Como usar teste de invasão para o controle A.12.6.1 da ISO 27001

Um famoso hacker, Kevin Mitnick, disse uma vez em uma ocasião: “Eu sou contratado por companhias para invadir seus sistemas e entrar em suas instalações físicas para encontrar falhas de segurança. Nossa taxa de sucesso é de 100%; nós sempre encontramos uma falha”.

Assim, provavelmente a questão agora em sua mente é – isso poderia ser evitado? O Sr. Mitnick diria não, mas ninguém deveria desistir por conta disso. Algo poderia ser feito para minimizar (ou eliminar) a possibilidade de invasão de um ambiente de TI. Basicamente, se você sabe quais são as suas vulnerabilidades antes que seus atacantes saibam, você estará mais protegido, assim deixe-me explicar isto em mais detalhes.

Análise de vulnerabilidade vs. Teste de invasão

Basicamente, quando você realiza uma análise de vulnerabilidade em seus sistemas de informação, você pode identificar todas as vulnerabilidades técnicas relacionadas a eles (e.g., Injeção de SQL, XSS, CSRF, senhas fracas, etc.). Mas, para a exploração destas você precisa realizar um teste de invasão.

Deixe-me explicar o item anterior. Imagine que você tenha um Sistema que é vulnerável a Injeção de SQL (método para realizar operações em uma base de dados). A análise de vulnerabilidade identificará esta vulnerabilidade. Após a análise de vulnerabilidade, o teste de invasão pode ser realizado e a vulnerabilidade pode ser explorada. Isto significa que você pode acessar o sistema vulnerável e ter acesso, ou até mesmo modificar ou excluir, informação confidencial (informação na base de dados sobre clientes, provedores, etc.).

Por outro lado, de acordo com o controle A.12.6.1 do Anexo A da ISO 27001:2013, você precisa prevenir a exploração de vulnerabilidades técnicas. Como fazer isso? Com a análise de vulnerabilidade ou com o teste de invasão? Ou, voltando ao exemplo anterior: para a prevenção da exploração da vulnerabilidade relacionada ao sistema, precisamos realizar o teste de invasão? A resposta é – não necessariamente, porque após a análise de vulnerabilidade nós sabemos que o Sistema é vulnerável, e ao repará-lo podemos evitar a vulnerabilidade de injeção de SQL. Assim, a próxima etapa, explorá-la, não é necessária.

Assim, se você quer estar em conformidade com a ISO 27001:2013 você pode realziar apenas a análise de vulnerabilidade, embora o teste de invasão seja uma boa prática, e é altamente recomendada se você quer saber quão vulnerável seus sistemas são (em nosso exemplo, queremos saber quais informações poderiam ser vistas por uma pessoa não autorizada).

Fases do teste de invasão

Caso você esteja pensando em realizar um teste de invasão para melhorar a implementação de sua ISO 27001, existem muitos utilitários e plataformas que você pode usar para automatizá-lo, mas minha recomendação é que você siga estas fases:

  • Planejamento: Planejamento das atividades, assim como a identificação de sistemas de informação e alvos envolvidos, a melhor hora para execução das atividades, e planejamento das reuniões com as pessoas envolvidas. Também é importante criar um acordo entre a organização e aquele que realiza o teste de invasão.
  • Coleta de informação: Precisamos coletar tanta informação quanto possível, o que é comumente conhecido como “footprinting”. Dois métodos comuns para se realizar o footprinting são o “OSINT” (encontrar, selecionar, obter, adquirir e analisar informação a partir de fontes públicas) e a “engenharia social” (obter informação através de perguntas a pessoas envolvidas no cenário do teste de invasão).
  • Modelagem de ameaça: Neste ponto, temos muita informação sobre nossos alvos, então é o momento de desenvolver estratégias para atacar os sistemas do cliente. Por exemplo, imagine um call center onde determinamos nas fases anteriores que toda a informação crítica sobre clientes está armazenada em uma base de dados interna. Assim, precisamos atacar esta base de dados.
  • Análise de vulnerabilidade: A questão aqui é, como atacamos a base de dados do call center? Vamos procurar por vulnerabilidades – precisamos identificar todas as vulnerabilidades relacionadas ao nosso alvo. E, como vimos na seção anterior, esta etapa pode ser obrigatória na ISO 27001.
  • Exploração: Exploração significa “usar algo para em vantagem própria”, assim precisamos explorar a vulnerabilidade identificada, para ganhar controle do Sistema vulnerável.
  • Pós-exploração: Uma vez que tenhamos obtido controle do Sistema, podemos acessá-lo, e baixar ou transferir a informação confidencial sobre os clientes. Ou talvez possamos tentar acessar outros recursos internos a partir de um sistema interno.
  • Reporte: Finalmente, precisamos desenvolver um reporte com os resultados. A recomendação aqui é fazer duas partes diferentes: um sumário técnico e um sumário executivo (para pessoas sem conhecimento técnico).

Phases_of_the_penetration_testing_PT

Figura – fases do teste de invasão

A propósito, você está interessado em análise de vulnerabilidade? Este artigo pode ser muito interessante para você: Como gerenciar vulnerabilidades técnicas de acordo com o controle A.12.6.1 da ISO 27001.

Outra questão importante é como definir o tipo de teste de invasão. Basicamente, existem dois tipos principais:

  • Caixa preta: Você não tem informação sobre a organização.
  • Caixa branca: A organização dá a você informação e pode também dar a você acesso aos sistemas e recursos internos.

Existe outra possibilidade que é uma mistura de caixa preta e caixa branca: a caixa cinza (a organização pode dar a você alguma informação sobre seus sistemas).

Ser ou não ser o primeiro

Existem muitas pessoas (hackers e expecialistas de qualquer tipo) ao redor do mundo constantemente vasculhando a Internet em busca de sistemas vulneráveis, e é impressionante a quantidade de equipamentos vulneráveis que você pode encontrar com apenas um mecanismo de busca. Assim, não espere – realize uma análise de vulnerabilidade, e se você quer estar mais seguro – realize um teste de invasão. E lembre-se que a implementação da ISO 27001 ajudará você a realizar a análise de vulnerabilidade (obrigatória) e teste de invasão (melhor prática) em sua organização, o que significa que a alta direção estará muito mais calma.

Caso você queira saber mais sobre a ISO 27001 e seus requisitos, use nossos  ISO 27001 Online Courses gratuitos.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Antonio Jose Segovia
Autor
Antonio Jose Segovia
Antonio Jose Segovia is an IT engineer, and he has many professional certifications in the IT sector. He is also ISO 27001 IRCA and Lead Auditor qualified by BUREAU VERITAS in ISO 27001, ISO 20000, ISO 22301, ISO 27018, GDPR, and TISAX, as well as being an expert in information security, an ethical hacker, and a university professor in an online Master of Information Security program. With more than 10 years of experience in the IT sector, he has visited companies of all kinds in Spain, Portugal, Italy, France, United Kingdom, USA, Chile, Peru, and Costa Rica.
Tag: #ISO 27001