Conheça os tipos de Pentest e seus benefícios

No desenvolvimento de uma aplicação, assim que ela atinge um certo grau de maturidade aumenta-se a demanda por suas políticas segurança, seja para atender padrões de qualidade como a ISO 27001, seja para atender exigências de clientes e investidores. Uma forma de testar e avaliar a segurança de uma aplicação é através dos testes de penetração, também conhecidos como “Pentest”, que se trata de tentativas de invadir e explorar a aplicação alvo a fim de apontar vulnerabilidades e correções, seguindo metodologias e normas de órgãos internacionais competentes, como a famosa OWASP. Entretanto existem vários tipos de Pentest, com abordagens e objetivos diferentes, que vamos explicar resumidamente nesse artigo.

-Black Box, ou Caixa Preta:  Modalidade em que o Pentester não possui nenhuma informação, nenhum acesso à aplicação e deve buscar seu caminho explorando as superfícies expostas, como páginas de login, venda de produtos, caixas de comentários e tudo mais que estiver exposto a qualquer usuário. Essa modalidade embora seja uma simulação mais realista do ponto de partida de um ataque, ela acaba sendo menos assertiva também, pois depende da capacidade de invasão do profissional além do próprio estado da superfície exposta, que muda dinamicamente com as necessidades da aplicação. 

-White Box ou Caixa Branca: É o completo oposto da modalidade anterior, pois nesse caso todo o código fonte é aberto ao Pentester, podendo ser tratado até mesmo como uma revisão de código focada em segurança. Nessa modalidade é realizado um trabalho minucioso sobre o comportamento da aplicação, o que acaba levando mais tempo para ser realizado e consequentemente torna o serviço mais caro, além do fato de expor todo o código aberto para um terceiro, o que naturalmente gera desconforto.

-Gray Box ou Caixa Cinza: Um ponto de equilíbrio entre os anteriores, onde são disponibilizadas credenciais para acessar a aplicação e testar suas funcionalidades em um ambiente similar ao de seus usuários, possibilitando assim o teste de todas suas funções internas disponíveis para eles. Desse modo é possível cobrir mais camadas de defesa do que um teste às cegas e sem a exposição do código fonte.   

Cada modalidade é importante para cobrir determinada exigência e varia conforme o cenário de cada empresa, por isso é importante analisar a posição atual da aplicação e conversar com o Pentester a fim de expor as principais necessidades e definir um escopo mais assertivo e evitar desconfortos para todas as partes.