Pentest de Redes Internas x Redes Externas

Picture of Kaique Bonato

Kaique Bonato

Pentest de Redes internas e Redes Externas

O pentest é um teste de intrusão cujo objetivo é analisar a cibersegurança de sistemas, redes e plataformas. Hoje, a maioria das instituições está suscetível a roubo e vazamento de dados, sequestro de controle de sistemas, perdas financeiras e desvalorização no mercado, e assim por diante.

O pentest existe para garantir que a empresa esteja protegida contra esse tipo de situação – além de proporcionar maior segurança e agregar valor na visão de investidores e parceiros de negócio.

Justamente por sua complexidade e pela diversidade de tecnologias existentes, é preciso dividi-lo em alguns tipos, sendo que um deles é o de redes (redes internas e redes externas).

 

Pentest de redes – o que é?

O pentest de redes também é conhecido como pentest de infraestrutura – e, como o próprio nome indica, representa os testes de intrusão que analisam a segurança das redes que envolvem uma organização.

Existem dois tipos: o de redes internas, que envolve os sistemas de dentro da própria empresa, e o de redes externas, envolvendo o perímetro exterior de segurança.

 

Pentest de redes internas

Nesse tipo de teste, o profissional irá realizar a inspeção enquanto possui acessos básicos à rede, ou seja, contendo credenciais que são acessíveis a funcionários, clientes ou parceiros. O objetivo é analisar como pessoas com esse tipo de permissão poderiam prejudicar a empresa – de forma intencional ou não.

Podemos dizer que, nesse caso, o objetivo seria de “contenção de danos”, considerando que analisa as vulnerabilidades existentes uma vez que o hacker já acessou a rede.

São respondidas questões como:

  • Qual tipo de informação o intruso terá acesso?
  • Quão rápido ele conseguiria acessar dados confidenciais?
  • Quais funções, e como, ele conseguiria controlar?

Pentest de redes externas

Já o pentest externo representa exatamente o contrário. Isso significa que o objetivo é analisar como um intruso conseguiria acessar a rede da instituição pelo lado de fora – quais são as vulnerabilidades que ele poderia explorar para conseguir entrar, que incluem, servidores, switchs, work stations, roteadores e plataformas de nuvem, por exemplo.

Aqui, as questões são:

  • Quão eficaz é a segurança externa? 
  • Quais brechas existem?
  • O intruso conseguiria acesso por dispositivos comprometidos ou aplicações?
  • Quais são as informações iniciais as quais ele teria acesso, uma vez que conseguiu entrar?

O que preciso saber?

É importante ressaltar que, ao realizar um pentest de redes, ambos são essenciais, já que são complementares. Para que a empresa esteja, de fato, protegida contra ciberataques, é imprescindível que ela esteja preparada tanto no âmbito interno quanto externo. Caso contrário, a proteção não será completa e os riscos continuarão existindo.

Além disso, alguns detalhes devem ser combinados de forma antecipada entre o cliente e a empresa, como: quais serão as sub-redes que serão testadas e onde cada uma está localizada? Qual o endereço de IP de cada uma? Existe alguma sub-rede que deverá ser desconsiderada durante o teste?

Também é importante determinar a abordagem do teste: 

  • Black-box: nessa abordagem, o pentester age totalmente como um intruso, sem nenhum ou pouco conhecimento sobre a infraestrutura. 
  • Gray-box: já nesse caso, a empresa fornece algumas informações, mas não muitas, para o profissional.
  • White-box: por fim, essa opção diz respeito às empresas que fornecem ao pentester uma visão completa do sistema com o qual ele irá trabalhar.

Definir isso é importante porque cada um requer um nível diferente de envolvimento por parte do cliente. No black-box, por exemplo, pentester irá precisar de pouquíssima assistência, enquanto que no white-box precisará de muita colaboração.  Diferentes abordagens também exploram diferentes tipos de vulnerabilidades.

A escolha deve ser tomada em conjunto, variando conforme o perfil do cliente e do seu objetivo com o teste.

 

A importância do relatório de vulnerabilidades

Para otimizar o resultado dos testes, é importante que a empresa contratada ou o pentester entreguem relatórios completos e forneçam insights sobre o que foi descoberto. Dessa forma, a equipe de desenvolvimento/segurança do cliente conseguirá aproveitar as informações ao máximo.

Também é importante que a comunicação entre os dois lados seja contínua e clara, especialmente no caso de serem encontradas vulnerabilidades críticas. Isso permite que a equipe consiga elaborar um plano de ação de forma adiantada.

Esse tipo de entrega é mais comum em empresas de PTaaS (Pentest as a Service) do que nas tradicionais.

Aqui na Vantico, por exemplo, oferecemos uma plataforma em que o andamento é atualizado de forma contínua e em tempo real pelo profissional, além de detalhar profundamente tudo o que foi encontrado e trazer sugestões, justamente para que a empresa consiga maximizar sua segurança.

veja também

Outros conteúdos sobre Segurança Cibernética