penetration-testingCom os ataques cibernéticos se tornando cada vez mais comuns, é mais importante do que nunca realizar varreduras de vulnerabilidades regulares e testes de penetração, para identificar vulnerabilidades e garantir em uma base regular que os controles cibernéticos estejam funcionando. Geraint Williams, Consultor Sênior em Governança de TI, explica que a verificação de vulnerabilidades analisa os ativos expostos (rede, servidores, aplicativos) para as falhas existentes.

Porém, o lado negativo de uma varredura de vulnerabilidade é que os falsos positivos são frequentemente relatados. Os falsos positivos podem ser um sinal de que um controle existente não esteja sendo totalmente eficaz, ou seja, higienização de entrada e saída do aplicativo, especialmente em aplicações Web.”

Os testes de penetração visam detectar as vulnerabilidades e irão tentar explorá-los. O teste é muitas vezes, interrompido quando o objetivo é alcançado, ou seja, quando o acesso a uma rede for adquirido – isso significa que pode haver outras vulnerabilidades exploráveis ​​não testadas”. Além disso, as organizações precisam realizar testes regulares de seus sistemas, pelas seguintes razões:

– Para determinar a fraqueza na infraestrutura (hardware), uma aplicação (software) e o comportamento das pessoas, a fim de desenvolver controles.

– Para garantir controles que foram implementados e são eficazes – oferecendo a garantia de segurança da informação e um processo de gerenciamento sênior.

– Para testar aplicações que muitas vezes são as vias de ataque (as aplicações são construídas por pessoas que podem cometer erros, apesar de melhores práticas em desenvolvimento de software).

– Para descobrir novos bugs no software existente (patches e atualizações podem corrigir as vulnerabilidades existentes, mas também podem introduzir novas vulnerabilidades).

Nesse contexto, Geraint acrescenta: “Se as pessoas são atacadas por meio de engenharia social, este ignora os controles mais fortes e expõe os ativos internos que estiverem menos protegidos. A pior situação é ter uma vulnerabilidade explorável na infraestrutura, aplicação ou pessoas que não estejam cientes disso, devido aos atacantes sondarem os seus bens, mesmo se você não os tenha. Além disso, as violações, mesmo as menos exploradas pelos atacantes, podem passar imperceptíveis por meses.

Varreduras, Detecção de Invasões e Violações

Além do mais, as varreduras de vulnerabilidades e testes de penetração também podem testar a capacidade que as organizações tem de detectar invasões e violações. As organizações precisam analisar a infraestrutura disponível e as aplicações externas, para proteger contra as ameaças externas. Eles também precisam realizar varreduras, internamente, para proteger contra ameaças internas e indivíduos comprometidos. O teste interno deve incluir os controles entre diferentes zonas de segurança (DMZ, Cardholder data environment, SCADA environment, etc) para garantir que estes estejam configurados corretamente.

Regularidade na Realização dos Pentests

Ressaltando que os testes de penetração devem ser realizados regularmente, para detectar vulnerabilidades recém-descobertas, até então desconhecidas. A frequência mínima depende do tipo de teste a ser realizado, e qual vai ser o alvo dessa experiência. O procedimento deve ser realizado pelo menos anualmente, e talvez mensalmente em alguns casos. Os pentests devem ser realizados após a implantação da nova infraestrutura e aplicações (por exemplo, mudanças nas regras de firewall, atualização de firmware, patches e atualizações para o software).

Fonte: Portal TIC,  Net Security e Under-Linux.