Conviso IT Security Blog - Você precisa testar os controles de segurança da sua rede de dados?

Você precisa testar os controles de segurança da sua rede de dados?

O conteúdo deste post está também disponível em um data sheet disponibilizado em nosso web site.

Conviso Security Testing

A proteção do seu ambiente através de testes reais dos seus controles, ações práticas para adequação do nível de proteção e recomendações de melhoria adequadas para cada caso.

Você sabe como contratar um pen-test?

Um teste de invasão (pen-test) é entendido de formas diferentes no mercado, especialmente pelas pessoas que contratam este tipo de serviço e por desconhecer a terminologia, podem se decepcionar com os resultados. O Conviso Security Testing pode ser contratado de várias formas, o que sempre irá depender das necessidades que nosso clientes apresenta:

Um Vulnerability Scan é um teste simples que identifica a presença de vulnerabilidades em um determinado escopo, normalmente utilizado como ferramenta de análise contínua de segurança, algo exigido pelo PCI DSS.
Um Vulnerability Assessment é um teste que identifica e verifica vulnerabilidades, exigindo uma alocação maior de esforço para o entendimento, classificação e adequação de resultados ao objetivo contratado.
Um Penetration Test é um teste que identifica, verifica e explora vulnerabilidades em busca da garantia de sua efetivação através de provas de conceito ou realização de uma invasão no escopo contratado.
Um Security Assessment é um termo que pode se referir a qualquer uma das três abordagens acima, e quando usado de forma inadequada pode gerar um entendimento inadequado do que será contratado versus os objetivos alcançados.

Escolher a abordagem adequada para um teste de segurança é fundamental para que o projeto tenha um retorno para a empresa, e a escolha sempre deve ser orientada pelas razões de negócio que levaram a contratação e como os resultados serão utilizados.

Tão importante quanto essa escolha, é entender que um teste de segurança é focado na identificação e/ou exploração de vulnerabilidades, não avaliando qual é o risco para a empresa. Este resultado, é obtido em um Risk Assessment que envolve a análise de muitos outros drivers que interagem com os componentes de TI, como a aderência a políticas, o suporte a processos de negócios e a existência de controles compensatórios.

Os testes de segurança como ferramentas de suporte à Gestão de Riscos

Uma das disciplinas mais populares entre os profissionais de Segurança da Informação, é o Risk Management onde a administração dos riscos de uma organização é feita através de um conjunto de ferramentas que vão desde a política de segurança até o monitoramento da aderência de processos a uma determinada norma. O ponto de questão é que com uma visão essencialmente macro integrada a rotina desses profissionais, como garantir que os controles técnicos funcionam como esperado?

Ao contrário de um processo ou política - que podem demorar meses para serem alterados ainda que como resultado de uma demanda de negócio - os componentes técnicos podem ser afetados por erros de configuração na administração rotineira, falhas na interface com novos componentes do Ambiente Informatizado ou ainda vitimados pela exploração de uma das 6.000 vulnerabilidades que foram descobertas somente no primeiro trimestre de 2008.

A execução de um teste de segurança técnico permite que essas falhas sejam identificadas e as recomendações de melhoria implementadas antes que a exploração resulte em perdas para a organização. Beneficiando diretamente a base estrutural do Ambiente Informatizado, esta abordagem resulta em uma melhoria geral para o Risk Management:

Previne paradas inesperadas ao aumentar a proteção da disponibilidade dos ativos, refletindo em uma maior garantira da continuidade dos negócios.
Protege a reputação de uma organização perante seus clientes e parceiros comerciais, evitando alterações em seus web sites e o vazamento de dados internos como resultado de uma invasão da rede de dados.
Garante a aderência da organização a normas e padrões específicos como os controles estabelecidos pelo PCI DSS, as recomendações da ISO 27001, e a interpretação de seções da SOX e HIPAA

O Conviso Security Testing

O Conviso Security Testing testa de forma completa a segurança dos componentes do seu Ambiente Informatizado antes que as falhas sejam exploradas e se transformem em prejuízos para a sua organização e prejudiquem a sua reputação no mercado. Nossa metodologia foi desenvolvida com base nas melhores práticas do mercado, e consideramos um grande diferencial o nosso compromisso na transferência de conhecimento, através do estabelecimento de um processo contínuo de colaboração com o cliente e compartilhamento de informações sobre IT Security.

A abordagem utilizada pode variar de um penetration test em modo black box - onde simulamos o que um cracker pode fazer contra a sua empresa à partir da Internet - até uma análise de vulnerabilidades de todos os componentes do seu Ambiente Informatizado. Independente da forma de contratação, testamos o escopo de forma integrada, com análises que combinam resultados de ferramentas automatizadas , a investigação de comportamento e provas de conceito das vulnerabilidades para garantir resultados factíveis no mundo real. Uma vez estabelecida a forma como você quer testar os controles de segurança, desenvolvemos o projeto em quatro fases complementares:

Estabelecemos os critérios técnicos e operacionais dentro do escopo contratado, onde deﬁnimos os objetivos dos testes e recolhemos informações gerais como as janelas disponíveis e contatos técnicos para acompanhamento do processo quando necessário.
Durante o reconhecimento, coletamos informações para gerar uma visão detalhada dos sistemas instalados, incluindo as áreas que podem ser exploradas em busca de vulnerabilidades e falhas de segurança, e como isso pode afetar o seu negócio.
Em seguida, executamos a análise de vulnerabilidades, que pode englobar testes de invasão black box, white box, e as análises de vulnerabilidades em componentes técnicos e processos de suporte, tal como a administração de versões de aplicações e patch management.
Com os resultados gerados, concluímos com relatórios técnicos que apresentam as vulnerabilidades detectadas e nossas recomendações de melhoria. Podemos ainda agregar um Resumo Executivo com os resultados condensados em uma linguagem de negócios, e um Plano de Ação, que direciona a implementação das recomendações de melhoria para funcionar a longo prazo, evitando assim que os erros que geraram as vulnerabilidades encontradas sejam repetidos.

Quando utilizar?

O Conviso Security Testing é uma excelente escolha quando você precisa testar o que um cracker pode fazer contra o seu Ambiente Informatizado à partir da Internet ou o que uma ameaça interna pode fazer de dentro de sua rede de dados.

Se o seu ambiente precisa estar alinhado a controles estabelecidos por normas e regulamentações, os nossos testes de segurança podem ser direcionados para analisar a eﬁciência de pontos especíﬁcos, e nossos relatórios mostrarem como está a sua aderência de acordo com as suas necessidades.

Como podemos ajudar?

Nossa equipe comercial é formada por profissionais de IT Security com conhecimento de mercado, experiência em gestão e vivência dentro de empresas. Sabemos utilizar essas competências a seu favor, avaliando suas necessidades de forma pragmática e apresentando soluções que façam sentido, funcionem e sejam claras para você e seus clientes internos.

Podemos apresentar nossa abordagem para testes de segurança dos componentes do seu Ambiente Informatizado de forma orientada para atender as suas necessidades. Além de uma análise comercial do que você precisa e a apresentação de uma proposta de serviços, estamos disponíveis para executar uma apresentação técnica para a sua equipe no sentido de esclarecer possíveis dúvidas, compartilhar o nosso conhecimento e deixar que os seus técnicos ajude a decidir qual é a melhor abordagem para manter os seus componentes de TI adequadamente protegidos.

Saiba mais sobre o Conviso Security Testing e nossa linha de serviços e produtos em nosso web site, onde oferecemos documentos detalhados, cases de mercado e muita informação sobre IT Security que segue nossa filosofia de trabalho: competências adequadas, clareza no discurso, colaboração como diferencial e uso de metodologias.