White Hack - Gestão de Vulnerabilidade e LGPD

O que é um Teste de Segurança? Tipos e Exemplos

Teste de Segurança Tipos

TESTE DE SEGURANÇA é um tipo de Teste de Software que descobre vulnerabilidades, ameaças, riscos em um aplicativo de software e evita ataques maliciosos de intrusos. O objetivo dos Testes de Segurança é identificar todas as lacunas e fraquezas possíveis do sistema de software que podem resultar em perda de informações, receita, reputação nas mãos dos funcionários ou estranhos à Empresa.

Por que o teste de segurança é importante?

O principal objetivo do Teste de Segurança é identificar as ameaças no sistema e medir suas vulnerabilidades potenciais, para que as ameaças possam ser encontradas e o sistema não pare de funcionar ou não possa ser explorado. Também ajuda a detectar todos os riscos de segurança possíveis no sistema e ajuda os desenvolvedores a corrigir os problemas por meio de codificação.

Tipos de Teste de Segurança

Existem sete tipos principais de testes de segurança de acordo com o manual de metodologia de teste de segurança de código aberto. Eles são explicados da seguinte forma:

  1. Varredura de vulnerabilidade: Isso é feito por meio de um software automatizado para varrer um sistema contra assinaturas de vulnerabilidade conhecidas.
  2. Varredura de segurança: envolve a identificação de pontos fracos da rede e do sistema e, posteriormente, fornece soluções para reduzir esses riscos. Esta varredura pode ser realizada tanto para varredura manual quanto para automatizada.
  3. Teste de penetração: Este tipo de teste simula um ataque de um hacker malicioso. Este teste envolve a análise de um sistema específico para verificar possíveis vulnerabilidades a uma tentativa de hacking externo.
  4. Avaliação de risco: Este teste envolve a análise dos riscos de segurança observados na organização. Os riscos são classificados como Baixo, Médio e Alto. Este teste recomenda controles e medidas para reduzir o risco.
  5. Auditoria de segurança: Esta é uma inspeção interna dos aplicativos e sistemas operacionais em busca de falhas de segurança. Uma auditoria também pode ser feita por meio de inspeção linha a linha do código
  6. Hacker ético: é hackear sistemas de software de uma organização. Ao contrário de hackers maliciosos, que roubam para seus próprios ganhos, a intenção é expor as falhas de segurança do sistema.
  7. Avaliação de postura: Combina varredura de segurança, hackeamento ético e avaliações de risco para mostrar uma postura geral de segurança de uma organização.

Como fazer um Teste de Segurança

É sempre acordado que o custo será maior se adiarmos os testes de segurança após a fase de implementação do software ou após a implantação. Portanto, é necessário envolver o teste de segurança no ciclo de vida do SDLC (Ciclo de Vida do Desenvolvimento do Sistema) nas fases anteriores.

Vamos dar uma olhada nos processos de segurança correspondentes a serem adotados para cada fase no SDLC:

 

Fases SDLC

Processos de Segurança

Requerimentos Análise de segurança para requisitos e verificação de casos de abuso / uso indevido
Design Análise de riscos de segurança para projeto. Desenvolvimento de Plano de Teste incluindo testes de segurança.
Codificação e teste de unidade Teste estático e dinâmico e teste White Box de segurança.
Teste de Integração Teste Black Box
Teste de Sistema Teste de Black Box e Varredura de Vulnerabilidades
Implementação Teste de Penetração e Varredura de Vulnerabilidades
Suporte Análise de impacto de patches

O plano de teste deve incluir

  • Casos de teste ou cenários relacionados à segurança
  • Dados de teste relacionados a testes de segurança
  • Ferramentas de teste necessárias para testes de segurança
  • Análise de vários resultados de testes de diferentes ferramentas de segurança

Exemplo de Cenários de Teste para Testes de Segurança:

Cenários de teste de amostra para dar uma ideia dos casos de teste de segurança:

  • A senha deve estar em formato criptografado
  • O aplicativo ou sistema não deve permitir usuários inválidos
  • Verifique os cookies e o tempo de sessão do aplicativo
  • Para sites financeiros, o botão ‘Voltar’ do navegador não deve funcionar.

Metodologias / Abordagem / Técnicas para Testes de Segurança

Nos testes de segurança, diferentes metodologias são seguidas, e são as seguintes:

  • Tiger Box: Esse hacking geralmente é feito em um laptop que possui uma coleção de sistemas operacionais e ferramentas de hacking. Este teste ajuda os testadores de penetração e testadores de segurança a conduzir avaliações de vulnerabilidades e ataques.
  • Black Box: O testador está autorizado a fazer testes em tudo sobre a topologia e a tecnologia da rede.
  • Grey Box: informações parciais são fornecidas ao testador sobre o sistema, e é um híbrido de modelos de White Box e Black Box.

A LGPD

Com a chegada da LGPD é importante ressaltar que um só tipo de teste de segurança, ou simplesmente um teste automatizado, não é o bastante para assegurar que os dados estão seguros. É preciso fazer uma varredura da Superfície de Ataque antes para poder entender quais tipos de teste devem ser performados.

O mercado brasileiro está começando a entender como é importante os testes de segurança. Por tanto, não caia nos argumentos de quem quer vender simplesmente um teste de penetração (pentest) achando que isso é fazer um “teste de segurança” eficaz para garantir que os dados não vazem ou sejam perdidos. Existe todo um processo necessário que é contínuo e precisa ser implementado na vida da empresa que deseja se tornar segura.

Fale com nossos especialistas!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Compartilhe

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

Mais Posts

Prometheus TDS

Prometheus TDS é usado em diversos ataques

Vários grupos cibercriminosos estão utilizando uma solução de Malware-as-a-Service (MaaS) para distribuir uma vasta gama de campanhas de distribuição de software malicioso que resultam na

FLoC: O Novo Rastreador do Google

Os cookies de terceiros (third-party cookies) no Chrome estão sendo desativados. Isso significa que o Google está prestes a desistir de uma grande parte de

Assine a Newsletter