Red Hat Enterprise Linux 3: Guia de Segurança | ||
---|---|---|
Anterior | Capítulo 8. Avaliação de Vulnerabilidade | Próxima |
As avaliações de vulnerabilidade podem ser divididas em dois tipos: Olhando de fora para dentro e olhando de dentro ao redor.
Ao executar uma avaliação de vulnerabilidade olhando de fora para dentro, você está tentando comprometer seus sistemas de fora. Estando fora de sua empresa lhe proporciona ter o ponto de vista de um cracker. Você vê o que o cracker vê — endereços IP publicamente roteáveis, sistemas em seu DMZ, interfaces externas de seu firewall e mais.
Ao executar uma avaliação de vulnerabilidade de dentro olhando ao redor, você está, de certa maneira, em vantagem já que você é interno e seu status é elevado a confiável. Esse é o ponto de vista que você e seus colegas de trabalho têm ao se autenticarem em seus sistemas. Você vê servidores de impressão, servidores de arquivos, bancos de dados e outros recursos.
Há diferenças notáveis entre estes dois tipos de avaliação de vulnerabilidade. Ser interno em sua empresa lhe proporciona privilégios — mais elevados que qualquer externo. Ainda hoje em algumas empresas, a segurança é configurada de modo a manter os intrusos de fora. Muito pouco é feito para proteger os internos da empresa (tais como firewalls departamentais, controles de acesso em nível de usuário, procedimentos de autenticação para recursos internos e outros). Geralmente, há muito mais recursos quando olhamos de dentro ao redor dado que a maioria dos sistemas são internos a uma empresa. Uma vez que você se coloca fora da empresa, imediatamente terá o status não confiável. Os sistemas e recursos disponíveis a você externamente são tipicamente mais limitados.
Considere a diferença entre as avaliações de vulnerabilidade e testes de penetração. Pense em uma avaliação de vulnerabilidade como o primeiro passo de um teste de penetração. As informações obtidas na avaliação serão utilizadas nos testes. Enquanto a avaliação verifica buracos e potenciais vulnerabilidades, os testes de penetração tentam explorar os resultados.
Avaliar a instra-estrutura da rede é um processo dinâmico. A segurança de ambos, da informação e física, é dinâmica. Executar uma avaliação traz uma visão geral, que pode incluir falsos positivos e falsos negativos.
Administradores de segurança são tão bons quanto as ferramentas que usam e o conhecimento que possuem. Pegue qualquer uma das ferramentas de avaliação disponíveis, execute-as em seu sistema, e é quase certeza que haja pelo menos alguns falsos positivos. O resultado é o mesmo, seja por erro no programa ou do usuário. A ferramenta pode encontrar vulnerabilidades que na realidade não existem (falsos positivos) ou, ainda pior, ela pode não detectar vulnerabilidades que realmente existem (falsos negativos).
Agora que a diferença entre avaliação de vulnerabilidade e teste de penetração está definida, é recomendável revisar os resultados da avaliação cuidadosamente antes de conduzir um teste de penetração.
![]() | Atenção |
---|---|
Tentar explorar vulnerabilidades dos recursos de produção pode resultar em efeitos adversos na produtividade e eficiência de seus sistemas e rede. |
A lista a seguir examina alguns dos benefícios em executar avaliações de vulnerabilidade.
Foco pró-ativo em segurança da informação
Encontrar exploits potenciais antes que crackers as encontrem
Tipicamente resulta em sistemas sendo mantidos atualizados e consertados
Promove o crescimento e ajuda a desenvolver as habilidades dos funcionários
Redução nas perdas financeiras e publicidade negativa
Para auxiliar na selação de ferramentas para a avaliação de vulnerabilidade, é útil estabelecer uma metodologia de avaliação de vulnerabilidade. Infelizmente, não há nenhuma metodologia pré-definida ou aprovada pela indústria no momento, porém bom senso e as melhores práticas podem agir suficientemente como guias.
Qual é o alvo? Nós estamos checando um servidor, ou nossa rede inteira e tudo que há nesta rede? Somos internos ou externos à empresa? As respostas a estas questões são importantes, pois te ajudarão a determinar não apenas quais ferramentas selecionar, mas também a maneira como utilizá-las.
Para aprender mais sobre o estabelecimento de metodologias, consulte os seguintes websites:
http://www.isecom.org/projects/osstmm.htm — The Open Source Security Testing Methodology Manual (O Manual de Metodologia de Testes de Segurança Open Source) - OSSTMM
http://www.owasp.org/ — The Open Web Application Security Project (O Projeto Livre de Segurança de Aplicações Web)