O Pentest (Teste de Penetração) é um dos testes mais importantes para identificação de vulnerabilidades, que pode ser aplicado a um sistema, solução, aplicativo ou site. A ideia é, justamente, simular o trajeto que um cibercriminoso faria para tentar invadir essas estruturas.
A partir do resultado, é possível identificar quais são os pontos mais expostos e, com isso, ver o que precisa ser mudado para evitar o sucesso dos criminosos. Contudo, cada empresa vai demandar uma peculiaridade neste tipo de teste.
Por isso, ele é dividido em três tipos de Pentest: Black Box, White box e Grey Box. Saiba mais sobre eles a seguir.
Black Box
O Black Box é um tipo de Pentest focado em ser, praticamente, um teste cego. Ou seja, o profissional ou empresa que realizará as tentativas de intrusão não possui qualquer tipo de informação prévia.
Com isso, é possível simular de uma forma mais precisa como um criminoso agiria, afinal, em tese, ele não teria informações privilegiadas para conseguir realizar o atraque. Dentro desse contexto, a simulação ainda pode ser feita de duas formas distintas:
- Blind: a empresa contratante sabe quando o ataque será realizado e quais metodologias serão utilizadas para isso;
- Double Blind: a empresa contratante não faz ideia de quando a simulação será feita e a metodologia. É o mais próximo de um ataque real, de forma que os profissionais não conseguem prever o que acontecerá e deverão responder ao incidente na hora.
White Box
No lado oposto, o tipo de Pentest chamado de White Box é mais transparente em relação à empresa contratada, de forma que o tester terá acesso a toda a infraestrutura do cliente.
Esse tipo pode ser interessante para poder testar uma área mais abrangente de vulnerabilidade. Isso porque é possível identificar previamente pontos críticos (algo que um cibercriminoso não teria acesso de imediato) e já identificar a melhor forma de tentar realizar a intrusão por ali.
Com isso, é possível ter uma resposta mais ampla e completa, que será disponibilizada por relatório. Da mesma forma, também poupa tempo do realizador, pois ele consegue planejar passo a passo do que será feito, previamente. Ele também pode ser feito de duas formas:
- Tandem: é análogo ao Blind, ou seja, a contratante sabe todos os detalhes do que será realizado;
- Reversal: é análogo ao Double Blind, ou seja, a contratante não sabe quando o teste será realizado, nem as metodologias que serão utilizadas.
Grey Box
Como o nome sugere, ele é uma mistura dos dois tipos anteriores: o Black e o White. Neste caso, os testers contratados possuem acesso a uma parte parcial da infraestrutura da empresa que será alvo da avaliação.
Esse acesso é limitado, ou seja, há partes que não são de conhecimento do tester. Ou seja, muitos dos resultados serão descobertos também na hora.
E, da mesma forma, pode-se pensar em dois meios de realizá-lo: com conhecimento da contratante de como e quando será feito o teste ou não. São os tipos Gray-box e Double Gray-box, respectivamente.
Conte com a Anhanguera para conhecer tudo sobre o mundo da tecnologia
Seja para trabalhar com realização dos tipos de Pentest ou com outras áreas da tecnologia, é fundamental ter uma ótima formação para dominar esse mercado. E a Anhanguera é sua aliada para isso.
Escolha um dos nossos cursos voltados para a área tech e aprenda com os docentes mais experientes e didáticos do mercado. Também tenha a oportunidade de conquistar logo sua primeira oportunidade no mercado com o Canal Conecta, além de ter uma infraestrutura incrível para seu aprendizado. Faça sua inscrição e conheça nossos cursos na área de tecnologia!
Perguntas Frequentes
Normalmente quem realiza o Pentest é um profissional especializado em segurança da informação, pois ele deverá ter experiência com ciberataques para identificar a forma como um criminoso agiria diante das vulnerabilidades encontradas. Por isso, deve ser uma pessoa com formação nessa área.
Com o relatório de um Pentest, é possível identificar quais são as vulnerabilidades presentes e os impactos que elas podem trazer. Nesse caso, é possível resolver algumas e, nos casos em que não é possível contornar, a empresa pode traçar ações de mitigação de riscos que devem ser adotadas em um incidente.
Doutoranda em Ciências Humanas e Sociais, Mestra e Bacharel em Comunicação. Copywriter e redatora desde 2013. Pesquisadora na área de tecnologia e política. Especialista em conteúdos sobre tecnologia, saúde, empreendedorismo, gestão, entre outras. Apaixonada por café, gatos e cultura geek.