verificar, juntamente com os profissionais que executam pentests, quais são as metodo- logias que estes utilizam e as razões para adoção dessas metodologias. As razões para adoção das metodologias, bem como demais informações sobre elas, servem de subsídio para construção do framework Tramonto. Este estudo é caracterizado como qualitativo, de cunho exploratório, e possui como procedimento uma pesquisa de campo apoiada em questionário.
4.1 Participantes
Os participantes desse estudo são profissionais que trabalham com pentest. Es- ses participantes foram identificados a partir de uma conferência da área de Segurança realizada em São Paulo. Participaram 29 profissionais que atenderam os critérios de inclu- são para a participação, que eram: 1) ter tido alguma experiência de trabalho executando Pentest e 2) autorizar o uso das informações fornecidas como respostas do questionário para o estudo. O critério de exclusão seria aplicado caso o profissional não autorizasse disponibilizar as informações.
A Tabela 4.1 apresenta a caracterização dos participantes neste estudo, definida com os atributos: ID, identificador do participante; País, país onde o participante atua pro- fissionalmente; Faixa Etária, faixa etária do participante; e TE, tempo de experiência do participante com pentest, onde foi proposta a seguinte categorização:
• + - menos de 1 ano; • ++ - entre 1 e 3 anos; • +++ - entre 4 e 6 anos; • ++++ - entre 7 e 10 anos; • +++++ - mais de 10 anos;
As perguntas iniciais do questionário mapearam o perfil dos participantes sobre faixa etária e tempo de experiência com pentest. Dentre os 29 participantes, 22 encontram- se nas faixas etárias que compreendem o intervalo de idade entre 26 a 35 anos, sendo 11 participantes na faixa entre 31 e 35 anos e 11 participantes na faixa entre 26 e 30 anos. Já em relação ao tempo de experiência, embora com participantes de faixas etárias mais
Tabela 4.1 – Caracterização dos participantes.
ID PAÍS FAIXA ETÁRIA TE
P1 Guatemala Entre 31 e 35 anos +++++ P2 Brasil Menor que 25 anos ++++ P3 Brasil Entre 31 e 35 anos +++++ P4 Brasil Entre 31 e 35 anos +++++
P5 Brasil Mais que 51 anos +++++
P6 Brasil Entre 31 e 35 anos +++ P7 Brasil Entre 31 e 35 anos +++++ P8 Brasil Entre 26 e 30 anos ++ P9 Brasil Entre 31 e 35 anos ++ P10 Brasil Entre 41 e 45 anos + P11 Brasil Menor que 25 anos + P12 Brasil Entre 26 e 30 anos +++ P13 Brasil Entre 26 e 30 anos + P14 Brasil Menor que 25 anos + P15 Brasil Entre 26 e 30 anos ++ P16 Brasil Entre 31 e 35 anos +++++ P17 Brasil Entre 31 e 35 anos + P18 Brasil Entre 26 e 30 anos +++ P19 Brasil Entre 31 e 35 anos ++ P20 Brasil Entre 31 e 35 anos +++ P21 Vietname Entre 26 e 30 anos +++++
P22 EUA Entre 26 e 30 anos +
P23 Brasil Entre 36 e 40 anos + P24 Brasil Entre 26 e 30 anos ++ P25 Nova Zelândia Entre 26 e 30 anos ++ P26 Brasil Entre 26 e 30 anos +++ P27 Brasil Entre 26 e 30 anos ++ P28 Brasil Entre 31 e 35 anos ++++
P29 EUA Menor que 25 anos +
baixas, apresentam-se profissionais experientes com pentests. Dos participantes, ressalta- se que 7 possuem mais de 10 anos de experiência em contato com a área, enquanto outros 7 participantes estão compreendidos nas faixas de mínimo 4 anos e máximo 10 anos de experiência.
4.2 Procedimentos de Coleta e Análise dos Dados
Em relação aos procedimentos de coleta de dados, os profissionais participantes foram convidados a responder um questionário online, enviado para o e-mail de cada par-
ticipante, composto por cinco perguntas além das informações básicas de identificação do respondente. A estrutura das perguntas do questionário está disponível no Apêndice A.
O questionário foi constituído de uma pergunta de resposta breve, duas perguntas de múltipla escolha e duas perguntas abertas que foram analisadas posteriormente. O uso de perguntas de múltipla escolha, em suma, visa a facilidade de aplicação, do ato de responder e do processo de análise.
As perguntas abertas, por sua vez, foram estabelecidas como marco inicial das descobertas sobre o uso das metodologias e de suas vantagens e desvantagens. Assim, após os participantes terem respondido o questionário, suas respostas dissertativas foram analisadas. O método utilizado para análise foi o de Análise de Conteúdo [9], seguindo as etapas: pré-análise, codificação e tratamento dos resultados.
Figura 4.1 – Atividades do Estudo Prévio durante as etapas da Análise de Conteúdo. Neste estudo, de acordo com a Figura 4.1, a etapa de Pré-Análise envolveu a tabulação das respostas dissertativas obtidas pelas perguntas abertas. Em um segundo momento, na etapa de Codificação, foram criadas as categorias de análise a partir da leitura dos dados. A partir disso, esses dados referentes aos conteúdos das respostas foram selecionados e inseridos nas respectivas categorias criadas. Assim, foi possível efetuar a discussão sobre os dados, tarefa que compõe a etapa de Tratamento dos Resultados. Os resultados e discussão são apresentados na seção a seguir abordando os seguintes tópicos de discussão: as metodologias conhecidas/utilizadas pelos participantes e as vantagens na adoção de metodologias durante os testes.
4.3 Resultados e Discussão
Para facilitar a apresentação e a discussão dos resultados, as análises realizadas foram divididas e estão contidas nas seções 4.3.1 e 4.3.2.
4.3.1 Conhecendo o uso das metodologias
Inicialmente, os participantes responderam sobre estarem ou não utilizando al- guma metodologia para executar os pentests. Em caso afirmativo, foi questionado (em for- mato de pergunta aberta) quais as metodologias são utilizadas nos seus testes. Assim, os participantes indicaram a(s) metodologia(s) conforme sua experiência. Do total de partici- pantes, 14 informaram não utilizar nenhuma metodologia ou usar uma metodologia própria. Os outros 15 participantes indicaram a utilização de alguma metodologia consolidada para a execução de pentest. Desses 15 participantes que utilizam alguma metodologia para seus testes, 9 indicaram utilizar a metodologia da OWASP, conforme apresentado na Figura 4.2. Ainda nesse sentido, a ordem da quantidade de indicações das metodologias utilizadas pe- los profissionais foi: OWASP (9 indicações), OSSTMM (5 indicações), NIST (4 indicações), PTES (3 indicações), ISSAF (2 indicações).
9 4 5 2 3 14 Qu ant idade de Par ticip ant es 0 5 10 15
OWASP NIST OSSTMM ISSAF PTES Não utiliza /
Própria