A perspetiva da Cyber Academy
Um teste de intrusão é uma simulação de ataque autorizada e delimitada, com o objetivo de identificar vulnerabilidades exploráveis antes que atacantes reais o façam. Black box / grey box / white box, interno / externo, aplicação / infraestrutura. Distingue-se de uma análise de vulnerabilidades (automatizada, em amplitude) e de um red team (vários meses, baseado em objetivos). Os relatórios alimentam o backlog de remediação.
O que é realmente um teste de intrusão
Um teste de intrusão é uma tentativa deliberada e autorizada de invadir um sistema da forma como um atacante real o faria, conduzida no âmbito de um escopo escrito e de regras de engajamento. O objetivo não é listar fraquezas teóricas, mas provar quais delas podem realmente ser encadeadas para alcançar algo que importa: uma base de dados, uma conta de administrador, um registo de cliente, um fluxo de pagamento. O analista segue o mesmo caminho que um intruso, mas com permissão e um limite definido, para que a organização descubra onde falharia antes que alguém hostil o faça. A autorização é o que separa um teste de intrusão de um crime; sem um escopo assinado, as mesmas ações não passam de uma intrusão.
Os trabalhos são enquadrados ao longo de alguns eixos que o escopo tem de fixar à partida. O nível de conhecimento vai desde a caixa preta, em que o analista parte apenas de um nome ou de um intervalo de endereços IP, passando pela caixa cinzenta, em que obtém uma conta de baixos privilégios ou documentação parcial, até à caixa branca, em que recebe o código-fonte, os diagramas de arquitetura e credenciais completas.
O ponto de observação é externo, simulando um atacante na Internet, ou interno, simulando alguém que já entrou na rede ou um infiltrado malicioso. O tipo de alvo separa o teste aplicacional, que sonda uma aplicação web ou móvel e a sua lógica, do teste de infraestrutura, que vai contra os anfitriões, os serviços e a configuração de rede. A maioria dos programas reais combina estas abordagens para se ajustar às ameaças que realmente os preocupam.
Em que difere de uma análise e de uma equipa vermelha
A confusão mais comum é entre um teste de intrusão e uma análise de vulnerabilidades, e os dois não são a mesma coisa. Uma análise de vulnerabilidades é automatizada e otimizada para a amplitude: uma ferramenta percorre cada ativo acessível, compara o que encontra com uma base de problemas conhecidos e produz uma longa lista. É rápida, repetível e barata, mas não consegue dizer se um determinado achado é genuinamente explorável no seu ambiente ou um falso positivo.
Um teste de intrusão é conduzido por um humano e otimizado para a profundidade: o analista valida os achados explorando-os de facto, encadeia vários problemas de menor gravidade num comprometimento real e testa a lógica de negócio e os pressupostos de confiança que nenhum scanner compreende. A análise diz-lhe o que pode estar errado; o teste de intrusão diz-lhe o que um atacante poderia realmente fazer com isso.
No outro extremo está a equipa vermelha, que também é frequentemente confundida com o teste de intrusão. Um trabalho de equipa vermelha é mais longo, prolongando-se muitas vezes por meses, e é orientado a objetivos em vez de à cobertura: a meta é alcançar um resultado específico, como exfiltrar um conjunto de dados definido ou chegar a um sistema em particular, mantendo-se indetetado e verificando se os defensores reparam e respondem. Um teste de intrusão visa a cobertura dentro de um escopo e é normalmente conhecido das equipas envolvidas; uma equipa vermelha persegue um único objetivo em profundidade e testa deliberadamente a deteção e a resposta tanto quanto os próprios controlos.
| Dimensão | Análise de vulnerabilidades | Teste de intrusão | Equipa vermelha |
|---|---|---|---|
| Método | Ferramentas automatizadas | Conduzido por um humano, prático | Conduzido por um humano, emulação de adversário |
| Meta | Amplitude: listar problemas conhecidos | Profundidade: provar a explorabilidade no escopo | Objetivo: alcançar um alvo definido |
| Validação | Sem exploração | Achados explorados e encadeados | Cadeia de ataque completa até ao objetivo |
| Deteção testada | Não | Normalmente não | Sim, testa diretamente os defensores |
| Duração típica | De minutos a horas | De dias a semanas | De semanas a meses |
Onde se situa num programa de segurança
Um teste de intrusão é uma verificação pontual, não um controlo por si só. O seu verdadeiro valor concretiza-se depois do trabalho, quando o relatório alimenta a fila de remediação. Um bom relatório faz mais do que listar achados: classifica-os por explorabilidade e impacto no negócio, fornece evidência reproduzível e recomenda correções. Esses achados tornam-se bilhetes, responsáveis e prazos dentro do processo mais amplo de gestão de vulnerabilidades, e um novo teste confirma que as correções realmente fecharam as falhas em vez de as deslocar. Sem esse acompanhamento, um teste é apenas um documento caro.
O teste de intrusão também aparece explicitamente nas normas e na regulação. Um sistema de gestão da segurança da informação alinhado com a ISO/IEC 27001 trata os testes técnicos como uma forma de verificar que os controlos funcionam na prática, e os referenciais relativos a pagamentos, infraestruturas críticas e serviços financeiros esperam cada vez mais testes regulares e delimitados dos sistemas expostos à Internet e críticos.
A ENISA e agências nacionais como a ANSSI publicam orientações sobre como encomendar testes de forma responsável, e o conjunto de competências ofensivas está formalizado em credenciais para hackers éticos. O que os profissionais realmente entregam é um ritmo recorrente: delimitar o trabalho, acordar as regras de engajamento e uma autorização escrita, testar, reportar, remediar, voltar a testar e repetir à medida que o ambiente muda.
Frequently asked questions
01Qual é a diferença entre um teste de intrusão e uma análise de vulnerabilidades?
Uma análise de vulnerabilidades é automatizada e construída para a amplitude: percorre os ativos e lista rapidamente os problemas conhecidos, mas não consegue confirmar se são verdadeiramente exploráveis. Um teste de intrusão é conduzido por um humano e construído para a profundidade: o analista explora e encadeia de facto os achados para provar o que um atacante poderia fazer. A análise é o que pode estar errado; o teste é o que poderia realmente acontecer.
02O que significam caixa preta, caixa cinzenta e caixa branca?
Descrevem quanto o analista sabe no início. A caixa preta não lhe dá quase nada, simulando um atacante externo. A caixa cinzenta dá acesso parcial, como uma conta de baixos privilégios. A caixa branca dá acesso completo, incluindo o código-fonte e as credenciais, o que permite encontrar mais no mesmo tempo.
03Um teste de intrusão é o mesmo que um trabalho de equipa vermelha?
Não. Um teste de intrusão procura cobertura dentro de um escopo definido e é normalmente conhecido das equipas envolvidas. Uma equipa vermelha é mais longa e orientada a objetivos, procurando alcançar um alvo específico enquanto se mantém oculta, e testa explicitamente se os defensores detetam e respondem.
04Com que frequência uma organização deve realizar um teste de intrusão?
O teste é pontual, por isso deve repetir-se numa cadência regular e também após uma mudança significativa, como um lançamento importante, um novo serviço exposto à Internet ou uma migração de infraestrutura. Muitos referenciais de conformidade esperam pelo menos um teste anual dos sistemas críticos e expostos à Internet, com um novo teste assim que os achados forem remediados.
05O que torna um teste de intrusão legal?
Uma autorização escrita e um escopo acordado. As mesmas técnicas realizadas sem permissão constituem uma intrusão. Um trabalho em devida forma é regido por regras de engajamento assinadas que definem os alvos, os métodos permitidos, o calendário e os pontos de contacto.