{"id":8413,"date":"2016-01-20T11:29:06","date_gmt":"2016-01-20T11:29:06","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=8413"},"modified":"2022-07-17T15:43:26","modified_gmt":"2022-07-17T15:43:26","slug":"como-usar-teste-de-invasao-para-o-controle-a-12-6-1-da-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2016\/01\/20\/como-usar-teste-de-invasao-para-o-controle-a-12-6-1-da-iso-27001\/","title":{"rendered":"Como usar teste de invas\u00e3o para o controle A.12.6.1 da ISO 27001"},"content":{"rendered":"<p>Um famoso hacker, Kevin Mitnick, disse uma vez em uma ocasi\u00e3o: \u201cEu sou contratado por companhias para invadir seus sistemas e entrar em suas instala\u00e7\u00f5es f\u00edsicas para encontrar falhas de seguran\u00e7a. Nossa taxa de sucesso \u00e9 de 100%; n\u00f3s sempre encontramos uma falha\u201d.<\/p>\n<p>Assim, provavelmente a quest\u00e3o agora em sua mente \u00e9 \u2013 isso poderia ser evitado? O Sr. Mitnick diria n\u00e3o, mas ningu\u00e9m deveria desistir por conta disso. Algo poderia ser feito para minimizar (ou eliminar) a possibilidade de invas\u00e3o de um ambiente de TI. Basicamente, se voc\u00ea sabe quais s\u00e3o as suas vulnerabilidades antes que seus atacantes saibam, voc\u00ea estar\u00e1 mais protegido, assim deixe-me explicar isto em mais detalhes.<\/p>\n<h2>An\u00e1lise de vulnerabilidade vs. Teste de invas\u00e3o<\/h2>\n<p>Basicamente, quando voc\u00ea realiza uma an\u00e1lise de vulnerabilidade em seus sistemas de informa\u00e7\u00e3o, voc\u00ea pode identificar todas as vulnerabilidades t\u00e9cnicas relacionadas a eles (e.g., Inje\u00e7\u00e3o de SQL, XSS, CSRF, senhas fracas, etc.). Mas, para a explora\u00e7\u00e3o destas voc\u00ea precisa realizar um teste de invas\u00e3o.<\/p>\n<p>Deixe-me explicar o item anterior. Imagine que voc\u00ea tenha um Sistema que \u00e9 vulner\u00e1vel a Inje\u00e7\u00e3o de SQL (m\u00e9todo para realizar opera\u00e7\u00f5es em uma base de dados). A an\u00e1lise de vulnerabilidade identificar\u00e1 esta vulnerabilidade. Ap\u00f3s a an\u00e1lise de vulnerabilidade, o teste de invas\u00e3o pode ser realizado e a vulnerabilidade pode ser explorada. Isto significa que voc\u00ea pode acessar o sistema vulner\u00e1vel e ter acesso, ou at\u00e9 mesmo modificar ou excluir, informa\u00e7\u00e3o confidencial (informa\u00e7\u00e3o na base de dados sobre clientes, provedores, etc.).<\/p>\n<p>Por outro lado, de acordo com o <a href=\"\/27001academy\/pt-br\/documentation\/declaracao-de-aplicabilidade\/\" target=\"_blank\" rel=\"noopener\">controle A.12.6.1<\/a>\u00a0do Anexo A da\u00a0<a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001:2013<\/a>, voc\u00ea precisa prevenir a explora\u00e7\u00e3o de vulnerabilidades t\u00e9cnicas. Como fazer isso? Com a an\u00e1lise de vulnerabilidade ou com o teste de invas\u00e3o? Ou, voltando ao exemplo anterior: para a preven\u00e7\u00e3o da explora\u00e7\u00e3o da vulnerabilidade relacionada ao sistema, precisamos realizar o teste de invas\u00e3o? A resposta \u00e9 \u2013 n\u00e3o necessariamente, porque ap\u00f3s a an\u00e1lise de vulnerabilidade n\u00f3s sabemos que o Sistema \u00e9 vulner\u00e1vel, e ao repar\u00e1-lo podemos evitar a vulnerabilidade de inje\u00e7\u00e3o de SQL. Assim, a pr\u00f3xima etapa, explor\u00e1-la, n\u00e3o \u00e9 necess\u00e1ria.<\/p>\n<p>Assim, se voc\u00ea quer estar em conformidade com a ISO 27001:2013 voc\u00ea pode realziar apenas a <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/anexo-1-tabela-de-avaliacao-de-riscos\/\" target=\"_blank\" rel=\"noopener\">an\u00e1lise de vulnerabilidade<\/a>, embora o teste de invas\u00e3o seja uma boa pr\u00e1tica, e \u00e9 altamente recomendada se voc\u00ea quer saber qu\u00e3o vulner\u00e1vel seus sistemas s\u00e3o (em nosso exemplo, queremos saber quais informa\u00e7\u00f5es poderiam ser vistas por uma pessoa n\u00e3o autorizada).<\/p>\n<h2>Fases do teste de invas\u00e3o<\/h2>\n<p>Caso voc\u00ea esteja pensando em realizar um teste de invas\u00e3o para melhorar a implementa\u00e7\u00e3o de sua ISO 27001, existem muitos utilit\u00e1rios e plataformas que voc\u00ea pode usar para automatiz\u00e1-lo, mas minha recomenda\u00e7\u00e3o \u00e9 que voc\u00ea siga estas fases:<\/p>\n<ul>\n<li><strong>Planejamento<\/strong>: Planejamento das atividades, assim como a identifica\u00e7\u00e3o de sistemas de informa\u00e7\u00e3o e alvos envolvidos, a melhor hora para execu\u00e7\u00e3o das atividades, e planejamento das reuni\u00f5es com as pessoas envolvidas. Tamb\u00e9m \u00e9 importante criar um acordo entre a organiza\u00e7\u00e3o e aquele que realiza o teste de invas\u00e3o.<\/li>\n<li><strong>Coleta de informa\u00e7\u00e3o<\/strong>: Precisamos coletar tanta informa\u00e7\u00e3o quanto poss\u00edvel, o que \u00e9 comumente conhecido como \u201cfootprinting\u201d. Dois m\u00e9todos comuns para se realizar o footprinting s\u00e3o o \u201cOSINT\u201d (encontrar, selecionar, obter, adquirir e analisar informa\u00e7\u00e3o a partir de fontes p\u00fablicas) e a \u201cengenharia social\u201d (obter informa\u00e7\u00e3o atrav\u00e9s de perguntas a pessoas envolvidas no cen\u00e1rio do teste de invas\u00e3o).<\/li>\n<li><strong>Modelagem de amea\u00e7a<\/strong>: Neste ponto, temos muita informa\u00e7\u00e3o sobre nossos alvos, ent\u00e3o \u00e9 o momento de desenvolver estrat\u00e9gias para atacar os sistemas do cliente. Por exemplo, imagine um call center onde determinamos nas fases anteriores que toda a informa\u00e7\u00e3o cr\u00edtica sobre clientes est\u00e1 armazenada em uma base de dados interna. Assim, precisamos atacar esta base de dados.<\/li>\n<li><strong>An\u00e1lise de vulnerabilidade<\/strong>: A quest\u00e3o aqui \u00e9, como atacamos a base de dados do call center? Vamos procurar por vulnerabilidades \u2013 precisamos identificar todas as vulnerabilidades relacionadas ao nosso alvo. E, como vimos na se\u00e7\u00e3o anterior, esta etapa pode ser obrigat\u00f3ria na ISO 27001.<\/li>\n<li><strong>Explora\u00e7\u00e3o<\/strong>: Explora\u00e7\u00e3o significa \u201cusar algo para em vantagem pr\u00f3pria\u201d, assim precisamos explorar a vulnerabilidade identificada, para ganhar controle do Sistema vulner\u00e1vel.<\/li>\n<li><strong>P\u00f3s-explora\u00e7\u00e3o<\/strong>: Uma vez que tenhamos obtido controle do Sistema, podemos acess\u00e1-lo, e baixar ou transferir a informa\u00e7\u00e3o confidencial sobre os clientes. Ou talvez possamos tentar acessar outros recursos internos a partir de um sistema interno.<\/li>\n<li><strong>Reporte<\/strong>: Finalmente, precisamos desenvolver um <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/anexo-2-relatorio-de-auditoria-interna\/\" target=\"_blank\" rel=\"noopener\">reporte<\/a>\u00a0com os resultados. A recomenda\u00e7\u00e3o aqui \u00e9 fazer duas partes diferentes: um sum\u00e1rio t\u00e9cnico e um sum\u00e1rio executivo (para pessoas sem conhecimento t\u00e9cnico).<\/li>\n<\/ul>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-8414 size-full\" src=\"\/wp-content\/uploads\/\/sites\/5\/2016\/01\/Phases_of_the_penetration_testing_PT.png\" alt=\"Phases_of_the_penetration_testing_PT\" width=\"576\" height=\"336\" srcset=\"\/wp-content\/uploads\/sites\/5\/2016\/01\/Phases_of_the_penetration_testing_PT.png 576w, \/wp-content\/uploads\/sites\/5\/2016\/01\/Phases_of_the_penetration_testing_PT-300x175.png 300w\" sizes=\"(max-width: 576px) 100vw, 576px\" \/><\/p>\n<p style=\"text-align: center;\"><span style=\"font-size: 14px;\"><em>Figura \u2013 fases do teste de invas\u00e3o<\/em><\/span><\/p>\n<p>A prop\u00f3sito, voc\u00ea est\u00e1 interessado em an\u00e1lise de vulnerabilidade? Este artigo pode ser muito interessante para voc\u00ea:\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2015\/10\/17\/como-gerenciar-vulnerabilidades-tecnicas-de-acordo-com-o-controle-a-12-6-1-da-iso-27001\/\" target=\"_blank\" rel=\"noopener\">Como gerenciar vulnerabilidades t\u00e9cnicas de acordo com o controle A.12.6.1 da ISO 27001<\/a>.<\/p>\n<p>Outra quest\u00e3o importante \u00e9 como definir o tipo de teste de invas\u00e3o. Basicamente, existem dois tipos principais:<\/p>\n<ul>\n<li><strong>Caixa preta<\/strong>: Voc\u00ea n\u00e3o tem informa\u00e7\u00e3o sobre a organiza\u00e7\u00e3o.<\/li>\n<li><strong>Caixa branca<\/strong>: A organiza\u00e7\u00e3o d\u00e1 a voc\u00ea informa\u00e7\u00e3o e pode tamb\u00e9m dar a voc\u00ea acesso aos sistemas e recursos internos.<\/li>\n<\/ul>\n<p>Existe outra possibilidade que \u00e9 uma mistura de caixa preta e caixa branca: a caixa cinza (a organiza\u00e7\u00e3o pode dar a voc\u00ea alguma informa\u00e7\u00e3o sobre seus sistemas).<\/p>\n<h2>Ser ou n\u00e3o ser o primeiro<\/h2>\n<p>Existem muitas pessoas (hackers e expecialistas de qualquer tipo) ao redor do mundo constantemente vasculhando a Internet em busca de sistemas vulner\u00e1veis, e \u00e9 impressionante a quantidade de equipamentos vulner\u00e1veis que voc\u00ea pode encontrar com apenas um mecanismo de busca. Assim, n\u00e3o espere \u2013 realize uma an\u00e1lise de vulnerabilidade, e se voc\u00ea quer estar mais seguro \u2013 realize um teste de invas\u00e3o. E lembre-se que a implementa\u00e7\u00e3o da ISO 27001 ajudar\u00e1 voc\u00ea a realizar a an\u00e1lise de vulnerabilidade (obrigat\u00f3ria) e teste de invas\u00e3o (melhor pr\u00e1tica) em sua organiza\u00e7\u00e3o, o que significa que a alta dire\u00e7\u00e3o estar\u00e1 muito mais calma.<\/p>\n<p style=\"text-align: left;\"><em>Caso voc\u00ea queira saber mais sobre a ISO 27001 e seus requisitos,\u00a0use nossos \u00a0<\/em><a href=\"https:\/\/advisera.com\/training\/?icn-=online-training-27001&amp;ici=bottom-iso-27001-online-courses-txt\" target=\"_blank\" rel=\"noopener\">ISO 27001 Online Courses<\/a><em> gratuitos.<\/em><\/p>\n<p style=\"text-align: left;\">N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Um famoso hacker, Kevin Mitnick, disse uma vez em uma ocasi\u00e3o: \u201cEu sou contratado por companhias para invadir seus sistemas e entrar em suas instala\u00e7\u00f5es f\u00edsicas para encontrar falhas de seguran\u00e7a. Nossa taxa de sucesso \u00e9 de 100%; n\u00f3s sempre encontramos uma falha\u201d. Assim, provavelmente a quest\u00e3o agora em sua mente \u00e9 \u2013 isso poderia &#8230;<\/p>\n","protected":false},"author":35,"featured_media":8414,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-8413","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/8413","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=8413"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/8413\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/8414"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=8413"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=8413"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=8413"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}