Comunicações no Pentest
Uma parte fundamental durante a execução de um pentest é uma boa comunicação. Tenha os contatos estabelecidos, conheça os gatilhos e entenda os motivos pelos quais você precisa se comunicar durante os testes de segurança em andamento.
A Importância da Comunicação
A comunicação é vital para um teste de penetração. Com linhas de comunicação estabelecidas durante todas as fases de um teste, o pentester pode ter certeza sobre o escopo atual das regras de engajamento, atendendo às expectativas do cliente e não causando nenhum problema inesperado.
Linhas de comunicação abertas também ajudam a evitar e/ou mitigar problemas que possam surgir durante o teste de penetração. As linhas de comunicação também podem fornecer uma maneira para o pentester identificar se uma descoberta é um falso positivo com algumas informações adicionais de equipes internas sobre a configuração e uso de sistemas e aplicativos. Ao mesmo tempo, se o pentester identificar um possível ataque em andamento ou encontrar evidências de um ataque passado, as linhas de comunicação podem ser usadas para relatar possíveis atividades criminosas.
Definindo um caminho de comunicação
O pentester deve definir claramente seu caminho de comunicação durante os estágios de planejamento de um compromisso de teste de segurança.
Este caminho de comunicação deve incluir contatos que serão usados em diferentes circunstâncias:
Contato principal: é responsável pela administração regular do teste de penetração, designado pelo cliente. Você deve relatar o progresso do teste de penetração e quaisquer problemas a esse indivíduo.
Contato técnico: se você tiver problemas técnicos ou dúvidas durante o teste, essa é a pessoa com quem você deve falar. Durante os testes, você pode precisar de ajuda para adicionar seu dispositivo a uma lista de aprovados para acessar os controles de segurança, portanto, esse contato é útil.
Contato de emergência: em caso de problemas importantes que apareçam durante o pentest, como um congelamento do sistema, talvez seja necessário ter um contato de emergência, como um centro de operações de segurança (SOC) 24 horas.
Além das etapas de comunicação, o pentester deve estabelecer uma comunicação regular com seus clientes para fornecer atualizações periódicas de status. Geralmente uma reunião rápida com os principais interessados, onde o pentester fornece atualizações sobre o progresso do teste e todos discutem questões pendentes.
Gatilhos de Comunicação
Essas são as circunstâncias que merecem comunicação imediata à administração, pois podem ocorrer antes das comunicações programadas regularmente.
Descobertas Críticas Se o pentester identificar e validar um problema crítico ou importante com a segurança do ambiente do cliente, as partes interessadas devem ser informadas imediatamente (mesmo que essa notificação reduza o grau de penetração que os testadores são capazes de alcançar durante o teste) para então determinar como proceder. Uma vulnerabilidade conhecida não endereçada pode colocar a organização em um nível de risco inaceitável e resultar em um comprometimento.
Indicadores de comprometimento prévio Se os pentesters descobrirem indicadores de um comprometimento em andamento ou passado, eles devem interromper o pentest e informar imediatamente as partes interessadas para que possam decidir como proceder. Lembre-se de que você é o pentester e não faz parte do processo de resposta a incidentes de segurança cibernética da empresa.
Fim de cada estágio de teste O final de um estágio do pentest deve servir como um gatilho para comunicar as atualizações de status à gerência.
A declaração de trabalho (SOW) pode exigir atualizações de status regulares ou ter outros gatilhos de comunicação além daqueles em cada final de estágio.
Outros motivos para comunicação
Consciência situacional Ter atualizações de status regulares com o cliente traz a oportunidade de receber atualizações sobre as operações comerciais que podem afetar o pentest.
Redução de escala Algumas etapas do pentest podem afetar as operações comerciais. Quando isso acontece, o cliente e os pentesters precisam trabalhar juntos para diminuir a situação e garantir que as operações de negócios funcionem sem problemas. Nesses casos, o cliente pode optar por alterar os parâmetros do pentest e adotar uma abordagem diferente com os testes para reduzir ou eliminar o impacto no negócio.
Desconflito Ao realizar o pentest, suas ações precisam ser identificadas para evitar conflitos com a equipe de segurança de TI. Seus endereços IP ou ferramentas podem levantar algumas bandeiras durante o pentest e para evitar bloqueios, você pode precisar colocá-los em listas de permissões durante o período dos testes.
Identificando falsos positivos Você pode usar seu caminho de comunicação com o cliente para identificar se um resultado ou descoberta incomum é um falso positivo.
Atividade criminosa Se você encontrar evidências de atividade criminosa, deve reportar diretamente ao cliente para discutir suas descobertas.
Repriorização de metas
Repriorizar os objetivos de um teste de penetração é uma atividade aceitável. Outro motivo para se reunir regularmente com o cliente ou as partes interessadas do pentest é se os pentesters encontrarem novas informações que possam alterar os objetivos e prioridades do teste de penetração. Se você deseja alterar as regras ou prioridades definidas na declaração de trabalho, isso exigiria a aceitação das partes interessadas.
Livros sobre Pentest+
CompTIA PenTest+ Study Guide: Exam PT0-002 (English Edition)
CompTIA Pentest+ Certification For Dummies (English Edition)