Como muitas equipes de segurança, a equipe de TI passa por desafios diários e combate muitas vulnerabilidades. Um dos serviços que oferecemos é o pentest, ou teste de intrusão, que você pode conferir mais detalhes sobre como ele funciona e para quais casos é indicado em nosso outro blog aqui.
Nas últimas semanas, um de nossos especialistas em cibersegurança nos forneceu um relato de algo do seu dia-a-dia que possui informações e insights muito interessantes para profissionais da área. Além disso, caso você esteja interessado em entender melhor como nossa equipe trabalha e como funciona um pentest na prática, agora é a hora! Vamos conferir em mais detalhes o relato do Marcelo Duarte, nossa crônica de hoje.
O início de tudo
Nosso Gerente Executivo de Produtos comentou que passou por uma situação pessoal que trouxe muitos elementos relacionados ao que ele conversa e orienta a sua equipe de teste de invasão no dia-a-dia, confira:
“Durante anos participei ativamente dos projetos de pentest da empresa. Tenho certificação na área e, acho eu, um bom conhecimento do assunto. Vez ou outra, conversando com os profissionais da empresa, eu os lembro sobre a “metodologia de pentest”, algumas vezes mais importante que o próprio conhecimento técnico.
Já vi todo tipo de profissional fazendo pentest. Desde aqueles com menos conhecimento até os mais “cascudos”. E já vi todo tipo de resultado, desde os bem fracos até os excelentes. De uma forma geral podemos pensar que os profissionais com mais conhecimento geram resultados melhores, certo? Nem sempre! A tendência natural é que sim, mas… Sempre tem o “mas”! Diria que os profissionais observadores, mesmo sem ter todo o conhecimento do mundo tem grandes chances de gerar bons resultados.
Diferente da área de pesquisa, normalmente com prazos mais dilatados, um projeto de pentest tem prazo definido e, quase sempre, bem curto. Se nos perdemos nas pesquisas, nas análises e testes, há grande chance de perdermos o prazo final e o cliente ficar descontente. E, com tanta informação disponível “por aí”, se não tivermos um processo bem definido de pentest muito provavelmente teremos problema lá na frente.”
Apenas no início deste relato, já podemos entender passos importantes sobre o pentest, como o fato de que há um prazo definido para a sua realização, o que pode ser adaptado de acordo com a sua infraestrutura. Além disso, é um processo que envolve vários profissionais e um projeto que precisa estar muito bem alinhado com a estratégia de cibersegurança da empresa que ele está relacionado para que não seja ineficaz.
E como proceder da melhor forma?
Falando sobre mais detalhes do processo em si, Duarte continua:
“Com isso, muito importante ao começarmos um projeto é observarmos o ambiente, a aplicação, serviços e funcionalidades críticas. Então, fazermos as anotações necessárias para, aí sim, definirmos uma estratégia e partirmos para o teste. Ah, mas já achei uma informação importante e, talvez, uma vulnerabilidade, não posso sair logo testando? Poder, pode! Cada um sabe qual a forma de trabalho que melhor se adequa aos seus objetivos. Mas, para cada escolha, uma renúncia. Pode ser que dessa forma outras partes do ambiente, tão ou mais críticas e vulneráveis, não sejam testadas pelo simples desconhecimento de sua existência e o prazo final chegando.
Muitas vezes vale a pena mostrar um resultado logo no primeiro dia de projeto (Já ouviram falar no “zero day” de um pentest?). Outras vezes, vale tentar explorar logo aquela vulnerabilidade antes que seja resolvida ou a complexidade do ataque vai fazer com que os testes se alonguem muito devido aos controles de segurança implantados no ambiente. Mais uma vez, não existe um processo ou resposta única.”
O fator humano é sempre extremamente importante quando lidamos com a tecnologia. A ideia aqui nunca é substituí-lo, mas sim fornecer ferramentas para que o trabalho seja mais eficaz e que atenda a estratégia definida.
“Ah, e minha situação pessoal? Já ia esquecendo! Então, precisei solicitar a segunda via da certidão de nascimento da minha mãe. Para contextualizar, antigamente quando uma pessoa se casava a certidão de nascimento se tornava “desnecessária” no Brasil, passando a valer a de casamento. Dessa forma, minha mãe e vários idosos não têm certidão de nascimento.
Fiz uma busca no site Registro Civil e conversei com algumas pessoas, que me indicaram procurar no site Family Search. Esses 2 sites são muito bons e úteis. Quer pedir uma certidão sem precisar ir pessoalmente em um cartório? Acesse o site Registro Civil. Quer buscar informações sobre seus familiares e/ou quer montar sua árvore genealógica? Acesse o site Family Search!
Porém, apesar de bem bacana, acho que o site FamilySearch tem algumas informações mal catalogadas e que, por isso, dificultam muito a busca. Passei algum tempo fazendo buscas por nomes, sobrenomes, datas, cartórios e afins. Com o tempo, clicando aqui e ali, fui percebendo que o site não retornava todos os dados para minhas buscas. Continuei procurando e entendendo a estrutura de pastas e arquivos do site. A partir daí, já estava acessando páginas – que não foram retornadas na busca – mudando diretamente a URL no navegador, o que me fez achar a certidão “rapidamente”.
Com uma capacidade para adaptação, o profissional de TI precisa analisar a situação que se encontra e definir qual a melhor estratégia para conseguir seu objetivo. Um teste de invasão busca as formas possíveis de como as ameaças poderão se concretizar através de brechas dentro do seu sistema, e isso pode muitas vezes necessitar de visões diferentes e pensamentos criativos.
O que isso nos ensina?
“Percebem que de novo aqui existe um elemento que é a capacidade de olhar o problema sob um ângulo independente de qualquer ferramenta. De usar uma capacidade 100% humana e não automatizada de pensar sobre o que estava acontecendo, agir usando recursos que envolvem todo um raciocínio voltado a solucionar um problema concreto. Teria conseguido achar sem o conhecimento prévio de aplicações? Teria conseguido se me limitasse a usar a funcionalidade de busca? Fico imaginando a quantidade de pessoas que fazem buscas no FamilySearch e não conseguem achar o que precisam. Da mesma forma, me pergunto: será que os profissionais de pentest não poderiam aprender algo novo com essa experiência?”
Uma situação e necessidade pessoal nos leva a aplicar ensinamentos e reflexões para o ambiente profissional. Ser capaz de inovar e trazer inspirações de diversos momentos da vida faz com que a sua equipe de segurança olhe as coisas de uma forma nova, mais dinâmica e benéfica para sua segurança.
Quer conferir mais sobre nossas soluções e conversar com nossos profissionais? Entre em contato hoje mesmo e tire suas dúvidas!