Fazer um gerenciamento de risco eficiente é um processo repleto de etapas que devem ser realizadas periodicamente – uma dessas etapas é o teste de segurança da informação. Conduzido por equipes terceirizadas ou pelo próprio time de TI interno, esse procedimento é feito com objetivo de testar as vulnerabilidades dos sistemas, redes e aplicativos de uma empresa.
Somente em 2018, o total de incidentes reportados ao Cert.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) foi de 676.514 – 58% deles correspondem a scans, ataques que buscam explorar as vulnerabilidades de determinado serviço. Depois, vieram os ataques DoS (23,42%), Worm (5,78%) e fraudes (5,57%).
Onde as empresas estão falhando? A consultoria Gartner aponta que é necessário estar constantemente atualizado, pois as ferramentas tradicionais de defesa já não são suficientes para barrar ameaças. Isso acaba impactando no tempo em que uma organização leva para descobrir que está infectada – em média, são 229 dias para identificar um malware.
A mesma pesquisa mostra que, em 67% das vezes, as ameaças são descobertas por organizações externas de testes de intrusão, e não pelas próprias equipes internas.
Além de manter suas estruturas de defesa sempre atualizadas, as empresas devem avaliar e identificar constantemente os seus pontos fracos, além de simular ataques em suas redes, sistemas e aplicativos.
Saiba como estruturar um teste de controles de segurança na sua empresa!
Por onde posso começar a testar a segurança da informação do meu negócio?
Antes de avaliar quais procedimentos adotar para testar a segurança da informação de sua empresa, fatores como a integridade e a disponibilidade dos dados devem ser observados, além de quão confidenciais eles são. Esse primeiro passo ajudará a definir os níveis de segurança que precisam ser estabelecidos, e tudo o que deve ou não ser testado.
Alguns itens que devem ser analisados podem se encaixar em categorias como componentes internos da rede (servidores e demais aparelhos utilizados por colaboradores internos), aplicações, bancos de dados e até mesmo os procedimentos de segurança elaborados e aplicados pelas equipes de TI.
Fazer uma varredura minuciosa para detectar brechas como erros de configuração ou desatualizações em sistemas podem não apenas prevenir ataques, mas fornecer informações suficientes para que um plano de contingência seja executado em casos de emergência.
Segundo o National Institute of Standards and Technology (NIST), as empresas precisam adotar um processo de gerenciamento de riscos padronizado e integrado ao ciclo de vida do desenvolvimento, pois somente assim será possível tomar decisões com base em riqueza de dados. Para o instituto, a etapa de testes de segurança é a mais crítica – além de as empresas não testarem adequadamente seus sistemas, elas não possuem mecanismos para auditar de forma correta os controles.
Isso acontece, basicamente, porque as lideranças não passam de forma clara suas expectativas em relação aos testes de segurança, porque não há uma supervisão adequada dos procedimentos de gerenciamento de risco, por falta de profissionais qualificados ou até mesmo porque é muito comum as organizações não colocarem sua proteção à frente na lista de prioridades.
Nos Estados Unidos, o NIST estabelece padrões para a realização dos testes, auxiliando a identificar se os sistemas realmente estão operando de forma correta ou se apresentam falhas. Uma das orientações é não utilizar apenas uma ferramenta scan de vulnerabilidades, já que ela consegue abranger apenas 5% dos controles de segurança de uma empresa, uma fatia consideravelmente pequena.
O NIST também aconselha que os testes sejam feitos em conjunto pela área de segurança interna e o proprietário do sistema, seguindo passos como a produção de uma lista com os controles de segurança existentes, um plano e relatório de testes, além de sugestões de mitigação para as ferramentas que apresentem falhas.
Veja a seguir alguns procedimentos utilizados para a realização de testes de segurança.
Quais procedimentos minha empresa pode utilizar para testar a segurança da informação?
Análise de vulnerabilidades
Nesse procedimento, brechas e vulnerabilidades da sua empresa serão identificadas sem que precisem ser exploradas. Um scanner irá identificá-las, organizá-las por nível de impacto e sugerir melhorias.
Revisão e testes de códigos
As revisões devem ser realizadas antes que os códigos entrem em produção, seja no desenvolvimento ou na execução, servindo para não deixá-lo vulnerável a ataques. Esses ataques podem ser realizados de diversas formas, como por meio de injeções SQL; desvios de autenticação por falhas no código e até por configurações incorretas de dados.
Transações sintéticas
São checagens utilizadas para monitorar o status de aplicações. Eles medem o desempenho de websites, por exemplo, garantindo que estão sendo executados normalmente.
Testes de intrusão
Os testes de intrusão, também conhecidos como “hacking ético” ou Pentest (abreviação de Penetration Test), simulam ciberataques reais para explorar fatores como as vulnerabilidades do sistema e estruturas de TI, verificando quais informações poderiam ser obtidas a partir das brechas encontradas.
As principais formas de realizar os testes de intrusão são a white box, onde uma série de informações preliminares originam um relatório de vulnerabilidades; a black box, onde os testes são realizados a partir de poucos dados conhecidos da empresa, se assemelhando mais a um ataque real; e a grey box, onde já existem algumas informações conhecidas da organização (mas poucas, se comparadas à white box).
Os testes de intrusão devem ser realizados seguindo as normas do Penetration Testing Execution Standard (PTES), desenvolvidas em 2009 com o objetivo de oferecer um guia sobre ferramentas e técnicas que devem ser utilizadas durante esse procedimento.
Análise de logs
Os logs de dados são arquivos gerados por softwares como firewalls, alimentados com informações sobre o seu funcionamento e facilitando a detecção de falhas. A análise de logs é essencial dentro dos testes de controles de segurança – para serem utilizados como mecanismos de segurança, os logs devem ser registrados e monitorados segundo requisitos pré-estabelecidos, além de terem sua confidencialidade mantida.
Análise do Red Team
Realizada com técnicas de engenharia social e informações previamente coletadas da empresa, a análise do red team envolve um ataque específico para testar a capacidade de resposta e detecção da equipe.
Depois de apresentadas todas essas técnicas, você deve estar se perguntando: e agora, quais delas são as mais adequadas para testar a segurança da informação da minha empresa? Antes de decidir, algumas características importantes devem ser analisadas, como os tipos de dados com os quais a sua organização lida e as regulamentações do seu mercado.
O importante é fazer essa análise para decidir os testes de controle de segurança essenciais para o seu modelo de negócio, minimizando as vulnerabilidades e demais riscos que possam existir na sua organização hoje.
Karina Menezes
Comments