As equipes de teste de penetração protegem sistemas de uma organização simulando ataques controlados para identificar e corrigir vulnerabilidades antes que sejam exploradas. Cadernos de testes auxiliam essas equipes, fornecendo procedimentos organizados para testes consistentes e abrangentes.
Esses testes são realizados de forma sistemática, utilizando uma variedade de técnicas e ferramentas para explorar possíveis pontos fracos na segurança da infraestrutura. Após a sua execução, o Security Operations Center (SOC) analisa os resultados para verificar se foi possível identificar e mitigar os ataques.
Este artigo fornece uma visão detalhada sobre a metodologia para o desenvolvimento de cadernos de testes eficazes. Ao longo do texto, vamos explorar os principais conceitos relacionados à segurança cibernética e discutir como o teste de penetração pode ser uma medida proativa de defesa cibernética. E forneceremos insights para fortalecer a postura de segurança das organizações.
Veja a empresa pela visão do atacante. O time de Ethical Hackers (Red Team) da Redbelt Security faz testes controlados e oferece uma visão da segurança cibernética da empresa que não seria possível por nenhum outro método. Evidencie como vulnerabilidades encontradas podem ser exploradas em um ataque real, entenda como essas falhas podem ser corrigidas e como ataques podem ser bloqueados, detectados e respondidos. Fale com um de nossos especialistas.
Compreensão das necessidades da empresa
Para iniciar o desenvolvimento do caderno de testes, é preciso compreender os requisitos específicos da organização. Isso implica visualizar não apenas o ambiente tecnológico, mas também as necessidades de segurança e os objetivos de negócio associados. Tudo é adaptado pelos profissionais de segurança cibernética no caderno de testes, para que atenda às particularidades do ambiente avaliado.
Definição de objetivos e escopo
Para delinear o escopo do teste, é necessário entender as limitações e as áreas que serão abordadas durante as simulações. Os testes serão executados por meio de uma máquina ou um conjunto de sistemas específicos da empresa. O que possibilita avaliar se as ferramentas de monitoramento da equipe de SOC são capazes de identificar atividades suspeitas ou maliciosas durante os testes de penetração.
Execução e análise
Após o desenvolvimento e a definição do escopo do caderno de testes, o próximo passo é a execução e a análise dos resultados. Nessa etapa, são fornecidas orientações sobre como conduzir os testes usando o caderno desenvolvido e como analisar os resultados para identificar potenciais vulnerabilidades e áreas de melhoria na segurança do sistema.
Vamos explorar brevemente o escopo de alguns testes:
1) Analisar pacotes da rede
Este comando é utilizado para analisar o tráfego de rede, permitindo entender como a rede da organização funciona. Ao capturar e examinar pacotes de dados, é possível identificar padrões de comunicação, detectar problemas de rede e verificar a presença de informações sensíveis, como autenticação, DHCPv6 e domínios.
2) Enumerar DNS
Tem objetivo de identificar e listar os registros DNS dos ativos na rede, fornecendo informações sobre os serviços disponíveis e os recursos acessíveis por meio de nomes de domínio.
3) Identificar Active Directories
Utilizado para detectar a presença de serviços de Active Directory no ambiente da empresa, facilitando a identificação de domínios, controladores de domínio e outros componentes relacionados.
4) Extrair informações de Active Directories via DHCPv6
Busca extrair informações específicas dos serviços de Active Directory através do DHCPv6, como configurações de rede, atribuições de endereços IP e outros dados relevantes.
5) Identificar SMBs ativos
Tem como objetivo identificar os Serviços de Mensagem do Servidor (SMB) ativos na rede, fornecendo informações sobre compartilhamentos de arquivos e impressoras disponíveis para acesso.
6) Identificar SMBs com Null Session ativos
Utilizado para identificar os Serviços de Mensagem do Servidor (SMB) que permitem sessões nulas, o que pode representar uma vulnerabilidade de segurança potencial.
7) Identificar hosts e portas abertas
Identifica os hosts e as portas de rede abertas no ambiente do cliente, tanto remotamente quanto localmente, fornecendo insights sobre a superfície de ataque potencial.
8) Executar o arquivo Mimikatz
Tenta executar o arquivo malicioso Mimikatz, conhecido por sua capacidade de extrair credenciais de sistemas Windows na memória, possibilitando a captura de credenciais sensíveis.
9) Dump do arquivo LSASS com credenciais
Busca fazer dump do arquivo LSASS, que contém credenciais em memória, permitindo que um atacante capture essas informações sensíveis para uso posterior em ataques de credenciais.
10) Alterar a policy da máquina para conceder privilégios especiais a usuários comuns
Se for possível alterar as políticas de segurança da máquina, isso pode resultar em comprometimento da segurança do sistema.
11) Simular atividade de Ransomware com script em PowerShell
Utiliza um script básico em PowerShell para simular a atividade de um ransomware na máquina, como a criptografia de arquivos e exigência de resgate.
12) Remover logs de segurança do Event Viewer do Windows
Remover os registros de segurança do Event Viewer pode ser feito para ocultar atividades maliciosas e dificultar a detecção de intrusões.
13) Desabilitar firewall do usuário local
Desativa o firewall do usuário local, deixando o sistema mais vulnerável a ataques externos e potencialmente permitindo a entrada de malware na rede.
14) Tentativa de Dump de credenciais utilizando arquivos maliciosos
Tenta fazer dump de credenciais utilizando ferramentas maliciosas como o WCE (Windows Credential Editor), que pode extrair e exibir as credenciais armazenadas em um sistema Windows.
Ao executar esses testes, os profissionais de segurança cibernética podem identificar vulnerabilidades potenciais e avaliar a eficácia dos controles de segurança implementados. A análise dos resultados obtidos durante os testes é essencial para fornecer insights valiosos que podem ser utilizados para fortalecer a postura de segurança do sistema e mitigar possíveis ameaças.
Relatório e recomendações
A equipe de SOC conduzirá uma análise minuciosa dos comandos identificados durante os testes. Além disso, eles se dedicarão à criação de regras específicas para identificar e capturar os comandos que passaram despercebidos durante os testes de penetração. Essas informações serão compiladas em um relatório abrangente, que fornecerá uma visão detalhada das descobertas e recomendações para melhorar a postura de segurança da organização.
Conclusão
A metodologia apresentada nesse artigo oferece insights sobre como compreender as necessidades do negócio, definir objetivos e escopo, executar e analisar os testes, e elaborar relatórios detalhados com recomendações para mitigação de vulnerabilidades identificadas. Ao seguir essa abordagem metodológica, as equipes de teste de penetração podem conduzidos de maneira consistente, abrangente e alinhada com as necessidades específicas do cliente.
É importante ressaltar o papel fundamental da equipe de SOC na análise dos resultados dos testes e na implementação de medidas de segurança adicionais com base nas descobertas. O trabalho conjunto entre as equipes de teste de penetração e o SOC é essencial para garantir uma postura de segurança robusta e proativa em face das ameaças cibernéticas em constante evolução.
Procure uma consultoria especializada para ter resultados confiáveis. Só assim, é possível enxergar o caminho que um invasor percorreria dentro do seu ambiente para conseguir acesso, e descobrir, antes de um ataque, áreas de exposição.
Guilherme Neves, consultor pentester na Redbelt Security
