Teste de Intrusão x Análise de Vulnerabilidades

teste-de-intrusao-vs-analise-de-vulnerabilidades-blog-post-xlabs

Ultimamente presenciamos uma dúvida muito comum no mercado de segurança, entre o que é Teste de Intrusão e o que é a Análise de Vulnerabilidades, ambos são testes de segurança em sistemas computacionais e sistemas de informação, porém um apresenta uma gama maior e mais precisa de informações do que o outro, Por que isso? O teste de intrusão irá apresentar a visão de um atacante real, apresentando informações que podem vir a ser utilizadas por pessoas com más intenções para obter vantagens ou acesso indevido a sistemas,  já a análise de vulnerabilidade é feita somente por programas que recolhem  informações do sistema alvo e procuram em seu banco de dados (interno da própria aplicação que faz a análise de segurança) se estas versões apresentam ou não vulnerabilidades.

Porém, vamos explicar um pouco mais detalhadamente como é o processo do Teste de Intrusão e após iremos explicar a Análise de Vulnerabilidades, como e quando se encaixam no processo de maturação da segurança do ambiente de TI em uma empresa.

 O que é um Teste de Intrusão?

São simulações de ataques reais, resultando na descoberta de  falhas da configuração e/ou vulnerabilidades. Vulnerabilidades estas que possam vir a permitir a sua empresa sofrer impactos com ataques direcionados, perdendo a disponibilidade, integridade e confidencialidade de informações e sistemas.

O teste de intrusão deve fazer parte do programa de segurança da informação da sua empresa. Ele tem por objetivo verificar a resistência do sistema em relação aos métodos atuais de ataques. Este método pode ser simplesmente de engenharia social, ou mais complexo como por exemplo utilizando técnicas de ataques a sistemas externos e internos de sua empresa, uma vez comprometendo algum sistema interno da empresa exposto para o exterior, o atacante pode obter muito mais do que somente acesso ao sistema interno exposto, em alguns casos de nossos clientes, após nossos consultores obterem acesso a um sistema interno da empresa alvo, foi possível até mesmo a invasão de máquinas de gerentes e gestores da empresa, obtendo documentos e cópias de CNH, CPF, RG e até mesmo comprovantes de renda, estas informações poderiam originar um ataque financeiro a gestores e gerentes da empresa, onde um atacante por meio destes dados e informações poderia abrir contas bancárias e solicitar empréstimos a bancos com o nome dos devidos funcionários da empresa.

Teste de Intrusão – Fechando negócio

Para proteger o Cliente contra a divulgação não autorizada de dados identificados pela XLabs durante a realização do serviço e da não divulgação seja por qualquer circunstância dos resultados adquiridos um Acordo de Confidencialidade será assinado entre ambas as partes. Um acordo formal deverá ser assinado antes da realização do serviço entre as partes envolvidas, a fim de afirmar a confidencialidade dos dados adquiridos durante os testes pela XLabs. É feita uma análise ativa de deficiências técnicas, vulnerabilidades e fraquezas da atual infra-estrutura física e lógica que hospeda os objetos em questão (como localidades e sistemas acessíveis ao público interno e externo de uma empresa), sempre visando a disponibilidade, integridade e confidencialidade das Informações do Cliente.

O nosso serviço segue os padrões internacionais de testes de intrusão, como NIST 800-115, OWASP, OSSTMM, ISSAF/PTF e PTES sempre com o objetivo de garantir a maior qualidade e confiabilidade possíveis para o cliente utilizamos Ferramentas exclusivas para o serviço, que é realizado de forma a garantir total confidencialidade para o cliente.

O que justifica realizar um teste de intrusão ?

• Após os testes, sua empresa tem uma visão real do ambiente, tal visão sendo a mesma utilizada por um hacker durante a tentativa de invasão;

• Evita que dados confidenciais e de clientes sejam expostos indevidamente na Internet;

• Protege a reputação e credibilidade da sua empresa;

• É o primeiro teste a ser realizado antes de montar o plano de ação e rotinas de Análises de vulnerabilidades;

• Apoia a decisão de investimentos em segurança da informação;

• Testa na prática os mecanismos de defesa da sua empresa;

• Menor número de falsos positivos (falhas que já foram corrigidas).

Definição das etapas

1º Etapa: Definição do tipo do teste (BlackBox, Graybox ou Whitebox);

2º Etapa: Definição do Escopo, Profundidade e Agendamento dos Testes;

3º Etapa: Execução dos Testes e Coleta de Evidências;

4º Etapa: Criação do Relatório Gerencial e Detalhado;

5º Etapa: Apresentação do Relatório e Apoio no Plano de correção.

Os resultados sempre deixam os clientes impressionados e os tornam cientes das fragilidades do negócio, necessitando de ações imediatas para eliminação dos riscos e vulnerabilidades encontradas.

Uma outra definição para teste de intrusão seria um conjunto de técnicas utilizadas para verificar as vulnerabilidades e seus riscos em um sistema ou rede. Também conhecido como pentests, é uma ferramenta indispensável para áreas de Tecnologia da Informação (TI), Segurança da Informação (SI), Jurídica, Controles Internos e Auditoria, são realizados a partir de metodologias específicas e padrões de mercado para testes de intrusão, como NIST SP 800-115, OWASP, OSSTMM 3, ISSAF e PTES.

Controles que podem ser avaliados por um Teste de intrusão

• Segregação de redes Acesso remoto (filiais e escritórios) e VPN;

• Protocolos de comunicação Aplicações Web e serviços;

• Mecanismos de autenticação de usuários;

• Uso de algoritmos de criptografia fortes.

Modalidades de um Pentest

Existem três modalidades de Teste de Intrusão e a diferença entre elas está na quantidade de informações fornecidas aos nossos analistas especializados que irão executar os testes.

Teste de intrusão Caixa Preta (Black Box): Nosso consultor não assume qualquer conhecimento prévio da infraestrutura a ser testada. Simula, por exemplo, o ataque de um cracker de fora (ou dentro) da empresa que tenta invadir os sistemas.

Teste de intrusão Caixa Cinza (Gray Box): Nosso consultor assume algum conhecimento prévio da infraestrutura, como um conjunto de credenciais de rede. Simula o acesso de um colaborador ou prestador de serviço mal-intencionado.

Teste de intrusão Caixa Branca (White Box): Fornece aos testadores o conhecimento completo da infraestrutura a ser testada, incluindo diagramas de rede, código fonte, informações de endereçamento IP e credenciais de acesso. Simula um ataque interno realizado por um usuário que tem conhecimento do ambiente de rede, como um funcionário da área de TI, espionagem industrial efetuada por funcionários corrompidos por concorrentes. Possibilita diagnosticar pontos de atenção em maior profundidade.

(Observação: não podemos confundir quando o atacante obtém os códigos fontes da aplicação durante algum teste Black Box).

O que é uma análise de vulnerabilidade?

consiste em uma técnica que utiliza somente a função de identificação de falhas e vulnerabilidades conhecidas por softwares de segurança, chamados scanners de vulnerabilidades, que visam somente mapear os programas e serviços que possam conter vulnerabilidades conhecidas, sem passar pela comprovação de que tal falha possa vir a acarretar em problemas e prejuízos a empresa.

O que justifica realizar uma análise de vulnerabilidade?

• O cliente tem um resultado mais rápido de falhas que possam vir a ser utilizadas em um futuro próximo por atacantes;

• Agilidade na execução e elaboração do projeto;

• Apoia a rápida decisão de investimentos em segurança da informação;

• Aumenta a credibilidade e estabilidade do ambiente de TI (Assim como o Teste de Intrusão).

As etapas de uma análise de vulnerabilidade são quase idênticas a de um teste de intrusão, porém, com a diferença que não existe a definição de Black Box, Gray Box ou White Box, pois não há análise humana em cima do sistema a ser testado. A desvantagem da análise de vulnerabilidade é a geração de muitos falsos positivos, ou seja, devido a utilização de softwares automatizados a encontrar falhas, muitas vezes as informações verificadas não passam pela confirmação se a falha é devidamente explorável, e que possa vir a gerar prejuízos a empresa, por isso recomendamos como a primeira etapa o teste de intrusão, pois gera mais confiabilidade nas informações coletadas com a inteligência humana agindo maliciosamente sobre os sistemas.

A análise de vulnerabilidade é recomendada e muito utilizada em SOC’s (Security Operation Center) ou CERT’s (Computer Emergency Response Team), onde os grupos de trabalhos (SOC’s ou CERT’s) ganham tempo e amplitude em detectar e resolver possíveis falhas no ambiente de TI das empresas atendidas pelos mesmos.

Solicite um teste de intrusão e receba uma visita sem compromisso e sem custo de nossos especialistas.

Gostou do artigo? Compartilhe.

LinkedIn
Facebook
WhatsApp

Faça parte da nossa lista de emails!