Chegamos na quarta parte da minissérie de posts sobre Pentest. Neste breve artigo entendemos quando as organizações devem buscar este tipo de serviço.
Independente da metodologia adotada, a realização deste tipo de teste deve ser frequente, dentro de intervalos programados ou sempre que ocorrerem mudanças drásticas no ambiente físico ou lógico da rede. Pode parecer exagero, mas não é, pois as constantes mudanças na área de tecnologia, com novos recursos, novas ferramentas e novas soluções apresentadas dentro de um intervalo de tempo cada vez menor, trazem consigo inúmeros riscos, que podem ir desde vulnerabilidades não detectadas ou não previstas nos sistemas, até a adaptação de uso e pouco conhecimento das pessoas na operação do novo recurso. Somado a isso, temos uma constante evolução de ameaças provenientes de pessoas mal intencionadas que encontram nestas brechas oportunidades para obter algum tipo de vantagem, especialmente financeira.
Algumas referências de segurança informam em seus requisitos com que frequência devem ser realizados os testes. Como exemplo, temos as empresas ligadas ao setor de Cartões de Crédito, que coletam, processam, armazenam e/ou transmitem informações destes cartões, obrigadas a adotar o padrão PCI-DSS, que exige da organização a realização de testes de penetração anualmente e varreduras de vulnerabilidades trimestrais ou quando há mudanças no ambiente de rede. Este apontamento está previsto em alguns itens do Requisito 11 – Testar regularmente os sistemas e processos de segurança:
- 11.2 Execute varreduras quanto às vulnerabilidades das redes internas e externas pelo menos trimestralmente e após qualquer mudança significativa na rede (como instalações de novos componentes do sistema, mudanças na topologia da rede, modificações das normas do firewall, aprimoramentos de produtos).
- 11.3.1 Realize testes de penetração externos pelo menos uma vez ao ano e após qualquer melhoria ou modificação significativa na infraestrutura ou nos aplicativos (como uma melhoria no sistema operacional, uma sub-rede adicionada ao ambiente ou um servidor Web adicionado ao ambiente).
- 11.3.2 Realize testes de penetração internos pelo menos uma vez ao ano e após qualquer melhoria ou modificação significativa na infraestrutura ou nos aplicativos (como uma melhoria no sistema operacional, uma sub-rede adicionada ao ambiente ou um servidor Web adicionado ao ambiente).
A norma ABNT NBR ISO/IEC 27002 – Código de prática para controles de segurança da informação também possui controles que auxiliam na orientação de como e quando fazer testes técnicos no ambiente de rede, embora não seja tão criteriosa como o PCI, determinando prazos mensais e anuais para sua realização. A ISO 27002 apenas recomenda que as análises de vulnerabilidades técnicas no ambiente sejam realizadas para que elas não ocorram explorações por eventuais ameaças. Temos os seguintes controles:
- 12.6.1 Gestão de vulnerabilidades técnicas: Entre outras orientações, recomenda que as informações sobre vulnerabilidades sejam adquiridas em tempo hábil, reduzindo o risco de exploração por alguma ameaça. Deixa a responsabilidade de delimitar o período de sua verificação para a organização, incluindo o prazo para correção das falhas,
- 12.7.1 Controles de auditoria de sistemas de informação: que fornece uma série de recomendações de como os testes técnicos devem ser executados, incluindo a observação de que caso os testes afetem a disponibilidade do sistema, que ele seja feito fora do horário de trabalho, para minimizar os impactos de uma interrupção.
Sobre a minissérie Pentest
Está minissérie de posts tratando de conceitos básicos sobre Pentest será composta por 6 pequenos artigos tratando aspectos importantes que precisam ser compreendidos tanto pelo profissional técnico que pretende avançar nessa área, quanto pelo profissional que precisa contratar este tipo de serviço e se vê perdido no meio de tantas opções que o mercado oferece.
Abaixo as três primeiras partes da minissérie:
PENTEST – INTRODUÇÃO
PENTEST – O QUE É PENTEST?
PENTEST – COMO É FEITO?
Fontes consultadas: Revista Infra-Magazine
Imagens: Pexels
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec