Auditoria – Teste de invasão para proteção de redes corporativas

Auditoria – Teste de invasão para proteção de redes corporativas

Salve galera, o Artigo de hoje é sobre Auditoria, especializada em Teste de Invasão para Proteção de Redes Corporativas, falando sobre suas Vantagens, Importância e Estratégica, Motivações e Conceitos. Enfim, Boa leitura..

Introdução

Há diversos procedimentos de auditoria que têm por objetivo aferir a segurança de uma rede, sistema ou aplicação. Cada um deles tem suas características, objetivos, vantagens e desvantagens próprias. Com base nestes fatores, o auditor deve avaliar as necessidades do seu cliente a fim de definir qual auditoria de segurança é mais adequada para atendê-las, e oferecerá melhores resultados. A auditoria Teste de Invasão é uma das auditorias de segurança que podem ser realizadas sobre ativos do cliente. O principal diferencial deste tipo de auditoria é que a avaliação de segurança é realizada através de simulações de ataques reais aos ativos do cliente. Isto quer dizer que a auditoria Teste de Invasão vai além da simples identificação de potenciais vulnerabilidades. Ao contrário da simples identificação de vulnerabilidades, há verificação da representação de risco real destas, e apreciação do impacto associado à exploração destas vulnerabilidades sobre a segurança da informação e o próprio negócio do cliente.
A auditoria Teste de Invasão é uma das auditorias de segurança que podem ser realizadas sobre ativos do cliente. O principal diferencial deste tipo de auditoria é que a avaliação de segurança é realizada através de simulações de ataques reais aos ativos do cliente. Isto quer dizer que a auditoria Teste de Invasão vai além da simples identificação de potenciais vulnerabilidades, incluindo a avaliação do risco real que estas vulnerabilidades representam para o cliente e a apreciação do impacto associado à exploração das mesmas sobre a segurança da informação e o próprio negócio do cliente.
Motivação para se realizar uma auditoria Teste de Invasão
O benefício gerado pela contratação de uma auditoria Teste de Invasão é difícil de definir para uma equipe gerencial (Return of Investment – ROI), pois qualquer auditoria é, por natureza, um procedimento preventivo, que visa mitigar pró-ativamente um problema que ainda não surgiu. Uma forma de mensurar o benefício que uma auditoria Teste de Invasão traria a uma organização é comparar o custo da auditoria ao prejuízo estimado de um ataque bem sucedido, incluindo prejuízos associados a indisponibilidade de sites comerciais, ações judiciais por quebra de sigilo de informações de terceiros e até desconfiança dos clientes em manter sua relação comercial com a organização.
Além disto, a auditoria Teste de Invasão oferece uma visão ampla sobre a segurança da organização, permitindo homologar a segurança da mesma como um todo. Isto é, ainda que se implemente um mecanismo de segurança complexo para uma aplicação crítica, é possível que haja vulnerabilidades em outras aplicações ou até outros ativos que permitam contornar este mecanismo e comprometer a segurança da informação e dos próprios usuários. De nada adianta, por exemplo, um modelo complexo de segurança em camadas, firewalls duplos, redundância e IDSs distribuídos, se um usuário utiliza por exemplo a senha “12345″.
Finalmente, auditorias Teste de Invasão periódicas cada vez mais tem aparecido como requisito para conformidade com normas internacionais. No Brasil, este requisito já é exigido pelos padrões de segurança PCI-DSS e a família ABNT 27000.
Características das auditorias Teste de Invasão
Uma auditoria Teste de Invasão deve ser conduzida de forma totalmente transparente, ou seja, o escopo da auditoria deve ser cuidadosamente definido e todas as simulações de ataque modeladas devem ser apresentadas previamente ao cliente para aprovação. Em seguida, todo o processo deve ser minuciosamente documentado para que o cliente possa, de maneira simples, identificar quais atividades ofensivas são oriundas da auditoria. Além disto, é importante que o auditor seja capaz de estimar os impactos (inclusive efeitos colaterais) de cada vetor a ser explorado, pois o cliente pode querer limitar os testes temendo algum tipo de impacto no seu negócio.
Outros aspectos importantes que devem ser definidos antes da execução da auditoria são: a posição do auditor em relação aos ativos contemplados, o nível de conhecimento do auditor e da equipe de gerência técnica dos ativos sobre a auditoria. Estes aspectos são importantes, pois influenciam diretamente na forma como o teste é realizado e quais técnicas podem ser utilizadas.
Primeiramente, a posição do auditor em relação aos ativos contemplados diz respeito à localização da origem das simulações de ataque, isto é, a auditoria será realizada dentro da rede interna ou a partir da Internet. A definição deste aspecto permite avaliar a segurança dos ativos frente a ameaças públicas vindas de opositores externos (auditoria externa) ou de ex-funcionários insafisfeitos que se aproveitam do acesso interno que ainda possuem (auditoria interna).
Em seguida, o nível de conhecimento do auditor sobre os ativos diz respeito à quantidade de informação que é fornecida sobre os ativos. A definição deste aspecto permite avaliar a segurança dos ativos frente a ataques realizados por opositores que só conhecem informações públicas sobre os ativos (auditoria caixa preta) ou de ex-funcionários ou ex-desenvolvedores que tem amplo conhecimento sobre a forma como a aplicação funciona (auditoria caixa branca).
Finalmente, o nível de conhecimento da equipe de gerência técnica destes ativos sobre a auditoria diz respeito ao quanto esta equipe sabe sobre a auditoria. A divulgação da realização da auditoria (auditoria anunciada), por um lado, pode evitar que mudanças inadvertidas nos ativos contemplados sejam feitas durante a auditoria, alterando do resultado de algumas simulações de ataque, mas, por outro lado, pode ser encarada pela equipe técnica como uma verificação da qualidade do seu trabalho, que pode propositalmente fazer modificações temporárias que forneçam resultados enganosos para a auditoria. Já a não divulgação da realização da auditoria (auditoria não-anunciada) permite que o cliente avalie a capacidade da equipe técnica em detectar e reagir as simulações de ataque, no entanto pode dificultar a divulgação de informações sobre os ativos para auditorias caixa branca.
Conclusão
Com as constantes e aceleradas mudanças na área de TI, novas ferramentas, sistemas e protocolos surgem a cada dia, tornando tantas outras obsoletas. O mesmo vale para técnicas de ataque e ferramentas associadas. Para ser um bom profissional de segurança é preciso, mais do que dominar suas ferramentas de trabalho, entender conceitos e técnicas por trás de cada ferramenta. Só assim você será capaz de modelar seus ataques, dimensionar seu trabalho e aplicar com confiança o que sabe, através do ferramental mais atual e técnicas mais adequadas àquele problema.

Related Posts