Page 17 - newDATAmagazine | 13>05>2022
P. 17
A decisão quanto à abordagem a utilizar vulnerabilidades mantém alguns guias de
durante os testes deverá ter em conta o perfil extrema relevância no âmbito do pentesting.
de risco e o modelo de ameaças (threat model) Destacamos o Web Security Testing Guide
que a organização definir para cada caso (WSTG) e o Mobile Security Testing Guide
concreto. Não existe um “certo” ou um (MSTG). Estes dois documentos detalham as
“errado”, mas sim a abordagem mais diversas atividades de teste, servindo, como o
adequada ao contexto em questão. nome indica, como guias para todo o processo
de testes em aplicações web e mobile,
Metodologias respetivamente.
Ao ser uma atividade que, embora se A utilização de metodologias bem definidas
pretenda o mais próximo possível de um permite não só, como já referimos, controlar o
ataque real, também se quer que seja risco associado ao próprio teste, como
controlada de forma a reduzir o risco inerente à também assegurar que os mesmos não são
própria execução dos testes, é, sem dúvida, feitos de forma ad hoc, mas sim de forma
essencial que sejam aplicadas metodologias estruturada e com um maior grau de confiança
adequadas que promovam a utilização de nos resultados obtidos.
melhores práticas durante os testes e de forma
a atingir os seus objetivos. Desafios
Deste modo, a própria indústria, através de Se, no passado, as infraestruturas e
várias entidades de referência, tem produzido aplicações eram algo relativamente estático e
documentação relativa às metodologias a com processos de alterações e/ou
utilizar, as quais abrangem várias fases da desenvolvimento longos, a realidade é que
execução de testes de intrusão, partindo do todo o paradigma atual é muito mais dinâmico
planeamento dos mesmos até aos seus e e f é m e r o , u s a n d o m o d e l o s d e
entregáveis, passando pela própria desenvolvimento baseados em metodologias
componente técnica das atividades a efetuar ágeis, com releases frequentes, com diversas
no decorrer dos testes. alterações a um ritmo vertiginoso. Isto traz
Algumas metodologias de referência e mais desafios de uma forma geral à gestão da
detalhadas são o NIST SP800-115, o OSSTMM segurança neste contexto de grande
e o PTES. Estes documentos detalham de dinamismo e, obviamente, também às
forma bastante exaustiva todas as atividades atividades de pentesting.
inerentes à execução de um pentest, nas A atividade de pentesting, quando integrada
diversas vertentes que possa englobar, desde num processo de desenvolvimento baseado
rede e infraestrutura a aplicações e, no caso do em metodologias ágeis, é muitas vezes
OSSTMM, incluindo até testes de segurança encarada como um bloqueio e não como uma
física e engenharia social. fase importante do processo. Sendo a
Outras metodologias de referência e, atividade de pentesting um processo manual
provavelmente, as mais reconhecidas e (mesmo que suportado por ferramentas
relevantes atualmente, têm sido criadas e automáticas), poderá tornar-se um processo
mantidas pela OWASP. Esta organização já moroso, quando não efetuado de forma
bem conhecida pelo seu Top 10 de focada, eficiente e contextualizada.
newDATAmagazine.com 17
