Novo
Agora IDGNow! é IT Midia.com
Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Logo ITMidia
Logo ComputerWorld
Logo PCWorld
Logo CIO
Logo ITForum
Salvar em Nova pasta de favoritos

+

Criar pasta
Últimos favoritos Ver todos
Últimas notícias do conteúdo : Ver todos
Testes de invasão não vão resolver sua falta de estratégia de segurança
Testes de invasão não vão resolver sua falta de estratégia de segurança
Home > Inovação

Testes de invasão não vão resolver sua falta de estratégia de segurança

Antes de contratar, as empresas precisam ser capazes de responder algumas perguntas sobre sua maturidade em segurança da informação.

Por Leonardo Militelli *

01/09/2017 às 17h12

ataque hacker.jpg
Foto:

Com o objetivo de acompanhar a evolução das tendências e do cibercrime e estar em conformidade com padrões e exigências da indústria, cada vez mais organizações estão buscando testes de invasão para avaliar sua infraestrutura técnica. No entanto, poucas sabem o que isso realmente significa, qual o seu propósito e qual o seu nível de eficiência.

Quando decidem contratar um teste de invasão, poucas empresas já conduziram alguma avaliação de segurança antes. Raramente essas organizações conhecem seus controles de segurança ou implementam algum escaneamento de vulnerabilidades regularmente, pois geralmente esperam que os testes de invasão façam isso, especialmente no caso das empresas de pequeno e médio e porte.

No entanto, não existe um teste de invasão que faça tudo isso, nem que sirva para todas as empresas e seus diferentes objetivos. Existem diversas modalidades de testes, entre as quais cada uma serve a um propósito, exige diferentes níveis de habilidade da equipe de pentest, e testa diferentes elementos da rede, usando diferentes metodologias.

Os pentests são tentativas de derrubar defesas e ganhar acesso aos ativos corporativos por meio da exploração de vulnerabilidades sem mitigação. Em suma, serve para testar a capacidade do hacker de penetrar na defesa do perímetro, ganhar acesso à rede interna e controlar elementos do ambiente de TI e, para isso, pode incluir também o escaneamento de vulnerabilidades e técnicas de engenharia social, mas essa é só uma parte das atividades de exploração.

No entanto, por mais completo que seja o escopo de um teste de invasão, antes de contratar, as empresas precisam ser capazes de responder algumas perguntas sobre sua maturidade em segurança da informação. Por exemplo, você sabe o que está conectado aos seus sistemas e redes o tempo todo? Você está continuamente gerenciando seus sistemas com boas configurações? Você limita e rastreia as atividades de quem tem privilégios administrativos?

Ao responder essas perguntas, é possível determinar que tipo de teste de invasão a organização precisa e evitar alguns equívocos comuns como, por exemplo, achar que os resultados de um teste de invasão para o ambiente externo comprovam que a rede está completamente segura – é impossível afirmar isso sem testar outros elementos, como os do ambiente interno (que inclui as configurações de permissionamento do usuário, por exemplo).

A verdade é que a contratação de testes de invasão hoje é um desafio principalmente por causa da especificidade do escopo e das várias possibilidades de abordagem e metodologia, que acabam criando uma série de equívocos em relação às expectativas em termos de resultado.

Além disso, a busca por fornecedores ou parceiros com experiência comprovada e uma equipe multidisciplinar também desafia as empresas. Entender como gerir esse relacionamento pode ser o principal diferencial entre um erro caro e um trabalho bem executado. Por isso, é essencial que as empresas tenham um entendimento completo de todo o processo de trabalho com o fornecedor.

Mesmo que a empresa não tenha controles ou conte com um nível baixo de maturidade, os testes de invasão podem ajudar a dar visibilidade para aprovar projetos de segurança, por exemplo. Porém, como seu objetivo maior é validar a eficácia dos controles de segurança, oferecendo uma perspectiva diferente de outras ferramentas de avaliação, é preciso contar com um objetivo claramente definido.

Leonardo Militelli é CEO da iBLISS

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail
Vai um cookie?

A IT Mídia usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Ir para o site