White Hack - Gestão de Vulnerabilidade e LGPD

O que é um Teste de Segurança? Tipos e Exemplos

Teste de Segurança Tipos

TESTE DE SEGURANÇA é um tipo de Teste de Software que descobre vulnerabilidades, ameaças, riscos em um aplicativo de software e evita ataques maliciosos de intrusos. O objetivo dos Testes de Segurança é identificar todas as lacunas e fraquezas possíveis do sistema de software que podem resultar em perda de informações, receita, reputação nas mãos dos funcionários ou estranhos à Empresa.

Por que o teste de segurança é importante?

O principal objetivo do Teste de Segurança é identificar as ameaças no sistema e medir suas vulnerabilidades potenciais, para que as ameaças possam ser encontradas e o sistema não pare de funcionar ou não possa ser explorado. Também ajuda a detectar todos os riscos de segurança possíveis no sistema e ajuda os desenvolvedores a corrigir os problemas por meio de codificação.

Tipos de Teste de Segurança

Existem sete tipos principais de testes de segurança de acordo com o manual de metodologia de teste de segurança de código aberto. Eles são explicados da seguinte forma:

  1. Varredura de vulnerabilidade: Isso é feito por meio de um software automatizado para varrer um sistema contra assinaturas de vulnerabilidade conhecidas.
  2. Varredura de segurança: envolve a identificação de pontos fracos da rede e do sistema e, posteriormente, fornece soluções para reduzir esses riscos. Esta varredura pode ser realizada tanto para varredura manual quanto para automatizada.
  3. Teste de penetração: Este tipo de teste simula um ataque de um hacker malicioso. Este teste envolve a análise de um sistema específico para verificar possíveis vulnerabilidades a uma tentativa de hacking externo.
  4. Avaliação de risco: Este teste envolve a análise dos riscos de segurança observados na organização. Os riscos são classificados como Baixo, Médio e Alto. Este teste recomenda controles e medidas para reduzir o risco.
  5. Auditoria de segurança: Esta é uma inspeção interna dos aplicativos e sistemas operacionais em busca de falhas de segurança. Uma auditoria também pode ser feita por meio de inspeção linha a linha do código
  6. Hacker ético: é hackear sistemas de software de uma organização. Ao contrário de hackers maliciosos, que roubam para seus próprios ganhos, a intenção é expor as falhas de segurança do sistema.
  7. Avaliação de postura: Combina varredura de segurança, hackeamento ético e avaliações de risco para mostrar uma postura geral de segurança de uma organização.

Como fazer um Teste de Segurança

É sempre acordado que o custo será maior se adiarmos os testes de segurança após a fase de implementação do software ou após a implantação. Portanto, é necessário envolver o teste de segurança no ciclo de vida do SDLC (Ciclo de Vida do Desenvolvimento do Sistema) nas fases anteriores.

Vamos dar uma olhada nos processos de segurança correspondentes a serem adotados para cada fase no SDLC:

 

Fases SDLC

Processos de Segurança

Requerimentos Análise de segurança para requisitos e verificação de casos de abuso / uso indevido
Design Análise de riscos de segurança para projeto. Desenvolvimento de Plano de Teste incluindo testes de segurança.
Codificação e teste de unidade Teste estático e dinâmico e teste White Box de segurança.
Teste de Integração Teste Black Box
Teste de Sistema Teste de Black Box e Varredura de Vulnerabilidades
Implementação Teste de Penetração e Varredura de Vulnerabilidades
Suporte Análise de impacto de patches

O plano de teste deve incluir

  • Casos de teste ou cenários relacionados à segurança
  • Dados de teste relacionados a testes de segurança
  • Ferramentas de teste necessárias para testes de segurança
  • Análise de vários resultados de testes de diferentes ferramentas de segurança

Exemplo de Cenários de Teste para Testes de Segurança:

Cenários de teste de amostra para dar uma ideia dos casos de teste de segurança:

  • A senha deve estar em formato criptografado
  • O aplicativo ou sistema não deve permitir usuários inválidos
  • Verifique os cookies e o tempo de sessão do aplicativo
  • Para sites financeiros, o botão ‘Voltar’ do navegador não deve funcionar.

Metodologias / Abordagem / Técnicas para Testes de Segurança

Nos testes de segurança, diferentes metodologias são seguidas, e são as seguintes:

  • Tiger Box: Esse hacking geralmente é feito em um laptop que possui uma coleção de sistemas operacionais e ferramentas de hacking. Este teste ajuda os testadores de penetração e testadores de segurança a conduzir avaliações de vulnerabilidades e ataques.
  • Black Box: O testador está autorizado a fazer testes em tudo sobre a topologia e a tecnologia da rede.
  • Grey Box: informações parciais são fornecidas ao testador sobre o sistema, e é um híbrido de modelos de White Box e Black Box.

A LGPD

Com a chegada da LGPD é importante ressaltar que um só tipo de teste de segurança, ou simplesmente um teste automatizado, não é o bastante para assegurar que os dados estão seguros. É preciso fazer uma varredura da Superfície de Ataque antes para poder entender quais tipos de teste devem ser performados.

O mercado brasileiro está começando a entender como é importante os testes de segurança. Por tanto, não caia nos argumentos de quem quer vender simplesmente um teste de penetração (pentest) achando que isso é fazer um “teste de segurança” eficaz para garantir que os dados não vazem ou sejam perdidos. Existe todo um processo necessário que é contínuo e precisa ser implementado na vida da empresa que deseja se tornar segura.

Fale com nossos especialistas!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Compartilhe

Mais Posts

Prometheus TDS

Prometheus TDS é usado em diversos ataques

Vários grupos cibercriminosos estão utilizando uma solução de Malware-as-a-Service (MaaS) para distribuir uma vasta gama de campanhas de distribuição de software malicioso que resultam na

FLoC: O Novo Rastreador do Google

Os cookies de terceiros (third-party cookies) no Chrome estão sendo desativados. Isso significa que o Google está prestes a desistir de uma grande parte de

Assine a Newsletter