1.5. Avaliação de vulnerabilidades
Com tempo, recursos e motivação, um atacante pode entrar em quase qualquer sistema. Todos os procedimentos e tecnologias de segurança atualmente disponíveis não podem garantir que qualquer sistema esteja completamente a salvo de intrusões. Os roteadores ajudam a proteger os gateways para a Internet. Os firewalls ajudam a proteger a borda da rede. Redes Privadas Virtuais passam dados com segurança em um fluxo criptografado. Os sistemas de detecção de intrusão advertem sobre atividades maliciosas. Entretanto, o sucesso de cada uma destas tecnologias depende de uma série de variáveis, inclusive:
- A experiência do pessoal responsável pela configuração, monitoramento e manutenção das tecnologias.
- A capacidade de remendar e atualizar serviços e kernels de forma rápida e eficiente.
- A capacidade dos responsáveis de manter uma vigilância constante sobre a rede.
Dado o estado dinâmico dos sistemas e tecnologias de dados, a segurança dos recursos corporativos pode ser bastante complexa. Devido a esta complexidade, muitas vezes é difícil encontrar recursos especializados para todos os seus sistemas. Embora seja possível ter pessoal com conhecimento em muitas áreas de segurança da informação de alto nível, é difícil reter pessoal que seja especialista em mais do que algumas áreas temáticas. Isto se deve principalmente porque cada área temática de segurança da informação requer atenção e foco constantes. A segurança da informação não fica parada.
Uma avaliação de vulnerabilidade é uma auditoria interna da segurança de sua rede e sistema; os resultados indicam a confidencialidade, integridade e disponibilidade de sua rede. Tipicamente, a avaliação de vulnerabilidade começa com uma fase de reconhecimento, durante a qual são coletados dados importantes sobre os sistemas e recursos alvo. Esta fase leva à fase de prontidão do sistema, na qual o alvo é essencialmente verificado quanto a todas as vulnerabilidades conhecidas. A fase de prontidão culmina com a fase de relatório, onde os resultados são classificados em categorias de alto, médio e baixo risco; e métodos para melhorar a segurança (ou mitigar o risco de vulnerabilidade) do alvo são discutidos
Se você realizasse uma avaliação de vulnerabilidade de sua casa, você provavelmente verificaria cada porta de sua casa para ver se elas estão fechadas e trancadas. Você também verificaria cada janela, certificando-se de que elas estejam completamente fechadas e trancadas corretamente. Este mesmo conceito se aplica a sistemas, redes e dados eletrônicos. Os usuários maliciosos são os ladrões e vândalos de seus dados. Concentre-se em suas ferramentas, mentalidade e motivações, e você poderá então reagir rapidamente às suas ações.
1.5.1. Definindo a avaliação e os testes
As avaliações de vulnerabilidades podem ser divididas em um de dois tipos: outside looking in e inside looking around.
Ao realizar uma avaliação de vulnerabilidade externa, você está tentando comprometer seus sistemas a partir do exterior. Ser externo à sua empresa lhe fornece o ponto de vista do cracker. Você vê o que um cracker vê
Quando você realiza uma avaliação de vulnerabilidade interna, você está em vantagem, pois é interno e seu status é elevado à confiança. Este é o ponto de vista que você e seus colegas de trabalho já se conectaram aos seus sistemas. Você vê servidores de impressão, servidores de arquivos, bancos de dados e outros recursos.
Há distinções notáveis entre os dois tipos de avaliações de vulnerabilidade. Ser interno de sua empresa lhe dá mais privilégios do que um forasteiro. Na maioria das organizações, a segurança é configurada para manter os intrusos de fora. Muito pouco é feito para proteger os internos da organização (tais como firewalls departamentais, controles de acesso a nível de usuário e procedimentos de autenticação de recursos internos). Normalmente, há muito mais recursos quando se olha por dentro, já que a maioria dos sistemas são internos a uma empresa. Uma vez fora da empresa, seu status não é confiável. Os sistemas e recursos disponíveis para você externamente são normalmente muito limitados.
Considere a diferença entre as avaliações de vulnerabilidade e penetration tests. Pense em uma avaliação de vulnerabilidade como o primeiro passo para um teste de penetração. As informações colhidas da avaliação são utilizadas para testes. Enquanto a avaliação é realizada para verificar a existência de furos e vulnerabilidades potenciais, o teste de penetração realmente tenta explorar os resultados.
Avaliar a infra-estrutura da rede é um processo dinâmico. A segurança, tanto da informação quanto física, é dinâmica. A realização de uma avaliação mostra uma visão geral, que pode gerar falsos positivos e falsos negativos. Um falso positivo é um resultado, onde a ferramenta encontra vulnerabilidades que na realidade não existem. Um falso negativo é quando ele omite as vulnerabilidades reais.
Os administradores de segurança são apenas tão bons quanto as ferramentas que utilizam e os conhecimentos que retêm. Pegue qualquer uma das ferramentas de avaliação atualmente disponíveis, compare-as com seu sistema, e é quase uma garantia de que existem alguns falsos positivos. Seja por falha do programa ou erro do usuário, o resultado é o mesmo. A ferramenta pode encontrar falsos positivos, ou, pior ainda, falsos negativos.
Agora que a diferença entre uma avaliação de vulnerabilidade e um teste de penetração está definida, tome as conclusões da avaliação e as reveja cuidadosamente antes de realizar um teste de penetração como parte de sua nova abordagem de melhores práticas.
Não tente explorar vulnerabilidades nos sistemas de produção. Fazer isso pode ter efeitos adversos sobre a produtividade e eficiência de seus sistemas e rede.
A lista a seguir examina alguns dos benefícios de realizar avaliações de vulnerabilidade.
- Cria um foco pró-ativo na segurança da informação.
- Encontra explorações potenciais antes que os crackers as encontrem.
- O resultado é que os sistemas são mantidos atualizados e remendados.
- Promove o crescimento e ajuda a desenvolver a experiência do pessoal.
- Suprime as perdas financeiras e a publicidade negativa.
