Modelos e Frameworks aplicados a Pentest

Em seu estudo, Knowles, Baron e McGarr [43] apresentam discussões sobre a padronização em avaliações de segurança. Os autores corroboram com o fato de que existe a necessidade de padronizar os testes, porém de uma forma diferente do proposto pelas metodologias de teste existentes. Dessa forma, o artigo destaca as falhas de atua- ções profissionais na indústria, especificamente dentro setor de fornecimento de serviços de teste. Essas falhas, conforme os autores, implicam no fornecimento de serviços ambí- guos e inconsistentes para os clientes. Assim, justifica-se que a padronização pode servir à profissionalização contínua da indústria, da mesma forma que pode proporcionar benefí- cios aos clientes e aos profissionais envolvidos na prestação dos serviços de teste. A partir da identificação dessa problemática e da análise dos resultados do estudo, os autores pro- põem um framework para contribuir com os avanços de um ecossistema de avaliações de segurança simuladas, o qual inclui atividades de padronização. Embora o framework pro- posto por Knowles, Baron e McGarr ofereça recomendações generalizadas sobre pontos importantes em um pentest (como terminologias, métricas, diretrizes para relatórios e au- ditorias, entre outros), não faz parte do escopo do framework apresentar qualquer tipo de auxílio ao gerenciamento e organização das atividades de um tester na execução de um pentest. Contudo, o estudo possui grande relevância para esta tese devido aos resultados obtidos por meio de entrevistas com 54 participantes, os quais discutem os aspectos de padronização, problemáticas associadas aos clientes e contratantes do teste, e a utilização ou não de metodologias por parte dos entrevistados. O Estudo 1 desta tese, apresentado no Capítulo 7, traça comparativos entre as análises e resultados da pesquisa de Knowles, Baron e McGarr.

Brito e Perurena [17] propõem uma análise sobre a capacidade das principais me- todologias de pentest na detecção de vulnerabilidades em aplicações web. O objetivo do estudo é determinar em que medida os procedimentos, ferramentas e testes de segurança propostos pelas metodologias ISSAF, OSSTMM, OWASP, PTES e NIST SP 800-115 são vá- lidos, considerando os desafios atuais da segurança cibernética especialmente no âmbito de aplicações web. Para tal, os autores analisaram a documentação de cada metodologia

de pentest e criaram uma escala de avaliação qualitativa para comparação. A partir disso, os autores concluem que nenhuma metodologia prova ser capaz de fornecer métodos, fer- ramentas ou testes de segurança para detectar todas as vulnerabilidades atuais, além de constatar a necessidade de adaptações dessas metodologias existentes. A investigação sobre as metodologias de teste de segurança, por representar parte do percurso metodoló- gico desta tese, aproxima o trabalho realizado pelos autores com a proposição do Tramonto. Embora os resultados apresentados no artigo sejam superficiais quanto a novas técnicas ou soluções para pentests, os autores sugerem uma pontuação (baseada na sua avaliação) para uma metodologia de teste considerada “ideal”. Ademais, parte dos seus apontamentos sobre as metodologias avaliadas fazem menção a uma das publicações resultantes desta tese [13].

O trabalho de Zhao et al. [83] apresenta a proposta de um framework de teste de segurança para atender as diretrizes da metodologia NIST, com o intuito de facilitar a compreensão de parâmetros incertos de uma avaliação de segurança. Esse framework de teste de segurança foi idealizado a partir da utilização do método de rule trees para a automação do pentest, onde cada cadeia de rule trees armazena um processo completo de ataque. A partir disso, o objetivo do estudo é melhorar a precisão e a eficácia da avaliação de segurança por meio das rule trees. Os autores apresentam uma comparação resumida das etapas do framework proposto com as etapas que compõem a metodologia NIST, além de listar vulnerabilidades e agentes de ameaça que constituem a formulação do estudo. Entretanto, mesmo que o framework aproxime seus conceitos com a metodologia NIST, a contribuição do estudo se trata de uma divisão de etapas e da implicação de técnicas para automação do pentest. Logo, discussões sobre as formas, estratégias e práticas de testes de segurança não são mencionadas e estão fora do escopo do trabalho dos autores. No framework Tramonto, as alternativas de automação de tarefas em um pentest ficam a cargo do tester e as diretrizes da metodologia NIST são base da construção do framework. Nesse sentido, no Tramonto é possível assimilar as boas práticas da metodologia por meio do acompanhamento e gerenciamento do teste.

Outros trabalhos também possuem uma intersecção com esta tese também ba- seados nos aspectos explicados nos parágrafos anteriores. Kumar e Tlhagadikgora [44] descrevem sumariamente uma proposta de metodologia de pentest, da mesma forma que a pesquisa de Satria et al. [64] apresenta a aplicação de uma metodologia de teste interna e discute possíveis tipos de ataques. Já Almubairik e Wills [2] seguem a linha de raciocínio da automação do pentest, projetando seu modelo baseado nas metodologias e padrões de teste existentes. No que tange a apresentação de ferramentas e técnicas em pentest, o trabalho de Holik et al. [34] valida soluções para a execução do teste em um estudo de caso envolvendo um ambiente em produção.

Por fim, considerando as discussões em torno das metodologias para teste, Shan- ley e Johnstone [69] apresentam a avaliação de uma seleção de seis metodologias aplica-

das em pentest. Nessa avaliação, os autores propõem uma matriz de qualidade baseada na ISO/IEC 25010 e analisam as vantagens e desvantagens de cada metodologia avali- ada. Ainda nesse sentido, existem determinados estudos [68][28] que avaliam e aplicam a abordagem VAPT (Vulnerability Assessment and Penetration Testing) aliada as metodo- logias de teste, apresentando também estudos de caso, ferramentas e técnicas envolvidas na avaliação de segurança.