Metodologia de Avaliação

Nos últimos tempos, tanto o governo quanto as organizações privadas assumiram a segurança cibernética como uma prioridade estratégica. Os cibercriminosos freqüentemente fazem do governo e de organizações privadas seus alvos fáceis, usando diferentes vetores de ataque. Infelizmente, devido à falta de políticas eficientes, padrões e complexidade do sistema de informação, os cibercriminosos têm um grande número de alvos e estão obtendo sucesso na exploração do sistema e no roubo de informações.

O teste de penetração é uma estratégia que pode ser usada para mitigar os riscos de ataques cibernéticos. O sucesso do teste de penetração depende de uma metodologia de avaliação eficiente e consistente.

Temos uma variedade de metodologias de avaliação relacionadas aos testes de penetração. A vantagem de usar uma metodologia é que ela permite que os avaliadores avaliem um ambiente de forma consistente. A seguir estão algumas metodologias importantes -

  • Manual de metodologia de teste de segurança de código aberto (OSSTMM)

  • Open Web Application Security Project (OWASP)

  • Instituto Nacional de Padrões e Tecnologia (NIST)

  • Padrão de execução de teste de penetração (PTES)

O que é PTES?

O PTES, padrão de execução de testes de penetração, como o nome indica, é uma metodologia de avaliação para testes de penetração. Ele cobre tudo relacionado a um teste de penetração. Temos uma série de orientações técnicas, no PTES, relacionadas com os diversos ambientes que um avaliador pode encontrar. Esta é a maior vantagem de usar o PTES por novos avaliadores porque as diretrizes técnicas têm sugestões para abordar e avaliar o ambiente dentro das ferramentas padrão da indústria.

Na seção seguinte, conheceremos as diferentes fases do PTES.

Sete fases do PTES

O padrão de execução de teste de penetração (PTES) consiste em sete fases. Essas fases cobrem tudo relacionado a um teste de penetração - desde a comunicação inicial e raciocínio por trás de um pentest, até as fases de coleta de inteligência e modelagem de ameaça em que os testadores estão trabalhando nos bastidores. Isso leva a uma melhor compreensão da organização testada, por meio de pesquisa de vulnerabilidade, exploração e pós-exploração. Aqui, a experiência técnica de segurança dos testadores é combinada de forma crítica com o entendimento do negócio do compromisso e, finalmente, com o relatório, que captura todo o processo, de uma maneira que faça sentido para o cliente e agregue o máximo valor a ele.

Aprenderemos sobre as sete fases do PTES em nossas seções subsequentes -

Fase de Interações Pré-engajamento

Esta é a primeira e muito importante fase do PTES. O principal objetivo desta fase é explicar as ferramentas e técnicas disponíveis, que auxiliam no sucesso da etapa de pré-engajamento de um teste de penetração. Qualquer erro durante a implementação desta fase pode ter um impacto significativo no resto da avaliação. Esta fase compreende o seguinte -

Pedido de avaliação

A primeira parte com que se inicia esta fase é a criação de um pedido de avaliação por parte da organização. UMARequest for Proposal (RFP) documento com os detalhes sobre o ambiente, tipo de avaliação exigida e as expectativas da organização é fornecido aos avaliadores.

Licitação

Agora, com base no RFP documento, várias empresas de avaliação ou Corporações de Responsabilidade Limitada (LLCs) individuais irão licitar e a parte, cuja licitação corresponda ao trabalho solicitado, o preço e alguns outros parâmetros específicos vencerá.

Carta de Assinatura de Compromisso (EL)

Agora, a organização e a parte vencedora da licitação vão assinar um contrato de Carta de Engajamento (EL). A carta terá ostatement of work (SOW) e o produto final.

Reunião de escopo

Uma vez que a EL é assinada, o ajuste fino do escopo pode começar. Essas reuniões ajudam uma organização e o partido a ajustar um escopo específico. O principal objetivo da reunião de definição do escopo é discutir o que será testado.

Tratamento de aumento de escopo

O aumento do escopo é algo em que o cliente pode tentar adicionar ou estender o nível de trabalho prometido para obter mais do que prometeu pagar. É por isso que as modificações no escopo original devem ser cuidadosamente consideradas devido ao tempo e aos recursos. Também deve ser preenchido em algum formulário documentado, como e-mail, documento assinado ou carta autorizada, etc.

Questionários

Durante as comunicações iniciais com o cliente, existem várias perguntas que o cliente terá que responder para a estimativa adequada do escopo do trabalho. Essas perguntas foram elaboradas para fornecer uma melhor compreensão do que o cliente está procurando ganhar com o teste de penetração; por que o cliente deseja realizar um teste de penetração em seu ambiente; e, se eles querem ou não certos tipos de testes realizados durante o teste de penetração.

Maneira de conduzir o teste

A última parte da fase de pré-engajamento é decidir o procedimento para conduzir o teste. Existem várias estratégias de teste, como caixa branca, caixa preta, caixa cinza, teste duplo-cego para escolher.

A seguir estão alguns exemplos de avaliações que podem ser solicitadas -

  • Teste de penetração na rede
  • Teste de penetração de aplicativo da web
  • Teste de penetração de rede sem fio
  • Teste de penetração física
  • Engenharia social
  • Phishing
  • Voice Over Internet Protocol (VOIP)
  • Rede interna
  • Rede externa

Fase de coleta de inteligência

A coleta de inteligência, a segunda fase do PTES, é onde realizamos o levantamento preliminar contra um alvo para reunir o máximo de informações possível para ser utilizado ao penetrar no alvo durante as fases de avaliação e exploração da vulnerabilidade. Ajuda as organizações a determinar a exposição externa pela equipe de avaliação. Podemos dividir a coleta de informações nos três níveis a seguir -

Coleta de informações de nível 1

Ferramentas automatizadas podem obter esse nível de informação quase inteiramente. O esforço de coleta de informações de nível 1 deve ser apropriado para atender ao requisito de conformidade.

Coleta de informações de nível 2

Este nível de informação pode ser obtido usando ferramentas automatizadas do nível 1 junto com algumas análises manuais. Este nível precisa de um bom entendimento do negócio, incluindo informações como localização física, relacionamento comercial, organograma, etc. O esforço de coleta de informações de nível 2 deve ser apropriado para atender ao requisito de conformidade junto com outras necessidades, como estratégia de segurança de longo prazo, adquirir fabricantes menores, etc.

Coleta de informações de nível 3

Este nível de coleta de informações é usado no teste de penetração mais avançado. Todas as informações do nível 1 e do nível 2, juntamente com muitas análises manuais, são necessárias para a coleta de informações do nível 3.

Fase de modelagem de ameaças

Esta é a terceira fase do PTES. A abordagem de modelagem de ameaças é necessária para a execução correta do teste de penetração. A modelagem de ameaça pode ser usada como parte de um teste de penetração ou pode enfrentar com base em uma série de fatores. Caso estejamos usando modelagem de ameaça como parte do teste de penetração, as informações coletadas na segunda fase seriam revertidas para a primeira fase.

As etapas a seguir constituem a fase de modelagem de ameaças -

  • Reúna as informações necessárias e relevantes.

  • Precisa identificar e categorizar ativos primários e secundários.

  • Necessidade de identificar e categorizar ameaças e comunidades de ameaças.

  • Necessidade de mapear as comunidades de ameaças em relação aos ativos primários e secundários.

Comunidades e agentes de ameaças

A tabela a seguir lista as comunidades e agentes de ameaças relevantes, juntamente com sua localização na organização -

Localização interno Externo
Threat agents/communities Funcionários Parceiros de Negócios
Pessoas de gestão Empreiteiros
Administradores (rede, sistema) Concorrentes
Engenheiros Fornecedores
Técnicos Estados da nação
Comunidade geral de usuários Hackers

Ao fazer a avaliação da modelagem de ameaças, precisamos lembrar que a localização das ameaças pode ser interna. É necessário apenas um único e-mail de phishing ou um funcionário irritado para manter a segurança da organização em jogo ao transmitir credenciais.

Fase de Análise de Vulnerabilidade

Esta é a quarta fase do PTES em que o avaliador identificará os alvos viáveis ​​para novos testes. Nas três primeiras fases do PTES, apenas os detalhes sobre a organização foram extraídos e o avaliador não tocou em nenhum recurso para teste. É a fase mais demorada do PTES.

As etapas a seguir constituem a Análise de Vulnerabilidade -

Teste de vulnerabilidade

Pode ser definido como o processo de descoberta de falhas, como configuração incorreta e designs de aplicativos inseguros nos sistemas e aplicativos do host e dos serviços. O testador deve definir o escopo adequado do teste e do resultado desejado antes de conduzir a análise de vulnerabilidade. O teste de vulnerabilidade pode ser dos seguintes tipos -

  • Teste ativo
  • Teste Passivo

Discutiremos os dois tipos em detalhes em nossas seções subsequentes.

Teste ativo

Envolve interação direta com o componente que está sendo testado quanto a vulnerabilidades de segurança. Os componentes podem estar em baixo nível, como a pilha TCP em um dispositivo de rede, ou em alto nível, como a interface baseada na web. O teste ativo pode ser feito das seguintes maneiras -

Teste ativo automatizado

Ele utiliza o software para interagir com um alvo, examinar respostas e determinar com base nessas respostas se uma vulnerabilidade no componente está presente ou não. A importância do teste ativo automatizado em comparação com o teste ativo manual pode ser percebida pelo fato de que, se houver milhares de portas TCP em um sistema e precisarmos conectar todas elas manualmente para o teste, isso levaria uma quantidade consideravelmente grande de tempo. No entanto, fazer isso com ferramentas automatizadas pode reduzir muito tempo e requisitos de mão de obra. Varredura de vulnerabilidade de rede, varredura de porta, captura de banner e varredura de aplicativo da web podem ser feitas com a ajuda de ferramentas de teste ativas automatizadas.

Teste ativo manual

O teste efetivo manual é mais eficaz quando comparado ao teste ativo automatizado. A margem de erro sempre existe com processo ou tecnologia automatizada. É por isso que é sempre recomendado executar conexões diretas manuais para cada protocolo ou serviço disponível em um sistema de destino para validar o resultado do teste automatizado.

Teste Passivo

O teste passivo não envolve interação direta com o componente. Pode ser implementado com a ajuda das duas técnicas a seguir -

Análise de Metadados

Essa técnica envolve examinar os dados que descrevem o arquivo, e não os dados do próprio arquivo. Por exemplo, o arquivo MS Word contém os metadados em termos de nome do autor, nome da empresa, data e hora em que o documento foi modificado e salvo pela última vez. Haveria um problema de segurança se um invasor pudesse obter acesso passivo aos metadados.

Monitoramento de Tráfego

Pode ser definido como a técnica de conexão a uma rede interna e captura de dados para análise offline. É usado principalmente para capturar o“leaking of data” em uma rede comutada.

Validação

Após o teste de vulnerabilidade, a validação das descobertas é muito necessária. Isso pode ser feito com a ajuda das seguintes técnicas -

Correlação entre ferramentas

Se um avaliador está fazendo testes de vulnerabilidade com várias ferramentas automatizadas, para validar as descobertas, é muito necessário ter uma correlação entre essas ferramentas. As descobertas podem se tornar complicadas se não houver esse tipo de correlação entre as ferramentas. Ele pode ser dividido em correlação específica de itens e correlação categórica de itens.

Validação específica de protocolo

A validação também pode ser feita com a ajuda de protocolos. VPN, Citrix, DNS, Web e servidor de e-mail podem ser usados ​​para validar as descobertas.

Pesquisa

Após a descoberta e validação da vulnerabilidade em um sistema, é essencial determinar a precisão da identificação do problema e pesquisar a potencial explorabilidade da vulnerabilidade no escopo do teste de penetração. A pesquisa pode ser feita publicamente ou em particular. Ao fazer uma pesquisa pública, o banco de dados de vulnerabilidade e os avisos do fornecedor podem ser usados ​​para verificar a precisão de um problema relatado. Por outro lado, ao fazer pesquisa privada, um ambiente de réplica pode ser definido e técnicas como configurações de difusão ou teste podem ser aplicadas para verificar a precisão de um problema relatado.

Fase de Exploração

Esta é a quinta fase do PTES. Esta fase se concentra em obter acesso ao sistema ou recurso, contornando as restrições de segurança. Nesta fase, todo o trabalho realizado nas fases anteriores leva ao acesso ao sistema. Existem alguns termos comuns usados ​​a seguir para obter acesso ao sistema -

  • Popped
  • Shelled
  • Cracked
  • Exploited

O login do sistema, em fase de exploração, pode ser feito com a ajuda de código, exploit remoto, criação de exploit, contornando antivírus ou pode ser tão simples quanto fazer login através de credenciais fracas. Após obter o acesso, ou seja, após identificar o ponto de entrada principal, o avaliador deve se concentrar na identificação dos ativos-alvo de alto valor. Se a fase de análise de vulnerabilidade foi concluída corretamente, uma lista de alvos de alto valor deve ter sido preenchida. Em última análise, o vetor de ataque deve levar em consideração a probabilidade de sucesso e o maior impacto na organização.

Fase Pós-Exploração

Esta é a sexta fase do PTES. Um avaliador realiza as seguintes atividades nesta fase -

Análise de infraestrutura

A análise de toda a infraestrutura utilizada durante o teste de penetração é feita nesta fase. Por exemplo, a análise de rede ou configuração de rede pode ser feita com a ajuda de interfaces, roteamento, servidores DNS, entradas DNS em cache, servidores proxy, etc.

Pilhagem

Pode ser definido como a obtenção de informações de hosts alvo. Essas informações são relevantes para os objetivos definidos na fase de pré-avaliação. Essas informações podem ser obtidas de programas instalados, servidores específicos como servidores de banco de dados, impressora, etc. no sistema.

Exfiltração de dados

Nesta atividade, o avaliador deve fazer o mapeamento e testar todos os caminhos de exfiltração possíveis para que a medição da força do controle, ou seja, detectar e bloquear informações confidenciais da organização, possa ser realizada.

Criando persistência

Esta atividade inclui a instalação de backdoor que requer autenticação, reinicialização de backdoors quando necessário e criação de contas alternativas com senhas complexas.

Limpar

Como o nome sugere, este processo cobre os requisitos para limpar o sistema após a conclusão do teste de penetração. Esta atividade inclui o retorno aos valores originais das configurações do sistema, parâmetros de configuração do aplicativo e a remoção de todos os backdoor instalados e quaisquer contas de usuário criadas.

Comunicando

Esta é a fase final e mais importante do PTES. Aqui, o cliente paga com base no relatório final após a conclusão do teste de penetração. O relatório é basicamente um espelho das constatações feitas pelo avaliador sobre o sistema. A seguir estão as partes essenciais de um bom relatório -

Sumário executivo

Este é um relatório que comunica ao leitor sobre os objetivos específicos do teste de penetração e as descobertas de alto nível do exercício de teste. O público-alvo pode ser um membro do conselho consultivo da suíte principal.

Enredo

O relatório deve conter uma história, que explicará o que foi feito durante o trabalho, as descobertas ou fraquezas de segurança reais e os controles positivos que a organização estabeleceu.

Prova de conceito / relatório técnico

A prova de conceito ou relatório técnico deve consistir nos detalhes técnicos do teste e todos os aspectos / componentes acordados como indicadores-chave de sucesso dentro do exercício de pré-engajamento. A seção de relatório técnico descreverá em detalhes o escopo, as informações, o caminho de ataque, o impacto e as sugestões de remediação do teste.