Metodologia PTES

infosecurity1

Para que serve uma metodologia para Pentest?

Como a maioria dos processos, o pentest pode ser dividido em passos e fases que quando são unidos podem se tornar em uma metodologia compreensiva capaz de completar o pentest.  O uso de uma metodologia permite que se dividam processos complexos em uma série de pequenas tarefas gerenciáveis. Dependendo da literatura uma metodologia pode variar entre quatro à sete passos ou fases, mas o mais importante é que o processo  forneça uma visão geral para o processo de teste.

pentest

A razão pelo uso de uma metodologia em um pentest vem do fato que vários atacantes seguirem uma linha em comum de abordagem com o objetivo de comprometer um sistema.

A metodologia PTES

Existem várias metodologias para o pentest como, OSSTMM, OWASP, ISSAF, PTF entre outros. Mas a metodologia que irei usar nos meus futuros artigos é o PTES (Penetration Test Execution Standard).

PTES-TG_Logo

Kennedy, O’Gorman, Kearns e Aharoni (2011), definem bem o porquê da minha escolha. Segundo eles, O PTES está redefinindo o pentest de maneira que afeta os pentesters novos e experientes, e está sendo adotado por vários membros líderes da comunidade de segurança. O seu objetivo é definir e levantar a conscientização sobre o que um pentest real pode significar e estabelecer uma base de princípios fundamentais requeridos para a condução de um pentest.

As fases do PTES são moldadas para definir um pentest e garantir para o cliente um nível de padrão de esforço que será gasto no pentest por qualquer uma pessoa que conduzir esse tipo de avaliação. O PTES é dividido em sete categorias com diferentes níveis de esforços para cada tipo ou situação em uma organização.

a)      Interações Inicias

É feita uma discussão com o cliente sobre a definição do escopo do pentest. É nessa fase que serve para educar o cliente sobre as expectativas de um escopo completo.

b)      Coleta de Inteligência

Nesta fase, é realizada uma coleta detalhada de inteligência (informação), requerida para criar uma representação compreensiva da organização e suas operações.  Alguns modos de coletar essas informações é através do Google hacking, footprinting, redes sociais, etc…

c)       Modelagem de Ameaças

Nesta fase as  informações coletadas na fase anterior são utilizadas para identificar qualquer vulnerabilidade existente do alvo. É onde se determina método mais eficiente de ataque.

d)      Análise de Vulnerabilidades

Durante a análise de vulnerabilidade as informações coletadas são usadas para entender quais tipos de ataques são mais viáveis. Podem ser realizados escaneamentos de portas e vulnerabilidades, dados coletados de banner grabbing, etc.

e)      Exploração

Essa sem dúvida é a parte mais divertida do pentest. É usado um exploit, que é um programa criado para testar uma falha de segurança (Assunção, Marcos Flávio. 2010), ou força bruta para explorar uma ou mais falhas encontradas nas fases anteriores. Porém não se pode utilizar um exploit indevidamente, deve-se utilizar o exploit adequado para a falha encontrada.

f)       Pós-exploração

A pós-exploração determina o valor da maquina ou sistema comprometida e mantém o controle para o uso posterior. Esse valor é determinado pela quantidade de dados sensíveis armazenados nessas maquinas. Essa fase ajuda ao pentester a identificar e documentar esses dados, identificar opções de configuração, canais de comunicação, etc.

g)      Relatório

É a fase mais importante do pentest. Será usado relatórios para comunicar o que foi feito, como foi feito e o mais importante, como a organização deve corrigir as vulnerabilidades descobertas durante o pentest. As informações obtidas são essenciais para o programa de segurança da informação da organização. A organização deve utilizar essas informações para aumentar a conscientização da segurança da informação e se proteger do que foi descoberto melhorando a segurança como um todo e não apenas aplicando pacotes de correções.

Fonte: ENGEBRETSON, Patrick. The basics of hacking and penetration testing: ethical hacking and penetration testing made easy. Waltham, Massachusetts: Syngress, 2011

EC-Council | Press. Procedures and Methodologies, Volume 2 of 5 mapping to EC-Council Certified Security Analyst Certification. Clifton Park, New York: EC-Council | Press, 2011

KENNEDY, O’GORMAN, KEARNS e AHARONI. METASPLOIT The Penetration Tester’s Guide. São Francisco, California: No Starch Press, 2011

ASSUNÇÃO, Marcos Flávio. Segredos do Hacker Ético – 3ª Ed. Florianópolis, Santa Catarina: Visual Books, 2010

Uma resposta para “Metodologia PTES

Deixe uma resposta para Alex Feleol Cancelar resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s