Auditoria de Vulnerabilidades e Teste de Penetração
Como parte da Consultoria de Segurança antes descrita, ou como um serviço independente, a Urudata possui as habilidades e ferramentas necessárias para levar adiante Auditorias de vulnerabilidades e Testes de penetração nas organizações (tanto pequenas e médias, como grandes).
O objetivo fundamental do Teste de Intrusão é detectar o grau de vulnerabilidade dos sistemas do cliente perante ataques externos e avaliar sua capacidade de detecção perante esses ataques. Desta forma, é possível avaliar o risco ao que se enfrentam seus sistemas conectados a Internet e as possibilidades reais de acessar, interceptar e modificar a informação crítica da sua empresa.
Dentro do teste serão realizadas tentativas de intrusão em qualquer computador que possa ser acessível, bem diretamente ou a través de outros computadores. Além disso, o nível de segurança que apresentam as defesas atuais (routers, firewalls, IDS, IPS, etc.) será analisado.
Benefícios
Entre os benefícios diretos deste serviço, podemos destacar:
* Descobre novas vulnerabilidades como resultado de mudanças na configuração.
* Detecta a falta de atualizações nos sistemas e aplicações.
* Previne de configurações incorretas de routers, firewalls (conjuntos de regras errôneas).
* Comprova o nível de proteção perante a política de segurança atual.
* Localiza as vulnerabilidades ates de que os hackers o façam.
Alcance do serviço
O Teste de intrusão se concentra em avaliar a segurança dos sistemas de proteção perimetral de uma empresa, além dos diferentes sistemas acessíveis a partir da Internet (routers exteriores, firewall exterior, servidores web, de correio, etc.), tentando penetrar neles, e desta forma alcançar zonas da rede de uma empresa como por exemplo a rede interna ou a DMZ.
A definição exata com respeito a quantidade de servidores ou dispositivos a serem examinados nas auditorias e os horários de realização, entre outros aspectos, são definidos em função das necessidades do clientes.
Como resultado do teste de intrusão, se obtém um relatório que descreve o estado atual de vulnerabilidade, tanto interna como externa, dos sistemas testados.
Este relatório incluirá todas as atividades realizadas, as vulnerabilidades e problemas de segurança detectados e as soluções a implementar para a sua correção.
Características do serviço
O cliente não proporciona informação sobre a estrutura de seus sistemas. A equipe de segurança que realiza a auditoria é que deve obter esta informação. Assim, os testes de intrusão são mais objetivos e seguem os mesmos critérios que se um hacker estivesse tentando atacar os sistemas de empresa.
Durante o transcurso dos trabalhos a equipe utiliza a metodologia OpenSource OSSTMM.
O teste de intrusão (Ethical Hacking) é feito de forma remota a partir das instalações da Urudata e as mesmas técnicas e ferramentas dos hackers são utilizadas.
Alguns dos aspectos avaliados são:
* Detecção de conexões externas e obtenção de gamas de endereços na Internet.
* Análise da rede do cliente com o objetivo de obter uma mapa detalhado dela.
* Detecção de protocolos e scan de portos TCP, UDP e ICMP.
* Analisa das possíveis vias de entrada aos computadores contratados, identificando suas características e serviços.
* Determinação das deficiências de segurança que existem nos sistemas analisados através da análise de vulnerabilidades.
* Análise da segurança das conexões com provedores ou entidades externas à Organização.
* Tentativa de obter contas de usuários (login e password) do sistema analisado através de ferramentas automáticas utilizadas pelos hackers. Utilizam-se senhas predeterminadas do sistema, ataques por força bruta, dicionários de senhas, etc.
* Recopilação da maior quantidade de informação suscetível a ser utilizada para quebrar qualquer uma das proteções que a empresa pode ter, utilizando toda a informação que estiver acessível a partir da Internet: web corporativa e dos empregados, grupos de notícias, bancos de dados de busca de trabalho, etc.
* Teste de ataques de negação de serviço (opcional e a ser coordenado com o cliente).
* Análise dos IDS com a finalidade de estudar sua reação ao receber múltiplos e variados ataques. Análise dos logs de IDS (caso existirem).
* Análise das vulnerabilidades da rede Wireless através da revisão da configuração atual dos Access Points da organização.
Análise de Vulnerabilidades em nível de aplicação
O aumento de focalização das empresas desenvolvedoras de Software na melhora da qualidade dos seus aplicativos, as inovações constantes na administração de sistemas –incluindo Patch Management- que permite configurações seguras e sistemas atualizados e a disponibilidade de ferramentas cada vez mais disseminadas para realizar ataques (Navegador Web), mudaram a visão das vulnerabilidades nos sistemas informáticos. Estas principais tendências estão convergindo em que as vulnerabilidades de aplicação (de capa 7) se encontram em franco crescimento, proporcionando aos hackers um caminho menos resistente para danificar sistemas e roubar informação. Os aplicativos web são atualmente o principal objetivo deste tipo de ameaças. Não é suficiente manter ao dias as atualizações dos sistemas e fazer auditorias periódicas em busca de vulnerabilidades estáticas. Isto é parte do processo, mas somente realizando análises de vulnerabilidades personalizadas especificamente para esta ameaça (capa 7), é possível garantir que os servidores web são imunes a estes riscos. Por tanto, é necessário realizar uma análise de vulnerabilidades em nível de aplicação, utilizando ferramentas especializadas para assim poder indicar aos desenvolvedores da organização as porções de código fonte do aplicativo web que no momento podem sofrer ataques como SQL Injection, Session Hacking, etc.
Principais marcas:
* ISC2 (CISSP)
* Symantec
* Cisco
* Fortinet