Pentest/Pentest as a Service – Vulnerability Assessement e Injeção de Incidentes
O PENTEST consiste na execução de testes de intrusão para deteção e correção do estado de segurança dos serviços publicados na internet/intranet (independentemente do serviço, porta ou protocolo), sendo executados um conjunto de controlos e técnicas ao nível de ethical hacking, no sentido de garantir que ataques realizados por hackers com intenções maliciosas sejam minimizados (ou seja, a Hardsecure coloca-se do lado do “inimigo”). Apoiamos a entidade nas respetivas correções a realizar sempre que sejam identificadas vulnerabilidades (CVE - Common Vulnerabilities and Exposures) e categorizadas de acordo com o Common Vulnerability Scoring System (CVSS).
Para tal, a Hardsecure segue os standards PTES (Penetration Testing Execution Standard), OWASP, Information Systems Security Assessment Framework (ISSAF), Open Source Security Testing Methodology Manual (“OSSTMM”), Penetration testing framework, OWASP Mobile Security Testing, … de forma a garantir uma maior capacidade na obtenção de resultados e fornecimento de maior detalhe.
O caso do PTES (o mais utilizado) segue as seguintes seções:
- Pre-engagement Interactions;
- Intelligence Gathering;
- Threat Modeling;
- Vulnerability Analysis;
- Exploitation;
- Post Exploitation;
- Reporting.
1ª Etapa - Recolha de Informação
RECOLHA PASSIVA DE INFORMAÇÃO PÚBLICA:
- Redes Sociais (Facebook, LinkedIn, Twitter, entre outros).
- Web Archive (web.archive.org).
- Fóruns, Blogs, entre outros.
RECOLHA ATIVA DE INFORMAÇÃO:
- Serviços e configurações.
- Dados de acesso.
- Utilização de ferramentas open source e proprietárias.
- Recolha dissimulada: Stealthy Network Recon, cadeia de Proxies Anónimos, BotNets, ferramentas on-line.
- Procura por serviços expostos a vulnerabilidades.
- Versão, configurações e atualizações dos Sistemas Operativos, ativos de rede e Apps/frameworks de suporte (Joomla, IIS, Apache, Wordpress, …).
- Fingerprint de serviços.
- Recolha direta com recurso a várias ferramentas.
- Indiretamente através informação pública: Recolha passiva de informação.
- Replicação em laboratório do sistema alvo.
2ª Etapa - Injeção de incidentes - Exploitation
EXECUÇÃO DOS ATAQUES:
- Intrusão num sistema através da utilização de exploits ou outro tipo de código desenvolvido conforme vulnerabilidades detetadas no Sistema de Informação da Organização
- Negação de Serviços (DoS, DDoS): através de utilização de ferramentas disponíveis em ambiente Net (acesso a qualquer utilizador) e através de ferramentas proprietárias.
3ª Etapa - Relatório e Recomendações
- Dimensão da rede, diferentes tecnologias e arquiteturas.
- Utilizadores são muitas vezes o elo mais fraco da segurança.
- Limitações económicas, recursos humanos, formação, manutenção, entre outros.
- Falta de políticas de segurança e hw/sw adequados à organização.
- Falta de apoio do topo de hierarquia da organização.
- Resistência à mudança.
- Inexistência de monitorização 24/7.
- Urgência em colocar sistemas em produção.
- Aplicações com configurações “hard coded”.
- Downtime de portais quando são feitas algumas atualizações.
- Privilégios dos utilizadores e restrições no acesso à Internet.
- Cracks e software de origem duvidosa, dispositivos móveis e com ROM’s não originais / Jailbreaks.
- Deteção do ataque e a real origem deste.
- Fronteiras do ciberespaço e enquadramento/restrições legais.