A descoberta, nesse ano, dos ataques originados na China, contra o Google e outras grandes empresas, provam que os crimes virtuais estão mais sofisticados e direcionados a ganhos financeiros reais, não apenas "diversão". Essas invasões usam diferentes técnicas e ferramentas, incluindo vulnerabilidades exploráveis, informações internas e a persistência dos invasores. Será que o seu sistema está preparado para enfrentar ataques tão sofisticados? Para muitas empresas, a melhor maneira de descobrir, é se auto-atacando ou contratando alguém para fazê-lo. Um bom teste de invasão pode identificar vulnerabilidades de segurança antes dos invasores.
A questão é que nossa linha padrão de produtos de segurança foca na internet como vetor de ataque, mas essa não é a unica forma de atacar. Um determinado meliante pode invadir com a colaboração de um infiltrado ou por meio de acesso físico ao prédio. Para testar de verdade suas defesas, é necessário tentar a invasão por meio de todos esses métodos.
No passado, os clientes dos testes de ataque eram limitados a algumas instituições, como bancos e agências governamentais, que tinham tanto grandes quantidades de dados sigilosos quanto os recursos para financiar tais testes. Hoje em dia, existe mais consciência sobre o que são os testes e, com isso, mais interesse neles. Algumas empresas usam métodos internos, outras trazem profissionais de fora para desafiar a área de TI.
"Os dois principais incentivos para os teste de invasão são os padrões PCI de segurança de dados e a atenção dos executivos", avalia Nick Selby, diretor de gerenciamento da Trident Risk Management, empresa de consultoria de segurança. Outros padrões de compliance, como HIPAA, também são incentivados. Os testes de invasão conduzidos por terceiros são a norma, mas existe a opção faça-você-mesmo graças aos produtos de testes automáticos, de fornecedores como a Core Security Technologies, Immunity e Rapid7. Ferramentas de código aberto também estão disponíveis para as empresas que querem criar seus próprios testes.
O fator humano
Um teste de invasão realmente bom envolve mais do que apenas mapeamento e relatórios. Steve Stasiukonis, VP da Secure Network Technologies e especialista em testes há mais de uma década, diz que os elementos mapeáveis de uma rede são apenas um de três elementos que devem ser avaliados. "Pessoas, processos e tecnologias são partes do teste", destaca Stasiukonis. "Entre essas partes, as pessoas representam o lado mais fraco e um bom teste deve ser realizado reconhecendo o que determina, o que é necessário para passar pelas pessoas e acessar os sistemas." Todos nós sabemos que os funcionários com as senhas mais fracas são os acessos mais visados. Mas existe mais na engenharia social: quando o meliante ganha a confiança do alvo a ser explorado.
Os ataques de engenharia social são usados para conseguir acesso físico a um prédio ou local de acesso restrito. Stasiukonis e seus colegas, por exemplo, irão se disfarçar de técnicos para conseguir acesso físico ao negócio de um cliente. Uma variação nesse ataque é o Projeto Honeystick, do blogueiro de segurança Scott Wright, em que Wright deixou pen-drives carregados com notificações inofensivas e software de log em locais públicos. De acordo com Wright, 65% desses pen-drives foram recolhidos por pessoas desconhecidas que os conectaram em seus computadores. Testar o "fator humano" ajuda não só as empresas a identificarem os riscos específicos baseados em pessoal, mas também ilumina lacunas no entendimento corporativo das questões de segurança.
"Os resultados dos testes levantam questões internas de conscientização", acredita Selby. Um resultado de um ataque de engenharia social pode ser que a empresa conduza treinamento de conscientização para os executivos sobre as formas como eles podem se tornar alvos; via phishing, por exemplo.
Interno, Externo ou Ambos?
Algumas empresas podem decidir contratar especialistas em testes de invasão como parte da equipe de TI ou designar profissionais que já integram a equipe como responsáveis, oferecendo ferramentas de testes automáticos que facilitam as avaliações feitas em casa. As características de uma equipe de testes interna são tão variadas quanto a quantidade de empresas que as têm. Grandes bancos e fabricantes podem ter até doze funcionários designados, tempo integral, a essas avaliações de vulnerabilidades e testes de invasão, enquanto em empresas menores, isso pode ser apenas parte do trabalho dos profissionais da equipe de segurança.
Uma equipe interna tem diversas vantagens. Para citar uma, as empresas podem executar esses testes com mais frequência, o que pode ser útil para cumprir com os requerimentos de compliance ou para testar a suscetibilidade da empresa em relação a novas vulnerabilidades ou métodos de ataque. Além disso, uma equipe interna terá um conhecimento mais detalhado do negócio do que um consultor externo. Isso pode ser útil porque a equipe pode traduzir os resultados dos testes em ações significativas que irão ajudar a reduzir os riscos para a empresa.
Se você não tem uma equipe interna, vai precisar de orçamento para contratar um consultor. Além do custo, a adesão a uma equipe terceirizada pode consumir tempo, já que é necessário verificar o fornecedor e então agendar o teste. Mas, será que ter uma equipe interna (às vezes chamada de "equipe vermelha") elimina a necessidade de um teste terceirizado? Não exatamente.
Um teste de invasão terceirizado ainda oferece algumas vantagens. Uma pessoa de fora tem a vantagem do anonimato, o que é particularmente importante nos ataques de engenharia social. Outro ponto a favor: uma pessoa de fora traz uma nova visão sobre a empresa e pode considerar formas de ataques que a equipe interna não consideraria.
White Hats, Black Hats
Que tipo de pessoa pode ser um bom testador? Essas operações são chamadas de "hackeamento ético", para diferenciá-los das invasões criminosas. O pen-tester (o profissional que realiza os testes) pode chegar, até mesmo, a receber uma certificação de hacker ético - ou white hat - do EC-Council (International Council of Electronic Commerce Consultants).
Não é incomum que um black hat habilidoso se torne legítimo após ser pego algumas vezes e passe a oferecer serviços à empresas como pen-tester. Mas será que você contrataria um pen-tester que foi condenado por crimes virtuais? "De maneira alguma", dispara Stasiukonis, que considera absurdo contratar um criminoso condenado como parte da equipe de segurança, mesmo que ele alegue estar reabilitado.
Se você concorda com ele ou não, se você planeja contratar um consultor para testes de invasão ou criar sua própria equipe, lembre-se de verificar a procedência e as referências dos profissionais - assim como você verifica de todos os outros profissionais que têm acesso a dados sigilosos e sistemas.
Os bons profissionais para os testes têm mais do que apenas a habilidade de invadir, disse Stasiukonis. "Se eu quisesse contratar um pen-tester, eu procuraria alguém com uma variedade de qualidades, não apenas habilidades técnicas", ensina, "você precisa de uma pessoa sagaz, alguém que tenha uma visão ampliada sobre o trabalho."
É importante, também, saber o nível de experiência do candidato, seja para o cargo de pen-tester interno ou para consultor. E os profissionais devem ser capazes de analisar os resultados de seus esforços e, então, comunicar os resultados dessa análise a diferentes públicos, incluindo colegas técnicos e executivos. Portanto, habilidades de apresentação e comunicação são importantes.
Os testes de invasão desempenham papel importante na estratégia geral de segurança de uma empresa. Ao aprender a olhar para a companhia como os criminosos a vêem e ao compartilhar os resultados dos testes e a consciência sobre a segurança com todos os silos, as corporações podem conseguir imagens instantâneas únicas dos riscos que enfrentam. É bom ter as políticas e ferramentas de segurança em dia. Quando se trata de uma tentativa real de invasão, um teste pode te dizer se suas práticas de segurança estão à altura.
Fonte