O que é um teste de penetração?
Um teste de penetração é um tipo de avaliação de segurança realizada em um sistema de computador no qual a pessoa que executa a avaliação tenta invadir o sistema. O objetivo do teste é determinar se alguém com intenção maliciosa pode ou não entrar no sistema e o que ele ou ela pode acessar quando o sistema for penetrado. Os testes de penetração são oferecidos por várias empresas especializadas na segurança dos sistemas de computador e geralmente são fortemente recomendados para sistemas e empresas de todos os tamanhos, pois os danos a um sistema de computador causados por um ataque hostil podem ser caros e embaraçosos.
Existem várias abordagens diferentes para o teste de penetração. Em uma abordagem de caixa preta, nenhuma informação sobre o sistema é fornecida à pessoa que realiza o teste. Ele ou ela começa do zero para procurar possíveis façanhas e entrar no sistema. Em um teste de caixa branca, todas as informações são fornecidas, permitindo ao testador simular um trabalho interno ou vazamento de emformação. Algumas empresas escolhem uma abordagem híbrida, na qual algumas informações são fornecidas e outras informações devem ser procuradas.
No decorrer de um teste de penetração, o especialista em segurança pode simular a exclusão ou alteração de dados, roubo de arquivos, inserção de código malicioso e uma variedade de outras atividades. O teste de penetração pode desacelerar o sistema, o que torna importante o momento do teste; As empresas querem evitar interferir em suas próprias operações quando estão realizando avaliações de segurança.
As pessoas que realizam testes de penetração têm uma ampla biblioteca de habilidades em informática, e algumas têm uma história como hackers que os familiarizaram com as inúmeras maneiras pelas quais os sistemas de computador podem ser explorados. A contratação de hackers qualificados como consultores de segurança pode realmente ser um movimento de negócios muito experiente para uma empresa especializada em segurança de computador e rede, como hackers deDez têm o conhecimento e a informação mais atualizados e estão acostumados a abordar sistemas de computador do papel de alguém com malícia, em vez do papel de um especialista em segurança em questão.
Para testes simples, é possível usar um sistema automatizado para realizar um teste de penetração. Isso reduz as despesas e permite que as empresas realizem testes aleatórios facilmente quando acham que pode haver uma necessidade. Os testes manuais são mais aprofundados e demorados, mas podem produzir resultados mais completos. Um humano criativo e determinado pode detectar possíveis explorações que um programa automatizado pode perder.
Depois que um teste de penetração é concluído, as descobertas são escritas e apresentadas ao cliente. Juntamente com as descobertas, uma lista de recomendações é gerada, com a empresa de segurança indicando áreas nas quais a segurança pode ser melhorada e fazendo sugestões de melhoria.