Page 16 - newDATAmagazine

Page 16 - newDATAmagazine | 13>05>2022

P. 16

newDATA
new D A T A
M
AGA
ZINE
MAGAZINE
O que é
Penetration Testing?

Penetration Testing, também conhecido É importante frisar que um pentest não é

como Ethical Hacking ou, abreviado, Pentesting apenas uma análise de vulnerabilidades
consiste na realização de testes de segurança, (vulnerability assessment) nem unicamente
por parte de especialistas de cibersegurança, a efetuada de forma automática. É um processo
infraestruturas, sistemas e aplicações de uma em que, além de se identiﬁcar a potencial
determinada organização. Durante a sua existência de uma vulnerabilidade, se pretende

e x e c u ç ã o , s ã o u t i l i z a d a s t é c n i c a s conﬁrmar e explorar as potenciais
semelhantes às que seriam utilizadas por um vulnerabilidades de forma a comprovar, ou
atacante, porém de forma controlada, não, quer a sua existência, quer o seu impacto.
seguindo metodologias adequadas e sempre É um processo que, pelo facto de conter uma
com autorização expressa, em particular no componente manual, poderá permitir a
que toca ao âmbito e duração destes testes. i d e n t i ﬁ c a ç ã o d e u m c o n j u n t o d e

A atividade de pentesting é uma ferramenta vulnerabilidades (ex.: vulnerabilidades de
essencial na redução de risco “ciber” de uma lógica de negócio) que são de grande
organização, dado que tem como objetivo diﬁculdade de identiﬁcação por um processo
principal a identiﬁcação de vulnerabilidades automático e sem o devido contexto da

que poderiam ser exploradas por atores funcionalidade em causa.
maliciosos, permitindo assim uma atempada
mitigação das mesmas. Que tipos existem?
Vulnerabilidades são fragilidades que, Podemos classiﬁcar as atividades
através de uma incorreta deﬁnição, pentesting em três abordagens distintas :

codiﬁcação, ou conﬁguração do sistema, aí se
manifestam, podendo ser utilizadas por um White-Box – no início do exercício, é
potencial atacante para, no limite, permitir fornecida, por parte da organização,
acesso não autorizado aos sistemas internos informação total sobre o sistema em causa,
da organização. que se poderá materializar em desenhos

O exercício permite fornecer tanto técnicos da aplicação, credenciais de acesso
informação técnica que ajudará no processo ao sistema e até mesmo código fonte do
d e r e s o l u ç ã o d a s v u l n e r a b i l i d a d e s sistema.
identiﬁcadas, como informação sobre que Grey-Box – existe apenas uma partilha
áreas de atuação podem ser melhoradas, parcial de informação sobre o sistema,

desde a revisão de processos internos à tipicamente com credenciais de acesso ao
formação em desenvolvimento seguro sistema e desenhos técnicos da aplicação.
orientado a programadores, com foco especial Black-Box – não existe partilha de qualquer
no tipo de vulnerabilidades identiﬁcadas, tipo de informação técnica sobre o sistema
ajudando a evitar que vulnerabilidades nem são fornecidas credenciais de acesso ao

semelhantes sejam introduzidas no futuro. mesmo.

16 newDATAmagazine.com

11 12 13 14 15 16 17 18 19 20 21