Há diversos procedimentos de auditoria que têm por objetivo aferir a
segurança de uma rede, sistema ou aplicação. Cada um deles tem suas
características, objetivos, vantagens e desvantagens próprias.
Com base nestes fatores, o auditor deve avaliar as necessidades de seu
cliente a fim de definir qual auditoria de segurança é a mais adequada
para atendê-las, e assim oferecer melhores resultados.
A auditoria
Teste de Invasão é uma das auditorias de segurança
que podem ser realizadas sobre ativos do cliente. O principal
diferencial deste tipo de auditoria é que a avaliação de segurança é
realizada através de simulações de ataques reais aos ativos do cliente.
Isto quer dizer que a auditoria Teste de Invasão vai além da simples
identificação de potenciais vulnerabilidades. Ao contrário da simples
identificação de vulnerabilidades, há verificação da representação de
risco real destas e apreciação do impacto associado à exploração destas
vulnerabilidades sobre a segurança da informação, além do próprio
negócio do cliente.
A auditoria Teste de Invasão é uma das auditorias de segurança que podem
ser realizadas sobre ativos do cliente. O principal diferencial deste
tipo de auditoria é que a avaliação de segurança é realizada através de
simulações de ataques reais aos ativos do cliente.
Motivação para realizar uma auditoria Teste de Invasão
O benefício gerado pela contratação de uma auditoria Teste de Invasão é
difícil de definir para uma equipe gerencial (Return of Investment -
ROI), pois qualquer auditoria é, por natureza, um procedimento
preventivo, que visa mitigar, pró-ativamente, um problema que ainda não
surgiu.
Uma forma de mensurar o benefício que uma auditoria Teste de Invasão
traria a uma organização é comparar o custo da auditoria ao prejuízo
estimado de um ataque bem sucedido, incluindo prejuízos associados à
indisponibilidade de sites comerciais, ações judiciais por quebra de
sigilo de informações de terceiros e até desconfiança dos clientes em
manter sua relação comercial com a organização.
Além disso, a auditoria Teste de Invasão oferece uma visão ampla sobre a
segurança da organização, permitindo homologar a segurança da mesma
como um todo. Isto é, ainda que se implemente um mecanismo de segurança
complexo para uma aplicação crítica, é possível que haja
vulnerabilidades em outras aplicações ou até outros ativos que permitam
contornar este mecanismo e comprometer a segurança da informação e dos
próprios usuários.
De nada adianta, por exemplo, um modelo complexo de segurança em
camadas, firewalls duplos, redundância e IDSs distribuídos, se um
usuário utiliza por exemplo a senha "12345".
Finalmente, auditorias Teste de Invasão periódicas cada vez mais tem
aparecido como requisito para conformidade com normas internacionais. No
Brasil, este requisito já é exigido pelos padrões de segurança PCI-DSS e
a família ABNT 27000.
Características das auditorias Teste de Invasão
Uma auditoria Teste de Invasão deve ser conduzida de forma totalmente
transparente, ou seja, o escopo da auditoria deve ser cuidadosamente
definido e todas as simulações de ataque modeladas, devem ser
apresentadas previamente ao cliente para aprovação.
Em seguida, todo o processo deve ser minuciosamente documentado para que
o cliente possa, de maneira simples, identificar quais atividades
ofensivas são oriundas da auditoria. Além disto, é importante que o
auditor seja capaz de estimar os impactos (inclusive efeitos colaterais)
de cada vetor a ser explorado, pois o cliente pode querer limitar os
testes temendo algum tipo de impacto no seu negócio.
Outros aspectos importantes que devem ser definidos antes da execução da auditoria são:
- A posição do auditor em relação aos ativos contemplados;
- O nível de conhecimento do auditor;
- O nível da equipe de gerência técnica dos ativos sobre a auditoria.
Estes aspectos são importantes, pois influenciam diretamente na forma
como o teste é realizado e quais técnicas podem ser utilizadas.
Primeiramente, a posição do auditor em relação aos ativos contemplados
diz respeito à localização da origem das simulações de ataque, isto é, a
auditoria será realizada dentro da rede interna ou a partir da
Internet.
A definição deste aspecto permite avaliar a segurança dos ativos frente
às ameaças públicas vindas de opositores externos (auditoria externa) ou
de ex-funcionários insatisfeitos, que se aproveitam do acesso interno
que ainda possuem (auditoria interna).
Em seguida, o nível de conhecimento do auditor sobre os ativos diz
respeito à quantidade de informação que é fornecida sobre os ativos. A
definição deste aspecto permite avaliar a segurança dos ativos frente a
ataques realizados por opositores que só conhecem informações públicas
sobre os ativos (auditoria caixa preta), ou de ex-funcionários ou
ex-desenvolvedores, que têm amplo conhecimento sobre a forma como a
aplicação funciona (auditoria caixa branca).
Finalmente, o nível de conhecimento da equipe de gerência técnica destes
ativos sobre a auditoria diz respeito ao quanto esta equipe sabe sobre a
auditoria.
A divulgação da realização da auditoria (auditoria anunciada), por um
lado, pode evitar que mudanças inadvertidas nos ativos contemplados
sejam feitas durante a auditoria, alterando o resultado de algumas
simulações de ataque, mas, por outro lado, pode ser encarada pela equipe
técnica como uma verificação da qualidade do seu trabalho, que pode,
propositalmente, fazer modificações temporárias que forneçam resultados
enganosos para a auditoria.
Já a não divulgação da realização da auditoria (auditoria
não-anunciada), permite que o cliente avalie a capacidade da equipe
técnica em detectar e reagir às simulações de ataque, no entanto, pode
dificultar a divulgação de informações sobre os ativos para auditorias
caixa branca.