1.2. Avaliação de Vulnerabilidade
Tendo tempo, recursos e motivação, um invasor pode invadir praticamente qualquer sistema. Todos os procedimentos de segurança e tecnologias atualmente disponíveis não podem garantir que quaisquer sistemas estejam completamente seguros contra intrusão. Roteadores podem ajudar a proteger gateways na internet. Firewalls ajudam a proteger as bordas da rede. Redes Privadas Virtuais seguramente transmitem dados em um fluxo criptografado. Os sistemas de detecção de intrusão lhe avisam de atividade maliciosa. Entretanto, o sucesso de cada uma dessas tecnologias é dependente de uma variedade de variáveis, incluindo:
- A perícia do pessoal responsável pela configuração, monitoramento e manutenção das tecnologias.
- A habilidade de corrigir e atualizar serviços e kernels rapidamente e eficientemente.
- A habilidade daqueles responsáveis em manter constante vigilância sobre a rede.
Dado o estado dinâmico de sistemas de dados e tecnologias, proteger recursos corporativos pode ser muito complexo. Devido a esta complexidade, muitas vezes é difícil de encontrar recursos para todos os seus sistemas. Enquanto é possível ter um pessoal com conhecimentos em muitas áreas da segurança da informação em um alto nível, é difícil de reter empregados que são especialistas em mais do que algumas poucas áreas. Isto é principalmente pelo motivo que cada assunto da área da segurança da informação requer constante atenção e foco. A segurança da informação não fica parada.
1.2.1. Pensando Como o Inimigo
Suponha que você administra uma rede corporativa. Essas redes comumente compreendem de sistemas operacionais, aplicações, servidores, monitores de rede, firewalls, sistemas de detecção de intrusão e mais. Agora imagine tentar manter atualizados cada um desses mencionados. Dada a complexidade dos softwares de hoje e ambientes de rede, explorações e bugs são uma certeza. Manter-se atualizado com correções e atualizações para uma rede inteira pode ser uma tarefa difícil em uma grande organização com sistemas heterogêneos.
Combine o requerimento de experiência com a tarefa de manter-se atualizado, é inevitável que incidentes adversos ocorram, sistemas sejam violados, dados se corrompem e serviços são interrompidos.
Para aprimorar as tecnologias de segurança e auxiliar na proteção de sistemas, você deve pensar como um invasor e avaliar a segurança de seus sistemas verificando os pontos fracos. Avaliações de vulnerabilidade preventivas em seus próprios sistemas e recursos de rede podem revelar problemas potenciais que podem ser endereçados antes de um invasor explora-la.
A avaliação de vulnerabilidade é uma auditoria interna de seu sistema e segurança de sistema; os resultados dos quais indicam a confidencialidade, integridade e disponibilidade de sua rede (como explicado na Seção 1.1.1.3, “Padronização da Segurança”). Tipicamente, a avaliação da vulnerabilidade começa com uma fase de reconhecimento, durante o qual os dados importantes sobre os sistemas alvos e os recursos são reunidos. Esta fase leva à fase de prontidão do sistema, onde o alvo é checado com todas as vulnerabilidades conhecidas. A fase de prontidão culmina na fase do relatório, onde os resultados são classificados em categorias de alto, médio e baixo risco e métodos para melhorar a segurança (ou para minimizar o risco de vulnerabilidade) do alvo são discutidos.
Se você tivesse que realizar uma avaliação de vulnerabilidade de sua casa, você verificaria cada porta para ver se estão fechadas e trancadas. Você também checaria cada janela, tendo certeza que estão completamente fechadas e trancam corretamente. Este mesmo conceito se aplica à sistemas, redes e dados eletrônicos. Usuários maliciosos são os ladrões e vândalos de seus dados. Foque nas ferramentas, mentalidade e motivações e você poderá então reagir rapidamente às ações.