano: Eles realizam testes de engenharia social para avaliar a conscientização de segurança dos funcionários. Após a avaliação, eles usam o sistema RAV da OSSTMM para quantificar sua postura de segurança atual e rastrear melhorias ao longo do tempo.
Aplicação Comparativa de Frameworks:
Vamos considerar um cenário em que uma grande empresa de comércio eletrônico deseja realizar uma avaliação de segurança abrangente:
1. OWASP: Eles usariam isso principalmente para seus aplicativos web e APIs. A equipe de segurança:
o Consulte o OWASP Top 10 para priorizar seus esforços de teste.
o Use o Guia de Testes OWASP para garantir uma cobertura completa dos testes de segurança de aplicativos web.
o Empregue ferramentas como OWASP ZAP para digitalização automatizada.
2. NIST: A empresa usaria as diretrizes do NIST para garantir que seu programa geral de segurança seja robusto. Elas iriam:
o Siga o NIST SP 800–115 para estruturar seu processo de teste de segurança.
o Alinhar sua estratégia de segurança com a Estrutura de Segurança Cibernética do NIST, garantindo que eles tenham processos em vigor para todas as cinco funções principais.
3. OSSTMM: Isso seria usado para uma avaliação de segurança mais holística. A equipe iria:
o Avalie a segurança física de seus data centers usando a seção de segurança física do OSSTMM.
o Teste a segurança da rede usando a seção de redes de dados.
o Realizar avaliações de fatores humanos, incluindo testes de engenharia social.
Ao combinar essas estruturas, a empresa de comércio eletrônico pode garantir uma avaliação de segurança abrangente que abrange aplicativos da web, postura geral de segurança cibernética e aspectos técnicos e não técnicos específicos de sua operação.
Concluindo, embora cada uma dessas estruturas tenha seus pontos fortes, elas geralmente são mais eficazes quando usadas em combinação, permitindo que as organizações se beneficiem de suas abordagens complementares para avaliação e melhoria de segurança.
4.2 Fornecendo estrutura e orientação
Estrutura e orientação em testes de penetração referem-se a frameworks e metodologias padronizadas que fornecem uma abordagem sistemática para conduzir avaliações de segurança. Essas frameworks oferecem vários benefícios:
1. Consistência: garante que todos os aspectos de segurança sejam abordados em cada avaliação.
2. Eficiência: fornece um roteiro para os testadores seguirem, economizando tempo e recursos.
3. Comparabilidade: permite comparações significativas entre diferentes avaliações ou ao longo do tempo.
4. Profissionalismo: demonstra uma abordagem metódica aos clientes e partes interessadas.
Vamos explorar três estruturas importantes que fornecem estrutura e orientação em testes de penetração:
1. ISSAF (Estrutura de Avaliação de Segurança de Sistemas de Informação)
ISSAF é uma estrutura de código aberto desenvolvida pelo Open Information Systems Security Group (OISSG).
Principais características:
- Cobertura abrangente de vários domínios de segurança
- Metodologia detalhada para cada fase do teste de penetração
- Recomendações de ferramentas e técnicas para cada etapa
Estrutura: O ISSAF é dividido em três fases principais:
1. Planejamento e preparação
2. Avaliação
3. Relatório, limpeza e destruição de artefatos
Aplicação Prática: Uma grande instituição financeira decide conduzir uma avaliação de segurança abrangente de toda a sua infraestrutura de TI. Eles escolhem a ISSAF por causa de sua abordagem completa.
- Na fase de Planejamento e Preparação, eles definem o escopo, coletam informações sobre seus sistemas e preparam ferramentas de teste.
- Durante a fase de avaliação, eles seguem as diretrizes detalhadas da ISSAF para mapeamento de rede, identificação de vulnerabilidades e exploração.
- Na fase final, eles compilam um relatório detalhado de suas descobertas, limpam quaisquer alterações feitas durante os testes e garantem que todos os dados confidenciais coletados sejam destruídos com segurança.
2. PTES (Padrão de execução de testes de penetração)
O PTES fornece uma linguagem e escopo comuns para a realização de testes de penetração.
Principais características:
- Sete seções principais cobrindo todo o processo de teste de penetração
- Diretrizes técnicas para a realização de testes
- Ênfase na comunicação clara das descobertas
Estrutura:
1. Interações pré-engajamento
2. Recolha de informações
3. Modelagem de ameaças
4. Análise de vulnerabilidade
5. Exploração
6. Pós-exploração
7. Relatórios
Aplicação prática: Uma empresa de e-commerce de médio porte quer testar a segurança de seu novo sistema de processamento de pagamentos. Eles adotam o PTES para essa avaliação focada.
- Nas interações de pré-engajamento, eles definem claramente o escopo, focando especificamente no sistema de pagamento.
- Durante a coleta de inteligência e a modelagem de ameaças, eles identificam possíveis invasores e seus prováveis métodos.
- Na Análise e Exploração de Vulnerabilidades, eles descobrem e tentam explorar fraquezas no sistema de pagamento.
- A pós-exploração envolve ver até onde eles podem ir a partir de qualquer acesso inicial obtido.
- Por fim, eles produzem um relatório detalhado seguindo as diretrizes do PTES, comunicando claramente os riscos para as partes interessadas técnicas e não técnicas.
3. MITRE ATT&CK (Táticas Adversariais, Técnicas e Conhecimento Comum)
Embora não seja estritamente uma estrutura de teste de penetração, o MITRE ATT&CK fornece uma base de conhecimento abrangente de táticas e técnicas adversárias com base em observações do mundo real.
Principais características:
- Matriz detalhada de táticas e técnicas de ataque
- Atualizações regulares com base na evolução do cenário de ameaças
- Aplicável tanto a operações ofensivas (equipe vermelha) quanto defensivas (equipe azul)
Estrutura: ATT&CK é organizado em táticas (o “porquê” de uma técnica de ataque) e técnicas (o “como”). Ele cobre todo o ciclo de vida do ataque, incluindo:
- Acesso inicial
- Execução
- Persistência
- Escalação de privilégios
- Evasão de Defesa
- Acesso de Credencial
- Descoberta
- Movimento lateral
- Coleção
- Exfiltração
- Comando e Controle
Aplicação prática: Uma agência governamental quer melhorar sua postura de segurança contra ameaças persistentes avançadas (APTs). Eles incorporam o MITRE ATT&CK em suas estratégias de defesa e testes de segurança.
- Red Team: A equipe de teste de penetração usa ATT&CK para modelar seus ataques, garantindo que eles estejam usando técnicas empregadas por adversários do mundo real. Por exemplo, eles podem usar técnicas listadas em “Acesso Inicial”, como spearphishing ou exploração de aplicativos voltados ao público.
- Blue Team: A equipe defensiva usa o ATT&CK para orientar suas estratégias de detecção e resposta. Eles garantem que têm controles e monitoramento em vigor para cada tática e técnica relevante para seu ambiente.
- Relatórios: as descobertas da equipe vermelha são mapeadas para a matriz ATT&CK, mostrando quais técnicas adversárias foram bem-sucedidas e quais foram detectadas ou evitadas.
- Melhoria: Com base nos resultados, a agência prioriza melhorias de segurança, concentrando-se em áreas onde diversas técnicas ATT&CK foram bem-sucedidas.
Concluindo, essas estruturas fornecem estrutura e orientação essenciais para testes de penetração, permitindo avaliações de segurança mais completas, consistentes e eficazes. Embora cada uma tenha seus pontos fortes, muitas organizações usam uma combinação de estruturas para garantir cobertura abrangente de suas necessidades de testes de segurança.
4.3 ATAQUE DE MITRE
MITRE ATT&CK (Táticas Adversariais, Técnicas e Conhecimento Comum)
MITRE ATT&CK é uma base de conhecimento globalmente acessível de táticas e técnicas adversárias com base em observações do mundo real. Ela foi projetada para ser uma matriz abrangente do comportamento do invasor, fornecendo uma linguagem comum para a comunidade de segurança cibernética.
Componentes principais:
1. Táticas: O “porquê” da ação de um atacante. Essas são as metas táticas do adversário durante um ataque.
2. Técnicas: O “como” de um ataque. Esses são os métodos específicos usados pelos adversários para atingir seus objetivos táticos.
3. Subtécnicas: Descrições mais específicas do comportamento do adversário do que técnicas.
4. Procedimentos: Implementações específicas de técnicas ou subtécnicas usadas pelos adversários.
Matriz ATT&CK: A Matriz ATT&CK organiza as técnicas em categorias táticas:
1. Acesso inicial
2. Execução
3. Persistência
4. Escalação de privilégios
5. Evasão de Defesa
6. Acesso de Credencial
7. Descoberta
8. Movimento lateral
9. Coleção
10. Comando e Controle
11.Exfiltração
12. Impacto
Exemplo de aplicação:
Vamos considerar um cenário de teste de penetração para uma instituição financeira:
1. Acesso inicial: Os testadores de penetração podem usar um ataque de spear-phishing (Técnica T1566) para obter acesso inicial.
2. Execução: Depois de obter acesso, eles podem usar o PowerShell (Técnica T1059.001) para executar código malicioso.
3. Escalonamento de privilégios: eles podem explorar uma vulnerabilidade para escalonamento de privilégios (Técnica T1068).
4. Descoberta: Os testadores podem usar técnicas de descoberta de contas (Técnica T1087) para encontrar alvos de alto valor.
5. Movimento lateral: eles podem usar serviços remotos (Técnica T1021) para se mover dentro da rede.
6. Coleta: A equipe poderia usar dados de sistemas locais (Técnica T1005) para coletar informações confidenciais.
7. Exfiltração: Por fim, eles podem exfiltrar dados por meio de um protocolo alternativo (Técnica T1048) para simular roubo de dados.
Cenário do mundo real:
Em 2019, a FireEye relatou uma campanha de ataque visando setores de serviços públicos, que eles apelidaram de “TEMP.Veles”. Eles usaram a estrutura MITRE ATT&CK para descrever as ações do adversário:
1. Acesso inicial: Os invasores usaram e-mails de spear-phishing com anexos maliciosos (Técnica T1566.001).
2. Execução: Eles utilizaram scripts do PowerShell (Técnica T1059.001) para executar seu malware.
3. Persistência: Os adversários criaram tarefas agendadas (Técnica T1053.005) para manter o acesso.
4. Escalonamento de privilégios: eles exploraram vulnerabilidades em sistemas sem patches (Técnica T1068).
5. Evasão de defesa: os invasores usaram arquivos ofuscados (Técnica T1027) para evitar a detecção.
6. Comando e Controle: Eles usaram protocolos C2 personalizados (Técnica T1094) para comunicação.
Ao mapear o ataque ao ATT&CK, a FireEye forneceu uma descrição clara e padronizada do comportamento do agente da ameaça, o que ajudou outras organizações a entender e se defender contra ataques semelhantes.
MITRE ATT&CK e CALDERA:
CALDERA (Cyber Adversary Language and Operations Description for Red Team Automation) é um sistema de emulação de adversário automatizado de código aberto desenvolvido pela MITRE. Ele usa a estrutura ATT&CK para executar operações de emulação de adversário.
A integração da ATT&CK e da CALDERA permite:
1. Testes automatizados: o CALDERA pode executar automaticamente cenários de ataque com base em técnicas ATT&CK.
2. Perfis de adversários personalizáveis: as equipes de segurança podem criar perfis que imitam agentes de ameaças específicos ou testar cadeias de ataque específicas.
3. Mapeamento em tempo real: conforme o CALDERA executa técnicas, ele as mapeia para a matriz ATT&CK em tempo real.
4. Medição defensiva: as organizações podem usar o CALDERA para testar suas capacidades de detecção e resposta contra técnicas ATT&CK.
Exemplo de uso combinado:
Uma grande corporação quer testar suas defesas contra um grupo APT específico. Eles iriam:
1. Use ATT&CK para identificar as técnicas comumente usadas por este grupo APT.
2. Crie um perfil de adversário personalizado no CALDERA com base nessas técnicas.
3. Execute testes automatizados usando CALDERA, que executa as técnicas de maneira controlada.
4. Observe como seus sistemas de defesa respondem a cada técnica.
5. Use os resultados para melhorar suas defesas, concentrando-se em áreas onde a detecção ou prevenção falharam.
Essa combinação da base de conhecimento abrangente da ATT&CK e dos recursos de automação da CALDERA fornece uma ferramenta poderosa tanto para testes de segurança ofensivos quanto para melhorias defensivas. Ela permite que as organizações testem e melhorem continuamente sua postura de segurança contra cenários de ataque do mundo real de forma controlada e mensurável.
4.4 Investigando CVE e CWE
- CVE (Common Vulnerabilities and Exposures): Uma lista de vulnerabilidades de segurança cibernética divulgadas publicamente. Cada entrada inclui um número de identificação, uma descrição e pelo menos uma referência pública.
- CWE (Common Weakness Enumeration): Uma lista desenvolvida pela comunidade de tipos de fraquezas de software e hardware. Ela serve como uma linguagem comum para descrever fraquezas de segurança em arquitetura, design ou código.
5. Descrevendo maneiras de manter o profissionalismo
5.1 Validando a Equipe
Cada membro de uma equipe de PenTesting precisa provar que pode trabalhar em um ambiente seguro:
- Fornecer credenciais: como certificações relevantes (por exemplo, CompTIA PenTest+, CEH) que demonstrem habilidades apropriadas para conduzir PenTests.
- Produza verificações de antecedentes recentes: elas podem incluir pontuações de crédito e registros de direção. É crucial garantir que nenhum membro da equipe tenha antecedentes criminais ou condenação por crime grave.
- Enfatize a importância de identificar e denunciar atividades criminosas: mesmo que tais atividades sejam descobertas acidentalmente durante o teste.
5.2 Manutenção da confidencialidade
- Todos na equipe do PenTest devem concordar em cumprir a política de tratamento de informações proprietárias e confidenciais.
- A equipe deve declarar explicitamente ao cliente que os testadores protegerão qualquer informação que descobrirem durante o teste.
5.3 Evitando Processos
- Antes de iniciar qualquer teste, a equipe deve descrever os termos do contrato em detalhes.
- Revise todas as possíveis considerações legais que possam ser aplicáveis.
- Pense cuidadosamente em todos os cenários que podem ocorrer durante o teste.
- Explique como eles concluirão os testes, juntamente com possíveis conflitos que podem surgir.
Conclusão
PenTesting é uma ferramenta crucial para avaliar e melhorar a postura de segurança cibernética de uma organização. Ao aderir a processos, padrões e requisitos legais estabelecidos, os profissionais do PenTest podem fornecer o máximo valor aos seus clientes, mantendo os mais altos níveis de profissionalismo e ética.
Este guia abrangente abrange os principais aspectos dos testes de penetração, desde a compreensão dos conceitos básicos até a manutenção de padrões profissionais. Ele fornece uma base sólida para qualquer um que queira entender ou conduzir testes de penetração em um contexto organizacional.
#############################################################
Cenário de exemplo: PenTest de empresa de comércio eletrônico
Perfil de companhia:
A GlobalShop é uma empresa de e-commerce de médio porte que vende eletrônicos no mundo todo. Eles processam mais de 500.000 transações de cartão de crédito anualmente e armazenam dados de clientes, incluindo nomes, endereços e histórico de compras.
Situação:
O CEO da GlobalShop ficou cada vez mais preocupado com a segurança cibernética após ouvir sobre recentes violações de dados de alto perfil. A empresa decide contratar uma empresa profissional de testes de penetração, a SecureInsight, para avaliar sua postura de segurança.
Processo PenTest:
1. Planejamento e escopo:
A SecureInsight se reúne com a equipe de TI da GlobalShop para definir o escopo do teste. Eles concordam em focar na plataforma de e-commerce, sistema de processamento de pagamentos e banco de dados de clientes. Eles definem um prazo de duas semanas para o teste e estabelecem regras de engajamento, incluindo uma lista de “não testar” para sistemas de produção críticos.
2. Reconhecimento:
A equipe SecureInsight começa reunindo informações publicamente disponíveis sobre a GlobalShop. Eles encontram os intervalos de IP da empresa, examinam o código-fonte do site e descobrem vários endereços de e-mail de funcionários por meio de mídias sociais.
3. Digitalização:
Usando ferramentas como Nmap, a equipe escaneia a rede da GlobalShop, identificando portas e serviços abertos. Eles descobrem uma versão desatualizada do Apache em execução no servidor web e várias estações de trabalho sem patch.
4. Obtendo acesso:
Explorando uma vulnerabilidade conhecida na versão desatualizada do Apache, a equipe obtém acesso inicial ao servidor web. De lá, eles usam ataques de pulverização de senhas com senhas comumente usadas e acessam com sucesso uma conta de administrador.
5. Manutenção do acesso:
A equipe cria um backdoor no servidor comprometido e o usa para se mover lateralmente na rede, eventualmente obtendo acesso ao banco de dados do cliente.
6. Cobrindo rastros:
A equipe documenta cuidadosamente suas ações e remove quaisquer artefatos criados durante o teste, como arquivos temporários ou novas contas de usuário.
7. Análise:
O SecureInsight analisa suas descobertas, identificando diversas vulnerabilidades críticas:
- Software de servidor desatualizado
- Políticas de senha fracas
- Segmentação de rede insuficiente
- Dados de clientes não criptografados
8. Relatórios:
A equipe prepara um relatório abrangente, incluindo:
- Um resumo executivo para a liderança da GlobalShop
- Descobertas técnicas detalhadas
- Classificações de risco para cada vulnerabilidade
- Recomendações para remediação
Implicações de conformidade:
- PCI DSS: O teste revela que a GlobalShop não está totalmente em conformidade com os requisitos do PCI DSS, particularmente em áreas de sistemas seguros e criptografia.
- GDPR: A descoberta de dados não criptografados de clientes da UE indica possíveis violações do GDPR.
Conduta profissional:
Durante todo o engajamento, a SecureInsight mantém estrita confidencialidade sobre suas descobertas. Eles também garantem que operam dentro do escopo acordado, interrompendo seus testes quando chegam ao banco de dados do cliente em vez de tentar exfiltrar dados.
Resultado:
Com base no relatório da SecureInsight, a GlobalShop implementa diversas melhorias de segurança:
- Atualização de todo o software do servidor
- Implementar políticas de senha mais fortes e autenticação multifator
- Melhorar a segmentação da rede
- Criptografar todos os dados do cliente
Seis meses depois, a GlobalShop contratou a SecureInsight para um teste de acompanhamento, que mostra uma melhoria significativa em sua postura de segurança.
Este cenário ilustra como o teste de penetração funciona na prática, cobrindo o processo de teste, considerações de conformidade e conduta profissional. Ele mostra como o PenTesting pode identificar vulnerabilidades reais e levar a melhorias concretas na segurança cibernética de uma organização.