Teste de invasão: Modelagem de ameaças

Nos posts anteriores, conversamos sobre a duas primeiras fases do teste de invasão. Na primeira fase (Preparação_, o objetivo é compreender sobre a área de atuação da organização que está solicitando o teste e sobre o objetivo que se quer alcançar com a sua realização, buscando o alinhamento — visto que esse tipo de teste pode gerar impactos inesperados.

A segunda fase é a de Coleta de informações, na qual o objetivo é buscar informações públicas sobre a empresa que possam ajudar nos testes, e essas informações serão utilizadas para a próxima fase que vamos falar neste post: Modelagem de Ameaças.

Na fase de Modelagem de ameaças, todas as informações encontradas na fase anterior de Coleta de informações serão utilizadas como base para analisar como alguém poderia utilizá-las para tentar realizar um ataque.

Nos casos em que a utilização de engenharia social for autorizada, podemos estudar e planejar como este teste pode ser realizado nesta fase, além de seu objetivo e informações sensíveis no contexto do negócio da empresa que se deseja conseguir.

Com relação às informações públicas, é necessário analisar e compreender, levando em consideração o negócio da organização alvo do teste, como que um atacante poderia realizar um ataque conseguindo informações sensíveis ou causar algum dano como indisponibilidade.

A modelagem das ameaças vai variar muito com o tipo de negócio da empresa e com o objetivo do teste. Esta fase é importante, pois vai contribuir para o direcionamento do teste a partir da próxima fase em que iremos analisar as possíveis vulnerabilidades. Portanto, é necessário que o objetivo do teste e o negócio da empresa sejam levados em consideração para que os testes sejam mais efetivos.

No próximo post, vamos iniciar a fase de Análise de vulnerabilidades. Até a próxima!

Referências: Testes de Invasão: Uma Introdução Prática ao Hacking – Georgia Weidman; Segredos do Hacker Ético – Marcos Flávio Assunção