Pentester o que é e qual a sua importância?

Posted: 23 novembro 2012 by Bruno Alexandre in Marcadores: , ,
0


Infelizmente as empresas ainda não perceberam a importância de testar sua segurança simulando um ataque real. Essa é a realidade do mercado de PENTEST no Brasil

Mas o que é o PENTEST?
 Pentest é o acrônimo para PENETRATION TEST ou “Teste de Penetração”, onde a empresa submete seu sistema nas mãos de um HACKER WHITE HAT* que irá utilizar todas as ferramentas e técnicas possíveis para invadir o sistema e apontar os pontos fracos. Possibilitando corrigir as falhas existentes antes que sejam exploradas por uma pessoa mal intencionada.

 Quem é louco de entregar seu sistema nas mãos de um HACKER para um PENTESTER?
  Infelizmente o preconceito contra os HACKERS ainda é muito forte. E todos são generalizados como criminosos. Devemos lembrar que o conceito original de HACKER é “aquele que conhece ou domina algo por completo”, ou seja você pode ser um HACKER DE JARDIM se dominar todos os conceitos da jardinagem.
 Por isso temos o conceito de HACKER WHITE HAT ou HACKER ETICO, que são profissionais de segurança da informação que trabalham pesquisando, aprendendo, desenvolvendo técnicas de ataque e defesa mas sem o objetivo de prejudicar. São pessoas que fazem o uso consciente e profissional das suas habilidades em burlar ou proteger sistemas informatizados.
 Infelizmente esses profissionais ainda são vistos com maus olhos pois quando tratamos de segurança da informação muitas vezes é preciso saber atacar para saber como se defender. E esse é o segredo das grandes empresas que nunca tiveram casos de ataques bem sucedido. Pois contratam esses profissionais para constantemente testarem sua segurança, antecipando-se contra um ataque de alguém mal intencionado.

 Quais os riscos do PENTEST?
 A partir do momento que estamos falando em atacar, corremos o risco de que o “programa atacado” pare de responder deixando os serviços prestados por esse programa inacessível. Pois os ataques vão explorar vulnerabilidades nas aplicações que podem fazer com que essas parem de responder ou precisem ser re-iniciadas para voltarem a funcionar.
Por isso é necessário que o profissional que for executar o serviço tenha a habilidade de juntamente com a equipe de TI definir o horário de menor impacto para a empresa. Ou seja se algo parar de responder não vai prejudicar o andamento dos trabalhos da sua empresa.
 Quais são os benefícios?
 O PENTEST funciona como uma auditoria de segurança da informação, portanto você tem a oportunidade de saber quais são as reais falhas de segurança em seu ambiente que possibilitaria alguém invadir o sistema e corrigi-las antes que sejam exploradas.
 Empresas que mantém o hábito de periodicamente avaliarem sua segurança tornam-se mais competitivas no mercado, pois o PENTEST aponta as fraquezas do sistema que uma vez corrigidas torna seu sistema mais confiável e seguro.
 Após o PENTEST as chances de sua empresa ser certificada CISP** aumentam, pois as vulnerabilidades existentes no sistema já estarão corrigidas.
 Você já tentou calcular o prejuízo que sua empresa teria se sua rede fosse invadida e os dados excluídos, roubados ou divulgados na internet? Muitas empresas nunca cogitaram essa possibilidade por isso não sentem a necessidade de provar se sua segurança é realmente eficaz.
 Portanto os benefícios do PENTEST para sua empresa seria uma noite tranqüila de sono para você e todos os seus profissionais de TI.

 Em time que esta ganhando não se mexe!!!
 Esse é o grande erro de muitas empresas que pensam que só porque as coisas estão funcionando bem não precisam de manutenção. Essas infelizmente trabalham tampando os buracos deixados pelos ataques e não se antecipando a eles.
Muitas empresas pensam que segurança da informação é somente ter um programa antivírus atualizado. E a idéia de atacar a si mesmo é a coisa mais absurda do mundo.
 Enquanto essas empresas pensarem dessa forma, os HACKERS BLACK HATS vão ter muitos motivos para comemorar. Pois sistemas vulneráveis nunca vão faltar.
 A diferença para sua empresa é:

Você esta protegido? Ou “em time que esta ganhando não se mexe”?

Mais informações sobre o tema:

http://pt.wikipedia.org/wiki/White_hat

 Post escrito por:  Rêner Alberto (Gr1nch)
Analista de Segurança e Pentester da CW4 Soluções.

0 comentários: