Os testes de vulnerabilidades, ou teste de penetração, comumente chamados de “Pentests” são elementos fundamentais de um framework de segurança cibernética e permitem que as organizações encontrem e corrijam falhas de segurança em suas aplicações e infraestruturas, antes que invasores as explorem. Estes testes de vulnerabilidades acontecem conforme três métodos diferentes. Muitas vezes é fácil se confundir sobre eles, e sobre onde devem ser aplicados.

QUAIS SÃO OS TESTES DE VULNERABILIDADES?

Black Box

“Black Box”: este tipo de teste simula um ataque digital quando o atacante não conhece nada sobre a infraestrutura de rede, os aplicativos ou os códigos-fonte da organização sob análise. A responsabilidade do mapeamento inicial recai sobre o analista, o qual deve reunir todas as informações confidenciais necessárias para penetrar o mais longe possível na rede e nas aplicações do cliente e descobrir tantas vulnerabilidades quanto possível. Os analistas elaboram um mapa do sistema de alvos com base em suas observações, análises e pesquisas, da mesma forma que um atacante sem privilégios faria. Neste caso os analistas usam processos automatizados e manuais, por um longo período de tempo, para pesquisar vulnerabilidades em uma abordagem de tentativa e erro.

White Box

“White Box”: neste teste, de forma oposta ao teste Black Box, os analistas possuem total conhecimento do sistema sob análise e, desta forma, podem usar esse conhecimento associado a técnicas e ferramentas especializadas para conduzir um exame completo de forma eficiente e em menor tempo. O analista recebe informações completas e acesso total à rede, sistema e aplicativos, incluindo código-fonte, esquema de endereço IP, detalhes do sistema operacional, arquivos de configuração, mapas de rede, credenciais, dentre outros, e faz uma avaliação abrangente das vulnerabilidades.

Grey Box

“Grey Box”: este é um híbrido dos testes Black e White box, e simula um cenário em que o invasor tem informações ou acesso parciais a sistemas, redes e aplicativos, tais como credenciais de login, código do sistema, diagramas de arquitetura, dentre outros negociados previamente entre os analistas e a organização sob teste. Este tipo de teste de vulnerabilidade procura entender o potencial de danos que um atacante que tem acesso parcial a informações ou a usuários privilegiados ou não, pode causar no negócio. Os analistas usam diretamente o que sabem para encontrar pontos fracos, explorá-los e ver até onde seus ataques podem levá-los.

DE ONDE VÊM AS CORES?

As cores associadas aos testes fazem alusão a alguém que esteja olhando o problema dentro de uma caixa, antes de começar. Assim, o teste Black Box é aquele em que o analista está dentro de uma caixa totalmente escura, onde não consegue enxergar nada, ou seja, encontra-se no escuro para iniciar os testes. Já quando está dentro da caixa branca, ou White Box, ele consegue enxergar tudo para iniciar os testes. No entanto, na situação intermediária da caixa cinza, ou Grey Box, ele consegue enxergar parcialmente as informações que necessita, ou seja, tem uma visão translúcida ou parcial das informações iniciais necessárias.

QUAL TESTE DE VULNERABILIDADE ADOTAR, OU NÃO?

Seria sensato advogar que os testes White Box são a melhor opção. Entretanto, isso tem alguns inconvenientes importantes. Dado ao volume de informações à sua disposição, os analistas podem demorar mais para decidir em quais áreas focar. Ademais, este tipo de teste também exige ferramentas em maior quantidade e mais sofisticadas, para maior eficácia e cobertura, em virtude do volume de informações a serem analisadas. A confiabilidade e a confiança desempenham um papel crucial no teste de penetração White Box. É comum haver empecilhos causados por políticas organizacionais e de compliance que impedem que as empresas compartilhem todas as informações. Isso reduz a eficácia dos testes, pois o analista acredita que áreas não apontadas não precisam de testes.

Até algum tempo atrás, considerava-se absolutamente indispensável um teste de penetração Black Box, pois acreditava-se que ele forneceria a avaliação de risco mais importante, imitando a visão de hackers ou invasores que não sabem nada sobre a organização. É uma abordagem que funciona bem em filmes de Hollywood, mas, na prática, isso mudou.

O volume de informações acessíveis sobre organizações cresceu, e ferramentas de varredura automatizadas e gratuitas passaram a coletar e armazenar dados sobre redes e aplicativos. Além disso, nos últimos 5 anos, o aumento dos pontos de conexão na Internet expandiu a superfície de ataque das organizações.

A eficácia do teste Black Box depende ainda da capacidade do analista de violar o perímetro, encontrando brechas de segurança iniciais. Desta forma, a profundidade da cobertura abrange apenas a extensão das informações obtidas pelo analista e sua capacidade, além da disponibilidade de tempo para se aprofundar na análise. Sendo assim, se o analista não localizar vulnerabilidades nos ativos expostos externamente, o teste será ineficaz e dará uma falsa sensação de segurança à organização. Além disso, você perderá o investimento no pentest.

QUAL O MAIS RECOMENDÁVEL PARA A MAIORIA?

As melhores técnicas de segurança cibernética recomendam partir da suposição de que os atacantes já possuem informações detalhadas sobre a organização e seus ativos. Isso permite que eles lancem um ataque mais focado, aumentando a eficácia de suas ações.

A recomendação é adotar um Pentest Grey Box, que equilibra a profundidade dos testes White Box e a eficiência dos Black Box, oferecendo uma avaliação mais realista de segurança. Ele é mais eficiente em termos de tempo e econômico do que a abordagem de tentativa e erro, economizando tempo e custos de reconhecimento. Além disso, é mais eficaz quando a empresa define áreas específicas da rede que precisam de testes de vulnerabilidades.

Um aspecto importante do teste Grey Box é simular uma tentativa de violação na visão de um atacante insider. Esse atacante pode ter acesso a uma senha legítima ou uma VPN, tornando a simulação mais realista e eficaz. Estudos mostram que o custo médio de um incidente de segurança cibernética causado por atores internos subiu de US$ 8,76M para US$ 11,45M em 2020. A análise identificou três perfis de insiders relacionados ao vazamento de informações privilegiadas: empregado ou contratado negligente ou inadvertido, criminoso interno, e roubo de credenciais. O criminoso interno inclui o uso malicioso por funcionários ou contratados, enquanto o roubo de credenciais refere-se ao furto de acesso por funcionários ou usuários.

Um teste Grey Box procura simular estas situações, ao iniciar os testes com algumas informações preliminares da organização.

HÁ ESPAÇO PARA TODOS?

É importante dizer que todos os tipos de testes aqui mencionados ainda desempenham papéis importantes no framework de segurança cibernética. Para organizações maduras com recursos disponíveis, o ideal é adotar as três disciplinas de testes de forma escalonada e em épocas diferentes com equipes distintas. Mas, de forma geral, isso é um excesso de zelo e, em alguns casos, um desperdício de recursos. Entretanto, a adoção dos 3 métodos pode ser necessária devido a exigências de compliance e regulação de setores específicos. Para organizações em fase inicial ou intermediária, ou que precisam otimizar recursos, a adoção dos testes Grey Box é a opção mais adequada.

[1] Cost of Insider Threats: Global Report 2020. IBM Security & Ponemon Institute LLC.
https://www.ibm.com/security/digital-assets/services/cost-of-insider-threats/#/

Por Prof. Dr. Adriano Cansian