Mostrando postagens com marcador OWASP. Mostrar todas as postagens
Mostrando postagens com marcador OWASP. Mostrar todas as postagens

Descentralizando o PENTEST


Você já deve ter ouvido alguma notícia sobre vazamento de dados, certo? Facebook, Yahoo, PSN, são só exemplos de algumas grandes empresas que tiveram dados de usuários vazados. Independentemente da área de atuação, qualquer tipo de aplicação web ou ambientes físicos com redes com acesso externo, existe sempre o risco de ter vulnerabilidades expostas em decorrência de atitudes de pessoas mal-intencionadas que tentam explorar falhas para ter acesso a informações privilegiadas. É por isso que existe o Pentest.



O que é Pentest?

É uma ferramenta que faz testes de invasão em aplicações web ou em uma rede, identificando vulnerabilidades e falhas de segurança. Algumas ferramentas, quando encontram falhas, já indicam as melhores práticas para solucionar o problema. Normalmente essas listas são fornecidas por projetos abertos de segurança, como é o caso da OWASP.

Alguns exemplos de testes que essas ferramentas fazem...

Falhas de injeção (injection); cross-site scripting (xss); erros de configuração; vulnerabilidade em cookies; componentes vulneráveis; certificados digitais; headers de segurança; vazamento de dados sensíveis; referência insegura e direta a objetos; encaminhamentos inválidos; falhas no fluxo lógico da aplicação; erros criptográficos; cross-site request forgery.

Por que fazer Pentest?

Esta é uma medida eficaz de segurança, pois entrega todas as falhas encontradas em suas aplicações. Imagine um E-Commerce, deixaria os dados do seu cartão de crédito numa loja online que já teve dados vazados? Difícil, certo?!  Além disso, é possível entender o tamanho do dano ou prejuízo que determinado problema causaria caso ocorresse em produção. O maior benefício, obviamente, é poder contornar a vulnerabilidade o quanto antes e corrigir cada um dos erros.

Por que não descentralizar o Pentest?

A maioria das empresas aplica Pentests trimestrais ou mensais. Com a LGPD entrando em vigor em 2020, percebi um aumento de clientes solicitando relatórios ou comprovações de execução desses testes. Agora eu pergunto: em vez de ter uma pessoa executando estes testes, por que não deixá-los executando em tempo de desenvolvimento?
Algumas ferramentas liberam esse tipo de execução em tempo de desenvolvimento, logo após o commit do programador.
Obviamente é bom ter alguém trabalhando com segurança da informação olhando para o desenvolvimento, mas como a cultura de segurança ainda está engatinhando na maioria das empresas do Brasil tendo somente 1 analista na maioria delas, nada melhor que descentralizar o pentest para que este analista tenha mais tempo para avaliação de riscos e compliance de segurança corporativa. 😉

Tem uma ferramenta, de um projeto gratuito, muito legal chamada OWASP ZAP (OWASP Zed Attack Proxy Project). Ainda estamos na fase de testes, mas já vimos alguns resultados bacanas.

Já utilizou esta ferramenta? Tem alguma outra ferramenta para indicar? Compartilha nos comentários! 😀