Home Tutoriais Redes Auditorias Teste de Invasão para Proteção de Redes Corporativas


Introdução

Há diversos procedimentos de auditoria que têm por objetivo aferir a segurança de uma rede, sistema ou aplicação. Cada um deles tem suas características, objetivos, vantagens e desvantagens próprias.
Com base nestes fatores, o auditor deve avaliar as necessidades de seu cliente a fim de definir qual auditoria de segurança é a mais adequada para atendê-las, e assim oferecer melhores resultados.

A auditoria Teste de Invasão é uma das auditorias de segurança que podem ser realizadas sobre ativos do cliente. O principal diferencial deste tipo de auditoria é que a avaliação de segurança é realizada através de simulações de ataques reais aos ativos do cliente.

Isto quer dizer que a auditoria Teste de Invasão vai além da simples identificação de potenciais vulnerabilidades. Ao contrário da simples identificação de vulnerabilidades, há verificação da representação de risco real destas e apreciação do impacto associado à exploração destas vulnerabilidades sobre a segurança da informação, além do próprio negócio do cliente.

A auditoria Teste de Invasão é uma das auditorias de segurança que podem ser realizadas sobre ativos do cliente. O principal diferencial deste tipo de auditoria é que a avaliação de segurança é realizada através de simulações de ataques reais aos ativos do cliente.

Motivação para realizar uma auditoria Teste de Invasão

O benefício gerado pela contratação de uma auditoria Teste de Invasão é difícil de definir para uma equipe gerencial (Return of Investment – ROI), pois qualquer auditoria é, por natureza, um procedimento preventivo, que visa mitigar, pró-ativamente, um problema que ainda não surgiu.

Uma forma de mensurar o benefício que uma auditoria Teste de Invasão traria a uma organização é comparar o custo da auditoria ao prejuízo estimado de um ataque bem sucedido, incluindo prejuízos associados à indisponibilidade de sites comerciais, ações judiciais por quebra de sigilo de informações de terceiros e até desconfiança dos clientes em manter sua relação comercial com a organização.

Além disso, a auditoria Teste de Invasão oferece uma visão ampla sobre a segurança da organização, permitindo homologar a segurança da mesma como um todo. Isto é, ainda que se implemente um mecanismo de segurança complexo para uma aplicação crítica, é possível que haja vulnerabilidades em outras aplicações ou até outros ativos que permitam contornar este mecanismo e comprometer a segurança da informação e dos próprios usuários.

De nada adianta, por exemplo, um modelo complexo de segurança em camadas, firewalls duplos, redundância e IDSs distribuídos, se um usuário utiliza por exemplo a senha “12345”.

Finalmente, auditorias Teste de Invasão periódicas cada vez mais tem aparecido como requisito para conformidade com normas internacionais. No Brasil, este requisito já é exigido pelos padrões de segurança PCI-DSS e a família ABNT 27000.

Características das auditorias Teste de Invasão

Uma auditoria Teste de Invasão deve ser conduzida de forma totalmente transparente, ou seja, o escopo da auditoria deve ser cuidadosamente definido e todas as simulações de ataque modeladas, devem ser apresentadas previamente ao cliente para aprovação.

Em seguida, todo o processo deve ser minuciosamente documentado para que o cliente possa, de maneira simples, identificar quais atividades ofensivas são oriundas da auditoria. Além disto, é importante que o auditor seja capaz de estimar os impactos (inclusive efeitos colaterais) de cada vetor a ser explorado, pois o cliente pode querer limitar os testes temendo algum tipo de impacto no seu negócio.

Outros aspectos importantes que devem ser definidos antes da execução da auditoria são:

  • A posição do auditor em relação aos ativos contemplados;
  • O nível de conhecimento do auditor;
  • O nível da equipe de gerência técnica dos ativos sobre a auditoria.
Estes aspectos são importantes, pois influenciam diretamente na forma como o teste é realizado e quais técnicas podem ser utilizadas.

Primeiramente, a posição do auditor em relação aos ativos contemplados diz respeito à localização da origem das simulações de ataque, isto é, a auditoria será realizada dentro da rede interna ou a partir da Internet.

A definição deste aspecto permite avaliar a segurança dos ativos frente às ameaças públicas vindas de opositores externos (auditoria externa) ou de ex-funcionários insatisfeitos, que se aproveitam do acesso interno que ainda possuem (auditoria interna).

Em seguida, o nível de conhecimento do auditor sobre os ativos diz respeito à quantidade de informação que é fornecida sobre os ativos. A definição deste aspecto permite avaliar a segurança dos ativos frente a ataques realizados por opositores que só conhecem informações públicas sobre os ativos (auditoria caixa preta), ou de ex-funcionários ou ex-desenvolvedores, que têm amplo conhecimento sobre a forma como a aplicação funciona (auditoria caixa branca).

Finalmente, o nível de conhecimento da equipe de gerência técnica destes ativos sobre a auditoria diz respeito ao quanto esta equipe sabe sobre a auditoria.

A divulgação da realização da auditoria (auditoria anunciada), por um lado, pode evitar que mudanças inadvertidas nos ativos contemplados sejam feitas durante a auditoria, alterando o resultado de algumas simulações de ataque, mas, por outro lado, pode ser encarada pela equipe técnica como uma verificação da qualidade do seu trabalho, que pode, propositalmente, fazer modificações temporárias que forneçam resultados enganosos para a auditoria.

Já a não divulgação da realização da auditoria (auditoria não-anunciada), permite que o cliente avalie a capacidade da equipe técnica em detectar e reagir às simulações de ataque, no entanto, pode dificultar a divulgação de informações sobre os ativos para auditorias caixa branca.

   

Leave a Reply

This blog is kept spam free by WP-SpamFree.