O que é um teste de penetração?
Um teste de penetração é um tipo de avaliação de segurança realizada em um sistema de computador no qual a pessoa que executa a avaliação tenta invadir o sistema. O objetivo do teste é determinar se alguém com intenção maliciosa pode ou não entrar no sistema e o que ele ou ela pode acessar após a penetração do sistema. Os testes de penetração são oferecidos por várias empresas especializadas em segurança de sistemas de computadores, e geralmente são altamente recomendados para sistemas e empresas de todos os tamanhos, pois os danos a um sistema de computadores causados por um ataque hostil podem ser caros e embaraçosos.
Existem várias abordagens diferentes para o teste de penetração. Em uma abordagem de caixa preta, nenhuma informação sobre o sistema é fornecida para a pessoa que realiza o teste. Ele ou ela começa do zero para procurar explorações em potencial e invadir o sistema. Em um teste de caixa branca, todas as informações são fornecidas, permitindo ao testador simular um trabalho interno ou vazamento de informações. Algumas empresas adotam uma abordagem híbrida, na qual algumas informações são fornecidas e outras devem ser procuradas.
No decorrer de um teste de penetração, o especialista em segurança pode simular a exclusão ou alteração de dados, roubo de arquivos, inserção de código malicioso e várias outras atividades. O teste de penetração pode desacelerar o sistema, o que torna importante o tempo do teste; as empresas querem evitar interferir em suas próprias operações quando estão realizando avaliações de segurança.
As pessoas que realizam testes de penetração têm uma ampla biblioteca de conhecimentos de informática, e algumas têm um histórico de hackers, que as familiarizou com as inúmeras maneiras pelas quais os sistemas de computadores podem ser explorados. A contratação de hackers qualificados como consultores de segurança pode, na verdade, ser um movimento de negócios muito esclarecido para uma empresa especializada em segurança de computadores e redes, pois os hackers geralmente têm o conhecimento e as informações mais atualizados, e estão acostumados a abordar sistemas de computadores a partir do papel de alguém com malícia, em vez do papel de um especialista em segurança preocupado.
Para testes simples, é possível usar um sistema automatizado para executar um teste de penetração. Isso reduz as despesas e permite que as empresas realizem facilmente testes aleatórios quando acham que pode haver uma necessidade. O teste manual é mais profundo e consome tempo, mas pode produzir resultados mais completos. Um ser humano criativo e determinado pode detectar possíveis explorações que um programa automatizado pode perder.
Após a conclusão de um teste de penetração, as descobertas são escritas e apresentadas ao cliente. Juntamente com as descobertas, é gerada uma lista de recomendações, com a empresa de segurança indicando áreas nas quais a segurança pode ser melhorada e fazendo sugestões para melhoria.