Tramonto: um framework para gerenciamento de pentests

Abstract

Nos dias de hoje, cada vez mais as empresas possuem maior integração de sistemas com a Internet e também aplicações que lidam com dados sensíveis. Assim, é necessário oferecer métodos que possam garantir a segurança dos dados e ativos, considerando o nível de exposição dessas informações. A partir disso, como forma de proteger e mitigar o alto número de incidentes de segurança que vem surgindo no contexto empresarial, testes de segurança têm sido aplicados para avaliar a existência de vulnerabilidades nos cenários-alvo. Um dos testes conhecidos dessa categoria é o Teste de Intrusão (Pentest ), que aproxima a realidade de ataques por meio da simulação do comportamento de um atacante. Considerando as características específicas que diferem os pentests dos demais testes, estabeleceram-se metodologias na tentativa de padronizar os processos e apoiar o executor do teste (tester ) por meio de guias e diretrizes. Contudo, as metodologias mais disseminadas na comunidade de segurança destinam seus esforços para atender os critérios de outros tipos de testes de segurança, por vezes desconsiderando as particularidades de um pentest. Portanto, com base nessa problemática, este trabalho propõe a criação de um framework chamado Tramonto. Este framework, baseado nas principais metodologias de teste de segurança, objetiva auxiliar os testers na execução de pentests de modo a oferecer melhor organização, padronização e flexibilidade no workflow do teste. Foram conduzidos estudos com profissionais da área de pentest para validar as proposições sugeridas pelo Tramonto, apoiados da aplicação web Tramonto-App. Os resultados alcançados por meio desses estudos corroboram a importância e auxílio do framework nos testes realizados, e indicam os rumos e possibilidades de atuação do mesmo na área de pentest.

Nowadays, companies have more systems integration on the Internet and their applications deal with sensitive data. Thus, providing methods to ensure the security of the data and assets, considering the level of information exposure, is a mandatory requirement. As a way to protect and mitigate the high number of security incidents that arise from the business context, security testing has been applied to assess the existence of vulnerabilities in the target scenarios. One of the known tests of this category is the Penetration Test (Pentest), which approximates the reality of attacks by simulating the behavior of an attacker. Considering the specific characteristics that differ the penetration tests from the other tests, methodologies have been established in an attempt to standardize the processes and support the test executor (tester) through standards and guidelines. However, the methodologies that are most widespread in the security community seek to meet the criteria of other types of security testing, sometimes disregarding the particularities of a Pentest. Therefore, this work proposes the construction of a framework called Tramonto. This framework, based on the main methodologies applied to security testing, aims to help the testers in Pentests execution in order to provide better organization, standardization, and flexibility in the test workflow. Some studies were conducted with security test professionals to validate the propositions suggested by Tramonto, supported by the Tramonto-App web application. The results achieved through these studies confirm the importance of the framework supporting the testers, and also indicate the direction and other possibilities in the Pentest area.