A proteção efetiva dos recursos e dados da sua empresa
depende não só da competência com que são desenvolvidos os softwares, mas
também da qualidade dos testes realizados para verificar sua segurança. No
âmbito de Cloud Computing, se torna ainda mais tênue a linha que separa a
confiança e a vulnerabilidade dos sistemas, visto que, hoje em dia, a disseminação
de servidores de Cloud contribuiu para que a maior parte dos dados estratégicos
das companhias migrasse para um ambiente totalmente virtual.
Hoje vamos falar como elaborar um bom teste de penetração,
que coloca à prova o comportamento do software ao ser invadido. Acompanhe:
O que é um teste de invasão
O teste de invasão simula ataques reais aos ativos e procura
identificar suas vulnerabilidades. O ponto de partida para garantir a qualidade
de um teste de segurança como o de penetração é contar com o serviço de
profissionais experientes e especializados (que não só darão o adequado suporte
como também manterão sigilo dos dados confidenciais), escolher o tipo de teste
(no caso, os pentests) e planejá-lo (escopo) para que seja suficientemente capaz
de gerar análises completas e permitir a tomada de ações estratégicas para
prevenção.
De forma geral, todo teste avaliará as possíveis brechas
para usuários (internos ou não) que sejam mal intencionados, passando por
etapas como mapeamento de rede (descobrindo desde o IP e quantidades de
dispositivos conectados), listagem dos serviços executados nas diferentes
portas, varreduras, testes de senhas, detecção de possíveis entradas para
invasão e teste real para saber se realmente elas oferecem risco.
Na exploração de vulnerabilidades, o teste simula a
colocação de backdoors que funcionam como atalhos para que os invasores sempre
tenham acesso ao sistema e insiram programas escondidos, como um vírus faria,
podendo ser feita auditoria completa da rede. Servem, então, para analisar
tanto segurança interna quanto externa, por meio de testes caixa-preta ou
branca (em que um vazamento de informações permita ao invasor conhecer o
código-fonte).
O que garante a qualidade desse teste em Cloud Computing?
Dentro das opções de pentests, há possibilidades de analisar
nas camadas de arquitetura, dados e aplicação, direcionando a abordagem para
pentest interno, externo (invasão por meio de internet), de engenharia social
(nível de conscientização dos usuários que assumem manter o sistema seguro, não
deixando vazar dados, senhas ou esquecendo portas abertas) e por objetivos
(quando o cliente solicita que seja testada invasão a uma determinada base de
dados sigilosos, por exemplo).
Para que tudo isso dê certo, no entanto, é preciso adequar o
escopo às peculiaridades de cada cliente e, com base em um desdobramento de
estudo da estrutura, configuração e aplicação do sistema, é montada uma tabela
que delimita responsabilidades levando em consideração características tanto do
modelo de IaaS ou de SaaS, a fim de combater as dificuldades encontradas pela
propriedade compartilhada de sistemas no Cloud Computing.
Delimitação de responsabilidades: validar o teste para IaaS e SaaS
Validar o teste para IaaS e SaaS é importante porque há
diferenças entre os dois modelos e, logo, a atenção à segurança também muda.
Em IaaS, quem contrata geralmente fica responsável pela
máquina virtual e há casos em que não se tem autorização para penetrar em todas
as camadas ou há maior vulnerabilidade devido ao fato de o cliente resistir a
atualizar ou corrigir sua estrutura — situação em que o sistema fica mais
passível de sofrer instabilidades, vazamentos e invasões. Sendo a nuvem um
espaço compartilhado, é geralmente mais difícil identificar endereços de IP,
porém, um acordo entre as partes poderá determinar as camadas em que será
possível testar.
Em SaaS, pode ser mais difícil obter permissões, pois,
muitas vezes, as empresas que fornecem o acesso ao software impedem que
terceiros testem sua infraestrutura, motivo pelo qual é ainda mais importante
contar com uma empresa de confiança que já desenvolva e teste ou tenha
parcerias com especialistas nesse tipo de auditoria.
Como manter minha empresa bem protegida?
Apenas identificar falhas não é o bastante: é preciso abrir
portas para um modelo completo de apoio à segurança dos dados, que comporte não
só as etapas de testes para descobrir ameaças, mas também desenvolvimento,
monitoramento e, se necessário, reconfiguração de softwares, avaliando-os
constantemente. Realizar auditorias com esse foco é a única forma de integrar a
segurança às principais ferramentas do mercado, apontando caminhos para lidar
com ameaças que colocam em risco as informações e apresentando recomendações
precisas de melhorias
E então, sua empresa está consciente desses requisitos? Como
é feita a prevenção de riscos em seus sistemas? Compartilhe sua experiência ou
dúvidas nos comentários!
Veja mais:
Nenhum comentário:
Postar um comentário