Dados o tempo, os recursos e a motivação, um cracker pode violar praticamente qualquer sistema. No final das contas, todos os procedimentos e tecnologias de segurança atualmente disponíveis não podem garantir que seus sistemas estão seguros contra uma intrusão. Roteadores podem ajudar a proteger suas portas de comunicação (gateways) com a Internet. Firewalls ajudam a proteger a fronteira da rede. Redes Privadas Virtuais (Virtual Private Networks - VPNs) podem transferir dados seguramente através de informações criptografadas. Sistemas de detecção de intrusão podem alertá-lo sobre atividades maléficas. No entanto, o sucesso de cada uma destas tecnologias depende de diversas variáveis, incluindo:
O conhecimento dos funcionários responsáveis pela configuração, monitoramento e manutenção das tecnologias
A habilidade em consertar e atualizar eficiente e rapidamente os serviços e os kernels.
A habilidade dos responsáveis em manter vigília constante sobre a rede.
Dado o dinamismo de sistemas e tecnologias de dados, proteger recursos corporativos pode ser bastante complexo. Devido essa complexidade, geralmente é difícil encontrar peritos para todos os seus sistemas. Enquanto é possível ter pessoal com conhecimento em muitas áreas de segurança da informação em um alto nível, é difícil reter funcionários que são peritos em mais do que algumas áreas. Isto ocorre principalmente porque cada área da Segurança da Informação requer constante atenção e foco. A segurança da informação não pára.
Suponha que você administre uma rede corporativa. Essas redes são comumente compostas de sistemas operacionais, aplicações, servidores, monitores de rede, firewalls, sistemas de detecção de intrusão e outros. Agora imagine tentar manter-se atualizado com cada um destes. Dada a complexidade dos softwares e ambientes de rede atuais, exploits e erros são uma certeza. Manter-se informado sobre consertos e atualizações para uma rede inteira pode ser uma tarefa perturbadora em uma grande empresa com sistemas heterogêneos.
Mesmo combinando os requerimentos de conhecimento com a tarefa de manter-se atual, é inevitável que incidentes adversos ocorram, sistemas sejam violados, dados corrompidos e serviços sejam interrompidos.
Para aprimorar as tecnologias de segurança e auxiliar na proteção de sistemas, redes e dados, pense como um cracker e meça a segurança dos sistemas verificando suas fraquezas. Avaliações preventivas de vulnerabilidade em seus prórprios sistemas e recursos de rede podem revelar questões potenciais a serem consideradas antes de um cracker explorá-las.
Uma avaliação de vulnerabilidade é uma auditoria interna da segurança de sua rede e sistemas, cujos resultados indicam a confidencialidade, integridade e disponibilidade de sua rede (conforme explanado na Seção 1.1.4). Uma avaliação de vulnerabilidade tipicamente começará com uma fase de reconhecimento, durante a qual são coletados dados importantes referentes à rede e aos sistemas alvo. Esta fase levará à fase de prontidão do sistema, onde o alvo é checado em todas as suas vulnerabilidades conhecidas. A fase de prontidão culmina na fase do relatório, na qual os resultados são classificados em alto, médio e baixo risco, e métodos são discutidos para melhorar a segurança (ou para minimizar o risco de vulnerabilidade) do alvo.
Se tivesse que executar uma avaliação de vulnerabilidade da sua casa, você provavelmente verificaria cada uma das portas para certificar-se de que elas estão fechadas e trancadas. Você também checaria todas as janelas, assegurando que estão completamente fechadas e corretamente travadas. O mesmo conceito se aplica aos sistemas, redes e dados eletrônicos. Usuários maldosos são os ladrões e vândalos de seus dados. Foque em suas ferramentas, mentalidade e motivações, e você poderá reagir rapidamente às suas ações.