Testes de Penetração

A maior parte das empresas só coloca como prioridade a segurança informática após sofrer algum tipo de ataque. Com o crescimento do tamanho e complexidade dos sistemas de informação torna-se imperativo que as empresas ou organizações protejam adequadamente os seus sistemas. Para tal é necessário também existem uma perceção clara dos riscos a que estão expostos.

A cada dia que passa surgem novas vulnerabilidades que têm origem, normalmente, em erros de programação, má configuração ou falhas humanas.

O aproveitamento das vulnerabilidades por parte de um atacante pode permitir:

  • Acesso a dados confidenciais, com a possibilidade da sua manipulação;
  • Ataques de negação de serviço;
  • Comprometimento de servidores;
  • Roubo de identidades;
  • Redireccionamento de utilizadores para sites maliciosos;
  • Desfiguração de um site;
  • Acesso não autorizado a funcionalidades;
  • Controlo total de aplicações;
  • Comprometimento de dados sensíveis com eventual responsabilidade legal;

A análise de Vulnerabilidades permite identificar falhas que possam comprometer o desempenho, funcionalidade ou segurança de um sistema, antes que algum utilizador malicioso as possa aproveitar. Esta análise deve ser feita de forma periódica e permite a criação de mecanismos para bloquear ataques e permanente melhoria do controlo de segurança.

Os PenTests podem dividir-se em três classes que se complementam: (i) Testes a WebSites; (ii) Testes a instituições realizados do exterior das mesmas; (iii) Testes a instituições realizados no interior das mesmas. Em qualquer dos casos, a realização dos testes pode efetuar-se obtendo da instituição toda a informação técnica necessária (classificando-se estes casos por WhiteBox), ou então pode efetuar-se sem que a instituição disponibilize qualquer tipo de informação (classificando-se estes casos por BlackBox). Em todos os casos, o nível de profundidade dos testes pode variar desde a utilização de ferramentas automáticas até à análise de Intelligence de pormenor da informação recolhida e respetiva classificação de risco de impacto na instituição alvo.