O serviço de Pentest pode variar de acordo com a necessidade, por esse motivo a fase de definição do escopo é crucial para alinhamento da expectativa dos resultados.
Seguindo os passos abaixo, esse mapeamento fica mais fácil de ser elaborado.
Definição do objetivo
Um bom início é ter em mente o objetivo que se deseja alcançar com esse serviço.
Por exemplo:
-Avaliar se a partir da internet, seria possível alguém ter acesso ao ambiente interno ou portal de alguma aplicação Web;
-Validar possíveis vazamentos a partir da infraestrutura interna;
-Avaliar especificamente uma ou mais aplicações Web e se através dela, informações poderiam ser expostas ou estarem sujeitas a ataques conhecidos como; SQL Injection, Cross-site-Script entre outras;
-Avaliar a rede sem fio, validar se alguém fisicamente próximo a empresa, por exemplo numa cafeteria do outro lado da rua, condomínio, etc. poderia ganhar acesso ao ambiente interno;
-Avaliar especificamente a segurança de um ou mais aplicativo para celulares;
-Avaliar a disponibilidade de uma determinada aplicação através de testes de carga, mais conhecido como ataques de negação de serviço -DDoS.
-Avaliar o nível de conscientização dos colaboradores com base em técnicas de engenharia social.
-Avaliar o ambiente em horários específicos, por exemplo, os testes só podem ser realizados na janela da 00h até 06h da manhã.
Esses são alguns dos principais objetivos que são procurados para um serviço de Pentest, sabendo bem o que deseja alcançar, fica mais simples definir o escopo.
Definição do método
Além do objetivo, é extremamente importante definir o método que será seguido, se será Black Box, Gray Box ou White Box), como foi falado em outra edição do Blog. O link estará no rodapé.
Itens fora do escopo
Outro ponto que não pode ser deixado de lado é o levantamento dos itens que devem ficar fora do escopo, por exemplo:
– Mapear Infraestrutura/Domínio/Aplicação de um cliente do qual empresa não possua autorização para seguir com os testes e pode acarretar problemas legais.
-Mapear técnicas que não são necessárias para o objetivo final do projeto, por exemplo: ataque de negação de serviço, execução de algum
“exploit” que possa impactar a indisponibilidade de algum serviço, técnicas de “Phishing” é outra que em alguns casos também pode ser retirada do escopo, entre outras.
Estimativa de tempo
Levar em consideração quais são os prazos de entrega que foram acordados e qual a expectativa do cliente.
Na maioria dos casos o serviço de Pentest leva em torno 2 semanas a 1 mês, ou mais. A variação se dá, de acordo com objetivo definido. O importante é entregar o relatório técnico na data correta, este poderá ser utilizado como evidência para alguma auditoria ou aspectos normativos.
Exemplo de um escopo básico:
Objetivo: Validar se somente com conhecimento do nome da empresa e domínio, se é possível conseguir acesso a rede interna ou portal administrativo de alguma aplicação Web através de análise das tecnologias, processos e pessoas.
Escopo: Pentest com abordagem Black Box, para Empresa X, com avaliação das aplicações Web e perímetro de acordo com as informações mapeadas durante a fase de levantamento de informações, sem restrição de horário, incluso técnicas de engenharia social.
Fora do Escopo: Ataques de negação de serviço, “exploits” que são conhecidos por causar indisponibilidade de uma aplicação ou servidor, qualquer domínio ou IP que não seja de responsabilidade da Empresa X.
Duração: 3 semanas – Início dd/mm/aa – Término dd/mm/aa
Comentários