Quem vencerá a batalha de piratas e ninjas? Eu sei, você pensa: "O que diabos isso tem a ver com segurança?" Continue lendo para descobrir, mas primeiro escolha: Piratas ou Ninjas?
Antes de fazer essa escolha, você precisa descobrir seus pontos fortes e fracos:
Piratas |
|---|
| Pontos fortes | Fraquezas |
| Poderoso | Alto |
| Bom em ataques de força bruta | Bêbado (alguns acham que isso pode ser uma vantagem) |
| Bom em assalto | Pode ser descuidado |
| Longo alcance | |
Ninja |
|---|
| Pontos fortes | Fraquezas |
| Rápido | Sem armadura |
| Secretivo | Pequeno |
| Chamado para ensinar | |
| Mestres corpo a corpo | |
Tudo se resume ao que é mais útil em uma determinada situação. Se você está procurando um tesouro em uma ilha perdida e corre o risco de encontrar a Frota de Sua Majestade, provavelmente não precisará de um ninja. Se você está preparando uma tentativa, os piratas não são aqueles em que você pode confiar.
A mesma história com pentest e redtime. Ambas as abordagens têm pontos fortes e fracos, o que torna uma delas mais preferível, dependendo das condições. Para tirar o máximo proveito disso, você precisa identificar objetivos e depois decidir o que melhor lhes convém.
Teste de penetração
O Pentest geralmente é confundido com outros métodos de avaliação de segurança: pesquisa e redefinição de vulnerabilidades. Mas, embora essas abordagens tenham componentes comuns, ainda são diferentes e devem ser usadas em contextos diferentes.
De fato, esse objetivo é identificar o número máximo de vulnerabilidades e erros de configuração no tempo alocado, bem como sua operação para determinar o nível de risco. Isso não precisa incluir uma pesquisa por cultivadores de grãos, na maioria das vezes é uma pesquisa por vulnerabilidades abertas conhecidas. Como no caso da pesquisa de vulnerabilidades, o pentest é projetado para identificar vulnerabilidades e verificar se há erros do primeiro tipo (falsos positivos).
No entanto, durante o teste, o examinador vai além, tentando explorar a vulnerabilidade. Isso pode ser feito de várias maneiras, e quando a vulnerabilidade é explorada, um bom agressor não para. Ele continua a pesquisar e explorar outras vulnerabilidades, combinando ataques para atingir a meta. Todas as organizações definem essas metas de maneiras diferentes, mas geralmente incluem acesso a dados pessoais, informações médicas e segredos comerciais. Às vezes, isso requer acesso no nível do administrador do domínio, mas muitas vezes você pode ficar sem ele, ou mesmo o acesso nesse nível não é suficiente.
Quem precisa de um penteado? Algumas agências governamentais exigem, mas as organizações que já realizam auditorias internas regulares, treinamento e monitoramento de segurança geralmente estão prontas para esse teste.
Avaliação da equipe vermelha
Redtimeing é muito parecido com um pentest, mas mais focado. O objetivo da equipe vermelha não é encontrar o número máximo de vulnerabilidades. O objetivo é testar a capacidade da organização de detectar e prevenir intrusões. Os invasores obtêm acesso a informações confidenciais de qualquer maneira possível, tentando passar despercebidas. Eles imitam ataques direcionados por um invasor semelhante ao
APT . Além disso, o tempo de espera, por via de regra, é mais longo do que o teste. O Pentest geralmente leva de uma a duas semanas, enquanto o tempo de espera pode durar de três a quatro semanas ou mais, envolvendo várias pessoas.
Durante o tempo de espera, montes de vulnerabilidades não são pesquisadas, mas apenas as necessárias para atingir a meta. Os objetivos são geralmente os mesmos que os do pentest. Durante o redimensionamento, são utilizados métodos como engenharia social (física e eletrônica), ataques a redes sem fio, ativos externos, etc. Esse teste não é para todos, mas apenas para organizações com um nível maduro de segurança da informação. Essas organizações geralmente já passaram por protestos, corrigiram a maioria das vulnerabilidades e já têm experiência em se opor com êxito aos testes de penetração.
O redtimeting pode ocorrer da seguinte maneira:
Um membro da equipe vermelha disfarçado de carteiro entra no prédio. Uma vez dentro, ele conecta o dispositivo à rede interna da organização para acesso remoto. O dispositivo estabelece um túnel de rede usando uma das portas permitidas: 80, 443 ou 53 (HTTP, HTTPS ou DNS), fornecendo um canal C2 para o comando vermelho. Outro membro da equipe, usando esse canal, começa a avançar pela infraestrutura de rede, usando, por exemplo, impressoras não protegidas ou outros dispositivos que ajudarão a esconder o ponto de penetração na rede. Assim, a equipe vermelha explora a rede interna até atingir seu objetivo, tentando ficar abaixo do radar.
Esse é apenas um dos muitos métodos que a equipe vermelha pode usar, mas é um bom exemplo de alguns dos testes que realizamos.
Então ... piratas ou ninjas?
Vamos voltar aos piratas contra o ninja. Se você supôs que pentesters são piratas e redimers são ninjas, você adivinhou. Qual é o melhor? Muitas vezes, são as mesmas pessoas que usam métodos e técnicas diferentes para diferentes exames. A verdadeira resposta para encontrar o melhor é a mesma que no caso de piratas e ninjas: não necessariamente alguém melhor. Cada um é mais útil em determinadas situações. Você não precisa de piratas para operações secretas, nem ninjas para arar os mares em busca de tesouros. Também não vale a pena usar um teste para avaliar a resposta a incidentes e o tempo de espera para encontrar vulnerabilidades.