Verificação Sobre Existência de Vulnerabilidades
Os processos de pentest resultam em uma análise ativa do sistema em relação a quaisquer vulnerabilidades potenciais, que poderiam resultar de configuração de um sistema deficiente ou inadequado, falhas de hardware ou de software (conhecidas e desconhecidas), fraquezas operacionais no processo ou contramedidas técnicas. Em outras palavras, através da realização de pentests, as equipes de TI encontram vulnerabilidades e rapidamente, trabalham para corrigir essas áreas para evitar ataques.
Testadores de Penetração e Cybercriminosos
A única coisa que separa um pentester de um atacante malicioso, é a permissão para ganhar o acesso ao sistema alvo. O pentester terá permissão para "ataque" e assim, torna-se responsável por fornecer um relatório detalhado dos resultados encontrados. Exemplo de uma penetração bem sucedida, seria a obtenção de documentos confidenciais, informações de identidade, bases de dados e outras informações "protegidas" - tudo isso sem que haja a necessidade de utilizar senhas ou outras medidas de segurança.
Importante ressaltar que as técnicas de pentest são um componente primordial para a realização de uma auditoria de segurança completa. Por exemplo, o Payment Card Industry Data Security Standard (PCI DSS), segurança e padrão de auditoria, exige a realização de testes de penetração anual e permanente (após as alterações do sistema).
Além disso, os dados são valiosos por vários motivos, incluindo:
- Determinar o risco associado a um determinado conjunto de vetores de ataque;
- Identificar as vulnerabilidades de alto risco, que resultam de uma combinação de vulnerabilidades de menor risco, exploradas em uma determinada seqüência;
- Identificar as vulnerabilidades que podem ser difíceis ou impossíveis de detectar com rede automatizada, ou aplicativo de software de varredura de vulnerabilidades;
- Avaliação da magnitude do potencial de negócios e impactos operacionais a partir de ataques bem-sucedidos;
- Testes em relação à capacidade dos defensores de rede, para detectar e responder aos ataques com sucesso;
- Fornecer evidências para apoiar mais investimentos em pessoal de segurança e tecnologia;
Proteção e Avaliação de Segurança
Obviamente, há uma variedade de maneiras de proteger bancos de dados, aplicativos e redes, uma vez que existem muitas camadas e níveis a serem garantidos. Mas a única maneira de avaliar verdadeiramente a segurança de um ambiente é através de testes diretos. Um bom pentester pode realmente replicar os tipos de ações que um invasor mal-intencionado levaria, dando-lhe uma visão mais precisa das vulnerabilidades dentro de uma rede, a qualquer momento. Na sequência desses fatos, há uma série de ferramentas comerciais de alta qualidade que estão disponíveis, que podem ser implementadas para garantir que tanto os parâmetros de teste quanto os resultados, são de alta qualidade e de confiança. Entretanto, nada substitui um teste hands-on.
Mesmo assim, a qualidade dos pentests pode variar de acordo com a habilidade e o rigor empregado pelo testador. Dado o tempo limitado disponível para testes, é impossível exercer todos os aspectos de uma aplicação com todos os possíveis vetores de ataque. Este problema é agravado em ambientes onde práticas seguras de codificação já começaram a se enraizar. Muitas vezes, a primeira fase de codificação segura envolve a limitação de feedback para os usuários, além de limitar a informação que um hacker tem de determinar que ele descobriu uma falha.
Limitações, Vulnerabilidades, Ataques e Banco de Dados
Infelizmente, estas mesmas limitações tornam o trabalho do pentester mais difícil. Isso significa que é altamente improvável que uma testador irá encontrar todas as questões de segurança. Para ajudar a encontrar essas vulnerabilidades parcialmente obscuras, é necessário controlar a aplicação de dentro. Isto garante que os testes violam o aplicativo, mas não criam uma resposta ao pentester, porque eles ainda são vetores que poderiam ser explorados por um hacker mais experiente e empenhado na questão.
Além disso, é importante notar que um pentester é pressionado a aprofundar suas habilidades, tendo em mente que novas e cada vez mais complexas vulnerabilidades surgem a cada dia. As empresas têm de fazer monitorização contínua ao longo dos seus sistemas de informação, incluindo a camada de banco de dados, e ser vigilante contra ataques. Por exemplo, se um pentest foi realizado na segunda-feira, a organização pode passar no procedimento. Mas, e se no dia seguinte há um anúncio de uma nova vulnerabilidade em servidores de banco de dados que anteriormente, eram consideradas seguros? E se na próxima semana ou no próximo mês, outra vulnerabilidade for anunciada? Este é um cenário que se desenrola em uma base regular.
As empresas estão constantemente lançando patches. Nesse contexto, os testes de penetração regulares são críticos e tem provado ser um método altamente preciso na identificação de vulnerabilidades de sistemas de informação. Para tirar o máximo proveito de um teste de penetração completo, o sistema deve ser devidamente instrumentado para registrar todas as atividades na camada de rede, camada da Web, e camadas de dados. Na conclusão do pentest, os logs destes instrumentos podem fornecer uma visão extremamente valiosa para as vulnerabilidades do sistema.
PCI DSS, Requisitos e Demanda por Testadores de Penetração
Tal como acontece com a maioria das políticas e procedimentos no entanto, ainda pode haver questões que precisam ser resolvidas. Dessa forma, muitos sentem que a organização, em específico os profissionais que realizam os testes de invasão, criaram uma área aberta para "abuso" - muito provavelmente devido ao fato de que não existe, firmemente, uma adesão às regras para o procedimento de pentest. Dessa maneira, é possível que um pentester possa contornar o processo. A regulamentação PCI DSS tem 12 requisitos obrigatórios para as diretrizes rigorosas de protecionismo, construídos para preservar a segurança e a identidade de dados do titular do cartão - e, em particular, a seção 11.3, por exemplo, que chega ao núcleo do pentest, que é bastante diferente da primeira sub seção de exigências feitas.
A versão 11.3 não é tecnicamente um novo requisito. As versões anteriores do padrão PCI, supostamente, são feitas com todo o rigor, para que os pentests possam desenvolver o seu trabalho. Infelizmente, 11.3 é uma área de regulamentação PCI DSS que foi usada excessivamente. As empresas tiveram problemas anteriormente sobre esse requisito, e muitos testadores de penetração enfrentaram problemas relacionados a isso. A nova versão 3.0 do PCI DSS, efetivamente, termina este cenário e as empresas serão obrigadas a desenvolver e adotar uma metodologia oficial para testes. No entanto, alguns acreditam que V3.0 ainda deixa a desejar, no que diz respeito à metodologia aceita pelo setor em questão, além de quais políticas a organização deve implantar.
A boa notícia é que o PCI Council tem continuado a acompanhar esta questão, e está forçando para que as novas medidas sejam adotadas por organizações de todo o mundo. PCI DSS 3.0 requer que as organizações a identificar o escopo de seu ambiente de dados do cartão e fazer um teste de caneta conduzida que prova que o ambiente dos dados do cartão é realmente segmentada do resto da sua rede e da Internet aberta.
Com as novas regras em vigor com V3.0 , a demanda por pentesters está a aumentar, o que provavelmente é uma coisa boa. As novas exigências devem ajudar a dar um freio nos abusos, e as políticas de acolhimento para pentests serão mais precisas. As organizações precisam levar a questão a sério e adotar as novas exigências o mais rápido possível, para garantir que eles estejam preparados para a sua primeira avaliação do PCI DSS 3.0, que será realizada este ano.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=1940&p=3