Antonio Jose Segovia
janeiro 20, 2016
Um famoso hacker, Kevin Mitnick, disse uma vez em uma ocasião: “Eu sou contratado por companhias para invadir seus sistemas e entrar em suas instalações físicas para encontrar falhas de segurança. Nossa taxa de sucesso é de 100%; nós sempre encontramos uma falha”.
Assim, provavelmente a questão agora em sua mente é – isso poderia ser evitado? O Sr. Mitnick diria não, mas ninguém deveria desistir por conta disso. Algo poderia ser feito para minimizar (ou eliminar) a possibilidade de invasão de um ambiente de TI. Basicamente, se você sabe quais são as suas vulnerabilidades antes que seus atacantes saibam, você estará mais protegido, assim deixe-me explicar isto em mais detalhes.
Basicamente, quando você realiza uma análise de vulnerabilidade em seus sistemas de informação, você pode identificar todas as vulnerabilidades técnicas relacionadas a eles (e.g., Injeção de SQL, XSS, CSRF, senhas fracas, etc.). Mas, para a exploração destas você precisa realizar um teste de invasão.
Deixe-me explicar o item anterior. Imagine que você tenha um Sistema que é vulnerável a Injeção de SQL (método para realizar operações em uma base de dados). A análise de vulnerabilidade identificará esta vulnerabilidade. Após a análise de vulnerabilidade, o teste de invasão pode ser realizado e a vulnerabilidade pode ser explorada. Isto significa que você pode acessar o sistema vulnerável e ter acesso, ou até mesmo modificar ou excluir, informação confidencial (informação na base de dados sobre clientes, provedores, etc.).
Por outro lado, de acordo com o controle A.12.6.1 do Anexo A da ISO 27001:2013, você precisa prevenir a exploração de vulnerabilidades técnicas. Como fazer isso? Com a análise de vulnerabilidade ou com o teste de invasão? Ou, voltando ao exemplo anterior: para a prevenção da exploração da vulnerabilidade relacionada ao sistema, precisamos realizar o teste de invasão? A resposta é – não necessariamente, porque após a análise de vulnerabilidade nós sabemos que o Sistema é vulnerável, e ao repará-lo podemos evitar a vulnerabilidade de injeção de SQL. Assim, a próxima etapa, explorá-la, não é necessária.
Assim, se você quer estar em conformidade com a ISO 27001:2013 você pode realziar apenas a análise de vulnerabilidade, embora o teste de invasão seja uma boa prática, e é altamente recomendada se você quer saber quão vulnerável seus sistemas são (em nosso exemplo, queremos saber quais informações poderiam ser vistas por uma pessoa não autorizada).
Caso você esteja pensando em realizar um teste de invasão para melhorar a implementação de sua ISO 27001, existem muitos utilitários e plataformas que você pode usar para automatizá-lo, mas minha recomendação é que você siga estas fases:
Figura – fases do teste de invasão
A propósito, você está interessado em análise de vulnerabilidade? Este artigo pode ser muito interessante para você: Como gerenciar vulnerabilidades técnicas de acordo com o controle A.12.6.1 da ISO 27001.
Outra questão importante é como definir o tipo de teste de invasão. Basicamente, existem dois tipos principais:
Existe outra possibilidade que é uma mistura de caixa preta e caixa branca: a caixa cinza (a organização pode dar a você alguma informação sobre seus sistemas).
Existem muitas pessoas (hackers e expecialistas de qualquer tipo) ao redor do mundo constantemente vasculhando a Internet em busca de sistemas vulneráveis, e é impressionante a quantidade de equipamentos vulneráveis que você pode encontrar com apenas um mecanismo de busca. Assim, não espere – realize uma análise de vulnerabilidade, e se você quer estar mais seguro – realize um teste de invasão. E lembre-se que a implementação da ISO 27001 ajudará você a realizar a análise de vulnerabilidade (obrigatória) e teste de invasão (melhor prática) em sua organização, o que significa que a alta direção estará muito mais calma.
Caso você queira saber mais sobre a ISO 27001 e seus requisitos, use nossos ISO 27001 Online Courses gratuitos.
Nós agradecemos a Rhand Leal pela tradução para o português.