Um pentest sério pode ir por água abaixo se você fizer sua lição de casa saindo na frente.
Como é feito o pentest
Todo pentest é realizado de maneira quase automatizada, e alguma coisa vai exigir skill de quem está executando. Algumas ferramentas que são utilizadas no processo fazem a varredura na rede, principalmente no AD, que é onde residem a maioria dos problemas.
O que se busca, principalmente, são as falhas de configuração, acessos desnecessários, produtos sem suporte e desatualizados.
Como fazer uma verificação inicial
Primeiro, é necessário conhecer o parquinho, ou cmdb, que é o inventário de tudo ligado na tomada.
Com o cmdb em mãos, e hora de fazer o trabalho dos outros, ou o seu (que você não fez porque não sabia ou esqueceu).
Primeira ferramenta a utilizar é o Purple Knight da Semperis. É um scanner do Active Directory muito completo que verifica várias configurações e mostra um relatório das configurações erradas, associando cada uma a matriz da Mitre. Corrija tudo que for possível aqui.
Use também o Ping Castle, outro scanner de AD com relatórios bem legais. Tem uma abordagem um pouco diferente, mas valiosa.
Há outras ferramentas, algumas pagas e até intrusivas, mas o Purple e o Castle são suficientes.
Próximo passo, verifique todo software. Atualize tudo o que for possível e busque camadas de proteção adicionais para os produtos fora de suporte que ainda não podem ser descomissionados ou substituídos. Use produtos de configuração para isso como o Windows Update, Configuration Manager, Manage Engine, etc.
Alguns produtos de configuração mantém relatório de configurações pré estabelecidas e customizadas, ou seja, você pode incluir aqui as diretivas de domínio, que na sua maioria vem do registro, e validar se as gpos estão sendo aplicadas ou alguém está alterando.
No pentest externo a busca-se validar a segurança da interface dos sites e serviços expostos. Os principais pontos encontrados estão relacionados a certificados, suítes de criptografia, bugs nos produtos, exposição do banco de dados, acesso remoto e credenciais. existem sites que validam a configuração básica de seu https, já é um começo e elimina muita coisa. Verifique também se tudo requer autenticação, de preferência com dois fatores, e se o software está com as atualizações em dia.
E se tiver algo que ainda responda http, considere a migração para https ou a remoção do serviço.
Como manter configurações
De início, aplique gpos em tudo, principalmente aquelas com itens envolvidos de segurança mencionados em controles e frameworks, como CIS, STIG, Mitre, etc. o que não puder ser aplicado por gpo, faça pelo PowerShell, que pode ajustar qualquer diretiva e reconfigurar o Windows inteiro. Se o recurso não se enquadra, procure outra forma de acertar por script, vai poupar trabalho.
Confrontando os resultados
Mantenha os relatórios das ferramentas de configuração. Quem vai apresentar o resultado do pentest conhece as ferramentas. Se há um comitê formado por diversas pessoas da infra, é possível que ali não estejam pessoas com conhecimento técnico relacionado a segurança, mas pessoas que farão perguntas sobre corrigir algo. Todo apontamento está relacionado a um serviço ou equipamento, que pode estar sob a responsabilidade de um membro do comitê. Use seus relatórios para explicar, afinal você conhece a infra melhor, e tem mais acessos.
Esteja atento e deixe claro a todos a diferença entre vulnerabilidade e recomendação. Uma recomendação de configuração não significa que há exposição ou algo a ser explorado. Usar o slide show do Windows para mensagens corporativas não é uma vulnerabilidade.
Conclusão
Deixe o pentester em paz.
Se você faz sua lição de casa, a infra dispõe de ferramentas e produtos de proteção, processos são seguidos e as configurações mandatórias são respeitadas, não há com o que se preocupar. Pouco coisa será apontada e tudo pode ser justificado.
Lembre-se que invasores exploram vulnerabilidades e falhas de configuração, e o pentester vai fazer o papel do invasor. Quanto mais você protege, menos será a chance de sucesso do invasor.
Mas não espere pelo pentest para fazer suas tarefas. Os invasores não se importam com você.
