Teste de Segurança: Você sabe que precisa testar a segurança de sua infraestrutura, mas como fará isso? Veja como saber que tipo de teste sua organização precisa.
Quando chegar a hora de “testar a segurança” de sua infraestrutura, o que você deve fazer? Os testes de segurança podem significar todos os tipos de coisas, e nem sempre é óbvio qual é a escolha certa e quando usar. Aqui, vou resumir o que considero os quatro principais tipos de teste de segurança, quando usar cada um e as armadilhas a serem observadas.
-
Varredura de Vulnerabilidade
O que é a varredura de vulnerabilidade?
A varredura de vulnerabilidades significa executar um software automatizado que procura vulnerabilidades comuns em seus sistemas, como um servidor da web que não foi corrigido ou configurado incorretamente no armazenamento em nuvem, expondo os dados do cliente. O ideal é fornecer ao software uma lista de alvos, colocá-lo em movimento e aguardar um relatório listando vulnerabilidades e conselhos de correção. Não é a verificação de vulnerabilidade que melhora a sua segurança, mas a ação sobre os resultados.
Dependendo do software de varredura, ele pode apenas verificar seu software em relação a listas de problemas conhecidos ou fazer algo mais complexo, como um ataque de força bruta: adivinhar as credenciais e senhas do usuário para ver se eles são seguros.
Quando você deve usá-lo?
Use a varredura de vulnerabilidade em tudo o que você tem que utiliza a Internet (endpoints), como servidores da Web corporativos, endpoints de rede privada virtual (VPN) e conexões de Internet de escritório. Você também pode executar varreduras de vulnerabilidade esporadicamente ou agendadas em sistemas de rede internos, ou como parte do seu ciclo de vida de desenvolvimento de software.
Quando você NÃO deve usá-lo?
A varredura de vulnerabilidade não é útil quando você quer saber como um invasor humano veria sua infraestrutura.
Quais são as vantagens e desvantagens?
Você mesmo pode executar a varredura de vulnerabilidades, o que o coloca no controle. Ou você pode pedir a um terceiro para executá-la para você.
Embora a varredura de vulnerabilidade seja frequentemente vista como o “primo pobre” dos testes de segurança, eu não concordo. Ele destaca rapidamente os problemas que você pode ter perdido, como um site temporário voltado para a Internet que a equipe de desenvolvimento esqueceu de remover ou a conta de usuário interna com uma senha fácil. Ajuda você a resolver problemas de baixo nível com baixo custo.
-
Teste de Penetração
O que é o teste de penetração?
O teste de penetração, ou pentest, pode significar coisas diferentes para pessoas diferentes. Eu o defino como a combinação de técnicas automatizadas e manuais para procurar pontos fracos na postura de segurança do alvo. Uma equipe de teste de penetração emula os métodos de invasores genuínos. O quão perto está de um ataque real depende da equipe. Eles podem usar os tipos de ferramentas que os invasores usam, ou apenas suas técnicas, como tentar injeção de SQL em uma interface da web, quando outro método pode funcionar melhor.
Com a ajuda dos administradores de sistema, desenvolvedores e equipe de projeto, uma equipe de teste de penetração pode fazer uma auditoria mais econômica e útil. Eles não deveriam perder tempo evitando sistemas de detecção de intrusão ou tentando não serem notados pelo seu Centro de Operações de Segurança. Se esse é o tipo de teste de segurança que você deseja, consulte a seção abaixo sobre o Teste Red Team.
Quando você deve usá-lo?
Um pentest deve ter um escopo restrito em torno de uma nova instalação, projeto ou área de preocupação. Ele deve se concentrar na fonte mais provável de problemas de segurança para sua organização.
Quando você NÃO deve usá-lo?
Não use um pentest para ver como suas equipes de segurança e o Security Operations Center reagiriam a um ataque cibernético real. Um teste de penetração é aberto: os administradores do sistema devem saber o que está acontecendo. Veja isso como uma “auditoria técnica agressiva” em vez de emular como os invasores pensam e trabalham.
Quais são as vantagens e desvantagens?
Você obterá a mentalidade de um invasor ao examinar seu projeto, programa ou instalação. É útil ter alguém do seu lado que vê o que você construiu como um conjunto de pontos fracos e objetivos. E é fácil agendar e atribuir orçamento para, em comparação com os Testes Red Team.
Os resultados podem não ser consistentes entre um pentest e o próximo. Isso não é necessariamente uma coisa ruim. Se você repetir ou tiver vários pentesters, poderá encontrar mais problemas.
-
Teste Red Team
O que é o teste Red Team?
Red Team, às vezes também chamado de hacking ético, é uma simulação para testar o quão bem seu pessoal e tecnologia responderiam ao ataque de um adversário. É difícil encontrar a linha entre o pentest e a formação de Red Team. Eu defino um exercício de Red Team como um envolvimento com um escopo muito mais amplo do que um teste de penetração. O escopo de um exercício Red Team pode ser toda a sua organização.
Cabe ao Red Team saber como eles atacam. Estabeleça regras estritas de engajamento com antecedência. Os integrantes da equipe cumprirão a lei, mas você também deve abordar a ética, as relações com a equipe e as normas culturais antes de começar.
Quando você deve usá-lo?
Use um Teste Red Team quando quiser ver, o mais de perto possível, como os invasores reais agiriam contra você e como sua equipe responderia.
É mais uma simulação adversária do que um pentest. Um pentester encontra tantos pontos fracos quanto possível no tempo disponível para ajudar os defensores a ver os problemas. Um red teamer apenas encontrará e explorará qualquer vulnerabilidade necessária para atingir um objetivo. Se eles conseguirem entrar em sua rede interna por meio de uma VPN mal configurada, mas conseguirem o mesmo por meio de uma segurança sem fio deficiente em seus escritórios remotos, você pode não descobrir os dois problemas.
O “agrupamento roxo” pode tornar o Teste Red Team mais útil. É quando você tem um time atacante “vermelho” e um time defensor “azul”.
Quando você NÃO deve usá-lo?
Apenas faça um exercício Red Team quando tiver feito varreduras de vulnerabilidade e testes de penetração e consertado os problemas encontrados. Caso contrário, o nível de especialização dos invasores provavelmente sobrecarregará as defesas da organização, sem fornecer uma visão útil.
Quais são as vantagens e desvantagens?
Uma parte significativa de um teste Red Team é testar as habilidades de detecção dos defensores. Os atacantes devem ser dissimulados, cuidadosos e evasivos, como um atacante genuíno. Também deve haver caminhos claros para contato e escalação. Você não quer que o Centro de Operações de Segurança se concentre nas Red Team, mas perca um compromisso genuíno.
Se você precisar mostrar aos interessados a amplitude dos problemas para obter recursos para corrigi-los, um exercício Red Team conta uma história convincente. Ele criará uma imagem de como os invasores reais podem passar por sua infraestrutura.
Um Teste Red Team não é o mesmo que análise de adversários: examinar a maneira de trabalhar de uma empresa ou o plano de projeto em busca de problemas sem ataque. Para uma análise mais aprofundada da análise adversária, consulte o trabalho de Mark Mateski do Red Team Journal ou Bryce Hoffman do Red Team Thinking.
Uma desvantagem de um exercício Red Team é o custo. As pessoas envolvidas são especialistas com habilidades e ferramentas que precisam de manutenção constante. Eles usam metodologia que incentiva um trabalho lento e cuidadoso. Tudo isso afeta a taxa diária.
-
Programas de Recompensa de Bugs
O que são programas de recompensa de bug?
Os programas de recompensa de bugs vêem as empresas oferecendo uma recompensa para aqueles que relatam vulnerabilidades específicas em partes de sua infraestrutura dentro de um determinado escopo. Os programas podem ser apenas por convite ou abertos a qualquer pessoa.
Quando você deve usá-lo?
Eu só executaria um programa de recompensa por bug depois de executar e responder aos resultados de pelo menos dois tipos de testes já mencionados. Consulte nossos especialistas para determinar o escopo, as recompensas e como executá-los.
Quando você NÃO deve usá-lo?
Um programa de recompensa por bugs pode distrair a equipe e fornecer mais relatórios do que você pode usar se sua organização ainda estiver trabalhando em como lidar com os testes de penetração e os exercícios Red Team.
Quais são as vantagens e desvantagens?
Todos os outros métodos de teste são pagos com base no esforço e não nos resultados.
Sua organização pode ser madura o suficiente para que outras opções não sejam o que você precisa. Os caçadores de bugs seguem algumas das mesmas etapas de um invasor, portanto, seu julgamento sobre o que vale a pena atacar e como pode estar perto de um ataque real.
Executar um programa de recompensa por bug deixa claro para qualquer pessoa que descobrir um problema de segurança em sua organização que você é acessível em questões de segurança e deseja melhorar as estruturas.
Como os caçadores de recompensas de bugs raramente compartilham detalhes de ataques bem-sucedidos até que tenham sua recompensa, sua empresa deve fazer o trabalho de filtrar relatórios duplicados ou irrelevantes.
Agora, quando for perguntado sobre os testes de segurança e o que sua organização deve fazer, você pode iniciar a conversa informado. Fique atento às definições flexíveis e sobrepostas que existem – sempre pergunte o que alguém quer dizer com um termo que está usando antes de dedicar o orçamento ou programar os testes.
Conte sempre com a White Hack para te ajudar a executar todos os testes de segurança de forma eficiente e levando a resultados que interessam. Fale com nossos especialistas.
