Pentest de Redes Internas x Redes Externas

Kaique Bonato

O pentest é um teste de intrusão cujo objetivo é analisar a cibersegurança de sistemas, redes e plataformas. Hoje, a maioria das instituições está suscetível a roubo e vazamento de dados, sequestro de controle de sistemas, perdas financeiras e desvalorização no mercado, e assim por diante.

O pentest existe para garantir que a empresa esteja protegida contra esse tipo de situação – além de proporcionar maior segurança e agregar valor na visão de investidores e parceiros de negócio.

Justamente por sua complexidade e pela diversidade de tecnologias existentes, é preciso dividi-lo em alguns tipos, sendo que um deles é o de redes (redes internas e redes externas).

Pentest de redes – o que é?

O pentest de redes também é conhecido como pentest de infraestrutura – e, como o próprio nome indica, representa os testes de intrusão que analisam a segurança das redes que envolvem uma organização.

Existem dois tipos: o de redes internas, que envolve os sistemas de dentro da própria empresa, e o de redes externas, envolvendo o perímetro exterior de segurança.

Pentest de redes internas

Nesse tipo de teste, o profissional irá realizar a inspeção enquanto possui acessos básicos à rede, ou seja, contendo credenciais que são acessíveis a funcionários, clientes ou parceiros. O objetivo é analisar como pessoas com esse tipo de permissão poderiam prejudicar a empresa – de forma intencional ou não.

Podemos dizer que, nesse caso, o objetivo seria de “contenção de danos”, considerando que analisa as vulnerabilidades existentes uma vez que o hacker já acessou a rede.

São respondidas questões como:

Qual tipo de informação o intruso terá acesso?
Quão rápido ele conseguiria acessar dados confidenciais?
Quais funções, e como, ele conseguiria controlar?

Pentest de redes externas

Já o pentest externo representa exatamente o contrário. Isso significa que o objetivo é analisar como um intruso conseguiria acessar a rede da instituição pelo lado de fora – quais são as vulnerabilidades que ele poderia explorar para conseguir entrar, que incluem, servidores, switchs, work stations, roteadores e plataformas de nuvem, por exemplo.

Aqui, as questões são:

Quão eficaz é a segurança externa?
Quais brechas existem?
O intruso conseguiria acesso por dispositivos comprometidos ou aplicações?
Quais são as informações iniciais as quais ele teria acesso, uma vez que conseguiu entrar?

O que preciso saber?

É importante ressaltar que, ao realizar um pentest de redes, ambos são essenciais, já que são complementares. Para que a empresa esteja, de fato, protegida contra ciberataques, é imprescindível que ela esteja preparada tanto no âmbito interno quanto externo. Caso contrário, a proteção não será completa e os riscos continuarão existindo.

Além disso, alguns detalhes devem ser combinados de forma antecipada entre o cliente e a empresa, como: quais serão as sub-redes que serão testadas e onde cada uma está localizada? Qual o endereço de IP de cada uma? Existe alguma sub-rede que deverá ser desconsiderada durante o teste?

Também é importante determinar a abordagem do teste:

Black-box: nessa abordagem, o pentester age totalmente como um intruso, sem nenhum ou pouco conhecimento sobre a infraestrutura.
Gray-box: já nesse caso, a empresa fornece algumas informações, mas não muitas, para o profissional.
White-box: por fim, essa opção diz respeito às empresas que fornecem ao pentester uma visão completa do sistema com o qual ele irá trabalhar.

Definir isso é importante porque cada um requer um nível diferente de envolvimento por parte do cliente. No black-box, por exemplo, pentester irá precisar de pouquíssima assistência, enquanto que no white-box precisará de muita colaboração. Diferentes abordagens também exploram diferentes tipos de vulnerabilidades.

A escolha deve ser tomada em conjunto, variando conforme o perfil do cliente e do seu objetivo com o teste.

A importância do relatório de vulnerabilidades

Para otimizar o resultado dos testes, é importante que a empresa contratada ou o pentester entreguem relatórios completos e forneçam insights sobre o que foi descoberto. Dessa forma, a equipe de desenvolvimento/segurança do cliente conseguirá aproveitar as informações ao máximo.

Também é importante que a comunicação entre os dois lados seja contínua e clara, especialmente no caso de serem encontradas vulnerabilidades críticas. Isso permite que a equipe consiga elaborar um plano de ação de forma adiantada.

Esse tipo de entrega é mais comum em empresas de PTaaS (Pentest as a Service) do que nas tradicionais.

Aqui na Vantico, por exemplo, oferecemos uma plataforma em que o andamento é atualizado de forma contínua e em tempo real pelo profissional, além de detalhar profundamente tudo o que foi encontrado e trazer sugestões, justamente para que a empresa consiga maximizar sua segurança.

7 estágios do ciclo de vida do gerenciamento de vulnerabilidades

7 fatores para analisar ao escolher um fornecedor de Pentest

A importância do Pentest para APIs e como funciona o teste

5 métricas de cibersegurança que você precisa analisar

3 desafios da cibersegurança e como o PTaaS pode ajudar

A importância do pentest para as healthtechs

A evolução do pentest e 3 motivos para investir em segurança cibernética

Pentest Mobile para Android e iOS

Pentest para Fornecedores SaaS

Pentest para APIs e aplicações Web

Pentest para Auditoria de Smart Contracts

Pentest Ágil para Pequenas Aplicações

Simulação de Phishing

Revisão Segura de Código

Scan de Vulnerabilidades

Gerenciamento de Superfície de Ataque

Programa de Divulgação de Vulnerabilidades

Emulação de Adversários

Modelagem de Ameaças

Threat Intelligence

newsletter

Inside Pentesting 2024 - Tendências e Insights

Pentest de Redes Internas x Redes Externas

Kaique Bonato

Pentest de redes – o que é?

Pentest de redes internas

Pentest de redes externas

O que preciso saber?

A importância do relatório de vulnerabilidades

veja também

Outros conteúdos sobre Segurança Cibernética

Vamos começar algo incrível?

Empresa

Links úteis

Navegue

Conteúdos

WhatsApp

E-mail