O teste de penetração tem mais benefícios do que você pensa

Wright Studio / Shutterstock. com

O teste de penetração mede a eficácia de suas medidas defensivas de segurança cibernética. E lembre-se, sua eficácia muda com o tempo, então repita conforme necessário. Não há nada adequado e esquecido no mundo da cibersegurança.

The Vulnerability-Go-Round

Todo software não trivial possui bugs. E há software em todos os lugares que você procura em sua rede, então a triste verdade é que sua rede está cheia de bugs. Nem todos esses bugs resultarão em uma vulnerabilidade, mas alguns irão. E se apenas uma dessas vulnerabilidades for explorada por agentes de ameaças, sua rede ficará comprometida.

Sistemas operacionais, aplicativos de software e firmware de dispositivo são todos formas de software. É óbvio que servidores e endpoints de rede executarão sistemas operacionais e aplicativos. Os itens que geralmente são esquecidos são outros dispositivos de rede, como firewalls, roteadores, pontos de acesso sem fio e switches. Todos eles contêm firmware, pelo menos, e frequentemente, um sistema operacional integrado também. Outros dispositivos, como dispositivos da Internet das Coisas e outros dispositivos inteligentes, também têm firmware, um sistema operacional integrado e algum código de aplicativo.

Conforme as vulnerabilidades são descobertas, os provedores responsáveis ​​lançam patches de segurança. Eles contêm correções de bugs conhecidos, que eliminam as vulnerabilidades conhecidas. Mas isso não &’ sem um golpe de sorte — fará nada para retificar quaisquer vulnerabilidades desconhecidas.

Suponha que um pedaço de software tenha três vulnerabilidades. Dois deles são descobertos e um patch de segurança é lançado para resolvê-los. A terceira vulnerabilidade, ainda não descoberta, ainda está no software. Mais cedo ou mais tarde, essa vulnerabilidade será descoberta. Se for descoberto por cibercriminosos, eles podem explorar essa vulnerabilidade em todos os sistemas que executam essa versão do software até que um patch seja lançado pelo fabricante e os usuários finais apliquem esse patch.

Publicidade

Ironicamente, novas vulnerabilidades podem ser introduzidas por patches, atualizações e upgrades. E nem todas as vulnerabilidades são causadas por bugs. Alguns são devidos a decisões de design terríveis, como as câmeras CCTV habilitadas para IoT Wi-Fi que não permitiam que os usuários alterassem a senha do administrador. Portanto, é impossível dizer que seus sistemas estão livres de vulnerabilidades. Mas isso não significa que você não deva fazer o que puder para se certificar de que eles estão livres de vulnerabilidades conhecidas.

Teste de penetração e teste de vulnerabilidade

Um teste de penetração é, na verdade, um grande conjunto de testes projetado para avaliar a segurança de seus ativos de TI externos. O software especializado é usado para identificar metodicamente quaisquer vulnerabilidades exploráveis. Ele faz isso executando vários ataques benignos às suas defesas. Uma execução de teste pode incluir centenas de testes programados diferentes.

O teste de vulnerabilidade é um tipo de varredura semelhante, mas é executado dentro da sua rede. Ele procura o mesmo tipo de vulnerabilidade que o teste de penetração e verifica se as versões do sistema operacional são atuais e ainda são suportadas pelo fabricante. O teste de vulnerabilidade identifica as vulnerabilidades que um agente de ameaça ou malware pode explorar se um deles obtiver acesso à sua rede.

Os relatórios gerados por esses testes podem ser opressores à primeira vista. Cada vulnerabilidade é descrita e seu número de Vulnerabilidades e Exposições Comuns é fornecido. Isso pode ser usado para pesquisar a vulnerabilidade em um dos índices de vulnerabilidade online. Mesmo redes modestas podem gerar relatórios em muitas dezenas de páginas. Para redes de médio porte, os relatórios podem ser medidos em centenas de páginas.

Felizmente, as vulnerabilidades são classificadas de acordo com sua gravidade. Obviamente, você precisa abordar a prioridade mais alta — ou seja, as vulnerabilidades mais graves primeiro, e depois as de segunda prioridade mais alta e assim por diante. As vulnerabilidades de menor grau são tecnicamente vulnerabilidades, mas apresentam um risco tão baixo que são consideradas mais um aviso do que um item obrigatório para retificar.

Às vezes, corrigir uma vulnerabilidade limpará uma série de problemas. Um certificado TLS / SSL expirado ou autoassinado pode gerar uma longa lista de vulnerabilidades. Mas corrigir esse problema resolverá todas as vulnerabilidades relacionadas de uma só vez.

RELACIONADO: Como os certificados SSL protegem a web?

Os benefícios do teste de penetração

O benefício mais importante que um teste de penetração oferece é o conhecimento. O relatório permite que você entenda e retifique as vulnerabilidades conhecidas que estão presentes em seus ativos de TI, rede e sites. A lista priorizada informa claramente quais vulnerabilidades devem ser resolvidas imediatamente, quais devem ser abordadas em seguida e assim por diante. Isso garante que seus esforços sejam sempre direcionados às vulnerabilidades remanescentes mais graves. Certamente identificará riscos que você não sabia que tinha, mas também — embora por meio de evidências negativas — mostrará as áreas que já estão bem protegidas.

Publicidade

Alguns softwares de teste de penetração podem identificar vulnerabilidades devido a problemas de configuração incorreta ou higiene precária de segurança cibernética, como regras de firewall conflitantes ou senhas padrão. Essas são soluções fáceis, rápidas e de baixo custo que melhoram imediatamente sua postura cibernética.

Qualquer coisa que melhore a eficácia de sua segurança cibernética protege seus dados mais confidenciais e trabalha em favor da continuidade de seus negócios. E, claro, a prevenção de violações e outros incidentes de segurança também ajuda a evitar multas de proteção de dados ou ações judiciais dos titulares dos dados.

Saber onde estavam seus pontos fracos — e quais eram — pode ajudá-lo a planejar e construir um roteiro para sua estratégia defensiva. Isso permite que você faça um orçamento e priorize seus gastos com segurança. Ele também permite que você identifique falhas em seus procedimentos de política ou áreas onde eles não estão sendo mantidos.

Se a sua estratégia de patch está sendo seguida, os patches de segurança e as correções de bugs devem ser aplicados em tempo hábil assim que forem lançados pelo fabricante. Manter essa disciplina evitará que seus sistemas operacionais, aplicativos e firmware fiquem para trás.

Se sua organização segue um padrão como o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS) ou ISO / EUC 27001, o teste de penetração provavelmente será uma etapa obrigatória para conformidade . Provedores de seguro de responsabilidade cibernética podem exigir que você conduza uma penetração antes de oferecer uma apólice ou podem oferecer um prêmio reduzido se você realizar testes de penetração regularmente.

Cada vez mais, os clientes atuais e potenciais estão pedindo para ver os resultados de um relatório de teste de penetração recente como parte de sua diligência. Um cliente em potencial precisa se certificar de que você leva a segurança a sério antes que ele possa confiar a você qualquer um de seus dados. Os clientes existentes também devem se certificar de que seus provedores atuais estão tomando as precauções de segurança cibernética necessárias para evitar que sejam vítimas de um ataque à cadeia de suprimentos.

Não é uma coisa única

Você não vai querer que os resultados do seu primeiro teste de penetração saiam de sua organização. Faça sua primeira rodada de testes, execute o trabalho corretivo e, em seguida, teste novamente. Esse segundo conjunto de testes deve fornecer sua linha de base de trabalho e um conjunto de resultados que você estaria disposto a compartilhar com terceiros.

Publicidade

A penetração precisa ser repetida pelo menos uma vez por ano. Um ciclo de seis meses é uma boa opção para a maioria das organizações.