Teste de Penetração

O que é um teste de penetração?
CALma CALmaaaaaa , não é esta "penetração" que você esta pensando! UHAHAUAUHAHU mente poluida =D


Grande parte da confusão em torno de testes de penetração decorre do fato de que é um campo relativamente recente e em rápida evolução. Além disso, muitas organizações terão sua própria terminologia interna (teste de penetração de um homem é outra auditoria de avaliação de risco ou vulnerabilidade técnica).

Na sua forma mais simples, um teste de penetração (na verdade, nós preferimos a avaliação da segurança do termo) é o processo de avaliação ativamente suas medidas de segurança da informação. Observe a ênfase na "avaliação dos ativos; os sistemas de informação serão testadas para encontrar quaisquer questões de segurança, em oposição a uma só teórica ou baseados em papel de auditoria.

Os resultados da avaliação deverão ser documentados em um relatório, que deverá ser apresentado em uma sessão de esclarecimento, em que as perguntas podem ser respondidas e as estratégias de correcção pode ser livremente discutida.

Porquê realizar um teste de penetração?
De uma perspectiva de negócios, testes de penetração ajuda a proteger sua organização contra falhas, através de:

* Impedir a perda financeira mediante fraude (hackers, extorsões e funcionários descontentes) ou através de receitas perdidas devido aos sistemas confiáveis de negócios e processos.
* Provando a devida diligência e respeito aos reguladores sua indústria, clientes e acionistas.O não cumprimento pode resultar em sua empresa perder o negócio, recebendo pesadas multas, reunindo PR ruim ou não, em última instância A nível pessoal também pode significar a perda de seu emprego, ação penal e às vezes até mesmo prisão.
* Proteger a sua marca, evitando a perda de confiança dos consumidores ea reputação do negócio.

De uma perspectiva operacional, testes de penetração ajuda a moldar a estratégia de segurança da informação através de:

* Identificar as vulnerabilidades e quantificar o seu impacto e probabilidade, para que possam ser geridas de forma voluntarista; orçamento pode ser atribuída e as medidas correctivas implementadas.

O que pode ser testado?

All parts of the way that your organisation captures, stores and processes information can be assessed; the systems that the information is stored in, the transmission channels that transport it, and the processes and personnel that manage it. Todas as peças da maneira que capta a sua organização, armazena e processa informações podem ser avaliados, os sistemas que a informação é armazenada, os canais de transmissão que o transporte, bem como dos processos e de pessoal que gerenciá-lo. Examples of areas that are commonly tested are: Exemplos de áreas que são comumente testados são:

* Off-the-shelf produtos (sistemas operativos, aplicações, bases de dados, equipamentos de rede, etc)
* Desenvolvimento específico (dynamic web sites, aplicações in-house, etc)
* Telefonia guerra (-acesso, marcação remoto etc)
* Sem fio (Wi-Fi, Bluetooth, IR, GSM, RFID, etc)
* Processo de seleção de pessoal (de engenharia social, etc)
* Física (controles de acesso, dumpster diving, etc)

O que deve ser testado?

Idealmente, a sua organização já deve ter feito uma avaliação de risco, assim estará ciente das principais ameaças (como falha de comunicação, e-commerce fracasso, a perda de informações confidenciais, etc), e agora pode usar uma avaliação de segurança para identificar as vulnerabilidades que são relacionados a estas ameaças. Caso você não tenha realizado uma avaliação de risco, então é comum começar com as áreas de maior exposição, como os sistemas públicos enfrentam; web sites, portais e-mail, plataformas de acesso remoto etc

Às vezes, o "quê" do processo pode ser ditada pelas normas que a sua organização é obrigada a cumprir. Por exemplo, um padrão de cartão de crédito-de manipulação (como PCI) pode exigir que todos os componentes que armazenam ou processo cartão de dados de suporte são avaliados.

O que você ganha o dinheiro?
Apesar de um grande esforço técnica é aplicada durante o ensaio e análise, o valor real de um teste de penetração está no relatório e de informação que você recebe no final.Se eles não são claras e fáceis de entender, então todo o exercício é de pouco valor.

Idealmente, o relatório eo balanço deve ser dividido em seções que são especificamente orientadas para seu público-alvo.Os executivos precisam os riscos do negócio e as possíveis soluções claramente descrito em termos leigos, os gestores precisam de uma visão ampla da situação, sem se perder em detalhes, e pessoal técnico precisa de uma lista de vulnerabilidades para abordar, com soluções recomendadas.

O que fazer para garantir que o projeto é um sucesso

Definindo o escopo

O âmbito de aplicação deverá ser claramente definido, não apenas no contexto dos componentes a ser (ou não ser) avaliadas e as limitações com que os testes devem ser realizados, mas também os objectivos de negócio e técnico.Para os testes de penetração exemplo pode ser focalizado exclusivamente em uma única aplicação em um único servidor, ou pode ser mais abrangente, incluindo todos os hosts conectados a uma rede particular.

Escolher um parceiro de segurança

Outro passo fundamental para garantir que seu projeto é um sucesso está na escolha dos fornecedores de usar.Como um absoluto fundamental na escolha de um parceiro de segurança, eliminar o primeiro fornecedor que, desde os sistemas que serão testados. Para usá-los cria um conflito de interesse (será que eles realmente dizer-lhe que implantou o sistema de forma insegura, ou silenciosamente ignorar algumas questões).

Detalhados a seguir algumas questões que você pode querer perguntar ao seu parceiro de segurança:

# É a avaliação de segurança seu core business?
# Quanto tempo eles têm vindo a fornecer serviços de avaliação de segurança?
# Será que eles oferecem uma gama de serviços que podem ser adaptados às suas necessidades específicas?
# São eles fornecedor independente (que eles têm NDAs com os vendedores que os impedem passagem de informação para você)?
# Será que eles executam suas próprias pesquisas, ou são dependentes de fora-de-informações de data que é colocada no domínio público por outros?
# Quais são suas credenciais de consultor?
# Como experientes são a equipe de teste propostos (há quanto tempo eles foram testes, e qual é sua origem e idade)?
# Será que eles possuem certificações profissionais, como o PCI, CISSP, CISA, e CHECK?
# Eles são reconhecidos contribuintes dentro da indústria de segurança (white papers, avisos, alto-falantes públicos, etc)?
# São os currículos disponíveis para a equipe que estará trabalhando em seu projeto?
# Como a abordagem do fornecedor no projeto?
# Será que eles têm uma metodologia padronizada que cumpre e supera as mais comuns, tais como OSSTMM, verificar e OWASP?
# Você pode ter acesso a um relatório de exemplo para avaliar a saída (que é algo que você poderia dar aos seus executivos, não se comunicam as questões de negócios em uma forma não-técnicas)?
# Qual é a sua política de confidencialidade?
# Será que eles terceirizam ou empreiteiros usar?
# Referências estão disponíveis a partir de clientes satisfeitos no mesmo sector industrial?
# Existe um acordo legal que irá protegê-lo de negligência em nome do fornecedor?
# O fornecedor manter cobertura de seguro suficiente para proteger a sua organização?

Cumprimento dos padrões

Há um bom número de normas e orientações em relação à segurança da informação em geral, para os testes de penetração em particular, e para o armazenamento de certos tipos de dados.Qualquer fornecedor escolhido deveria pelo menos ter um conhecimento prático destas normas e, idealmente, ser superior a suas recomendações.

Organizações notáveis e normas incluem:

PCI

O Payment Card Industry (PCI) Requisitos de Segurança de Dados foi criado em Dezembro de 2004, e se aplicam a todos os deputados, comerciantes e prestadores de serviços que o titular dos dados armazenar, processar ou transmitir.Bem como a obrigação de cumprir com essa norma, há uma exigência de provar a verificação de forma independente.

ISACA

ISACA foi criada em 1967 e tornou-se um ritmo de definição de organização global de gestão da informação, controle, segurança e profissionais de auditoria.Sua de Auditoria e Controle são as normas são seguidas pelos praticantes em todo o mundo e identifica suas pesquisas questões profissionais desafiando seus componentes.CAAS, o Certified Information Systems Auditor é a certificação da ISACA pedra angular.Desde 1978, o exame CISA mediu a excelência na área de IS auditoria, controlo e segurança e tem crescido a ser reconhecido mundialmente e adotado mundialmente como símbolo da conquista.


CHECK

A CESG IT Health Check regime foi instigado a assegurar que as redes sensíveis do governo e aquelas que constituem o GSI (Governo Secure Intranet) e CNI (Crítica Nacional de Infra-estrutura), foram garantidos e testados a um nível consistente de alta.A metodologia tem como objetivo identificar vulnerabilidades conhecidas em sistemas de TI e redes que possam comprometer a confidencialidade, integridade e disponibilidade das informações contidas no sistema de TI. Na ausência de outras normas, CHECK tornou-se o padrão de fato para testes de penetração no Reino Unido. Isto é principalmente devido ao seu processo de certificação rigoroso. Apesar de bem que se concentre apenas em testes de infra-estrutura e não de aplicação. Contudo, metodologias de fonte aberta como a seguir estão oferecendo alternativas viáveis e abrangente, sem associação Governo do Reino Unido.

Também deve ser notado que os consultores CHECK só são necessários quando a avaliação é da HMG ou partes relacionadas, e que cumpre os requisitos acima mencionados. Se você quiser um teste de controlo terá de entregar os resultados de testes de penetração ao CESG.

OSSTMM

O objetivo do Open Source Security Testing Methodology Manual (OSSTMM) é estabelecer um padrão para testes de segurança da Internet.Pretende-se formar uma base abrangente para os testes que se seguiram, garante um teste de penetração profunda e abrangente foi realizado.Isso deve permitir que um cliente para ter certeza do nível de avaliação técnica independente das preocupações de outra organização, tais como o perfil corporativo da penetração provedor de testes.

OWASP

O Open Web Application Security Project (OWASP) é um projeto da comunidade Open Source desenvolvimento de ferramentas de software e conhecimento de documentação com base que ajuda as pessoas seguras aplicações web e web services.É um ponto de referência de código aberto para arquitetos de sistemas, desenvolvedores, fornecedores, consumidores e profissionais de segurança envolvidas na concepção, desenvolvimento, implementação e testar a segurança de aplicações web e Web Services.

As principais áreas de interesse são o Guia próxima ao Teste de Segurança de Aplicações Web e Web Services e as ferramentas de teste no âmbito dos projectos de desenvolvimento.A Guide to Building Secure Web Applications não abrange apenas os princípios de design, mas também é um documento útil para a definição de critérios para avaliar os fornecedores e sistemas de teste.

Em Breve vamos dar continuidade sobre as ferramentas que serão usadas para nossos ensaios , e seus devidos tutoriais!

see ya! =)
Teste de Penetração Teste de Penetração Reviewed by Kembolle Amilkar on segunda-feira, março 22, 2010 Rating: 5

Nenhum comentário