0
0
Testes de penetração são uma parte importante de qualquer programa de segurança. Na verdade, a maioria das empresas da Fortune 200 – talvez até mesmo a Fortune 2000 – está bem junto em seu modelo de maturidade de segurança para incluir pelo menos um teste anual de caneta, dizem especialistas.
Jim O’Gorman, diretor de conteúdo e estratégia da Offensive Security, diz que os melhores testes de caneta são adaptados aos objetivos da empresa, fornecendo resultados acionáveis que a ajudam a estabelecer os próximos passos claramente identificados para continuar melhorando sua segurança.
“Uma avaliação personalizada garante que o que a equipe de avaliação analisa é o que importa para o seu negócio”, diz O’Gorman. “É realmente a diferença entre comprar um produto fácil de entregar versus comprar um que corresponda ao que sua empresa precisa para melhorar corretamente sua postura de segurança.”
Conclusão: Não se trata apenas de vulnerabilidades básicas. Os testes de caneta devem ser para melhorar a postura geral de segurança. Qualquer coisa a menos não vale o tempo, o esforço e o dinheiro.
Defina as Metas da Organização
O’Gorman, da Offensive Security, diz para começar assim: Determine por que você quer um teste de caneta. O principal objetivo é garantir a conformidade com padrões como HIPAA ou PCI DSS? Ou você deseja melhorar sua segurança geral, como detectar eventos maliciosos mais rapidamente, minimizar a superfície de ataque e isolar violações bem-sucedidas para limitar as áreas afetadas? É sobre definir políticas melhores que sejam mais realistas para o seu ambiente de ameaças? Ou você deseja direcionar a segurança de aplicativos específicos?
Os testes de caneta são feitos como parte de um ciclo de vida de segurança, diz O’Gorman, e para validar controles que já estão em vigor. Se sua organização tem problemas conhecidos com seus controles, por que você pagaria alguém para reiterar o que você já sabe sobre seus sistemas? Diminua a velocidade e defina os objetivos da avaliação primeiro.
Defina um Orçamento
Agora que você estabeleceu os objetivos do teste de caneta, quais recursos você tem? Quanto você pode gastar? Quando o trabalho precisa ser concluído?
De jeito nenhum, um bom teste de caneta pode ficar caro, diz O’Gorman. Uma avaliação básica é mais barata e mais fácil de agendar. Mas se você precisar de uma avaliação completa de todos os principais sistemas e aplicativos, as empresas de teste de canetas reservam um longo prazo no futuro — e elas não são baratas. Enquanto alguns testes de caneta custam apenas US$1.000, outros podem quebrar seis dígitos, às vezes até US$5 milhões, diz ele. A empresa média de pequeno ou médio porte com 100 a 500 funcionários deve planejar gastar pelo menos US$30.000 para um trabalho de qualidade. O preço sobe a partir daí.
Jay Paz, diretor de operações e pesquisa de pentest da Cobalt, recomenda que as empresas realizem um teste de caneta pelo menos uma vez por ano. No entanto, empresas com equipes de desenvolvimento rápido para seus servidores de produção e aplicativos devem orçar para testes trimestrais de caneta. “Quanto maior o risco, maior a necessidade de testes”, diz Paz.
Reúna Informações e Emita RFPs Iniciais
Se sua organização já escorreu testes de caneta antes, revise os resultados e qualquer acompanhamento feito na época, diz O’Gorman, da Offensive Security. Converse com sua equipe de resposta a incidentes (se você tiver um) e veja em quantos e quais tipos de incidentes eles trabalharam. Qual é o status do seu programa de gerenciamento de vulnerabilidades? Reúna esse nível de informação caso o provedor de teste de caneta solicite.
Em seguida, envie um pedido de propostas. Peça recomendações aos colegas. Com boas recomendações, três fornecedores devem funcionar. Caso contrário, e se este for o seu primeiro teste de caneta, compre mais, mas fique dentro de seis solicitações. Em seguida, restrinja-os rapidamente com base em suas respostas iniciais, diz ele.
Comunique as metas e prioridades da sua organização, incluindo uma visão geral do nível de maturidade do seu programa infosec. Não dê muita informação, mas também não perca tempo não dando nada para eles trabalharem. As melhores avaliações, diz O’Gorman, são adaptadas aos objetivos da empresa, entregando resultados acionáveis que a ajudam a estabelecer “próximos passos” claramente identificados para continuar melhorando a segurança.
Defina as Regras de Engajamento
Depois de selecionar um fornecedor, defina o escopo do trabalho e as regras de engajamento. Realisticamente, isso fará ou quebrará o teste da caneta, diz O’Gorman. Portanto, se você optou por uma avaliação baseada em conformidade, não inclua nada no escopo do trabalho além do que os requisitos regulamentares exigem. Trabalhe com o fornecedor para cobrir a abordagem que eles adotarão e o que eles (ou devem) priorizar durante o teste.
Por exemplo, se algo der errado durante a avaliação, o que o fornecedor deve fazer? Para quem eles devem ligar? Uma vez que eles comprometam um sistema, eles devem parar? Ou eles devem tentar escalar, aprofundar a rede, perseguir IPs importantes ou mover-se lateralmente para expandir o acesso para mais sistemas?
Você pode ou não querer que um defensor trabalhe com o testador de caneta o tempo todo para responder a perguntas e manter a avaliação avançando. É muito importante definir esses parâmetros antes do início do trabalho.
Determine um Plano de Acompanhamento
Enquanto a avaliação prossegue, você deve exigir atualizações regulares — mas ainda dar espaço ao fornecedor para trabalhar. O’Gorman, da Offensive Security, recomenda estabelecer um ponto de contato principal para esclarecimentos ou quaisquer problemas logísticos que possam surgir.
No entanto, ao responder a perguntas, considere quais informações compartilhar com o fornecedor e se ajudarão ou prejudicarão os objetivos do projeto. Quanto você quer ajudá-los a encontrar as “joias da coroa” da empresa? Afinal, os atacantes teriam que descobrir isso por conta própria. Mas também considere se não fornecer ao fornecedor informações suficientes leva tempo longe de outro trabalho que eles poderiam estar fazendo, diz O’Gorman.
Pen test e Read Team podem ser diferentes
Shay Nahari, vice-presidente de serviços de equipe vermelha da CyberArk, sugere uma regra prática simples sobre a escolha entre testes de caneta e equipe vermelha: Testes de penetração podem ajudar a descobrir vulnerabilidades e mitigação em um escopo claramente definido, como um aplicativo ou conjunto específico de sistemas. No entanto, um exercício de equipe vermelha pode ajudar a simular táticas, técnicas e procedimentos específicos que os atacantes podem usar para perseguir as jóias da coroa de uma empresa. Exercícios da equipe vermelha mostrarão à empresa quais dados são mais vulneráveis e como os atacantes podem chegar lá.
Outra maneira de olhar para isso: Nahari diz que muito depende do escopo do projeto. Por exemplo, se uma empresa planeja lançar um novo produto e só quer ver como o produto se sustenta sob estresse, os testes de caneta de escopo limitado são acessíveis e mais apropriados.
Decida se a empresa tem o ‘Coração’ para um Exercício de Equipe Vermelha
As empresas têm que decidir até onde estão dispostas a ir, diz Paz de Cobalto. Por exemplo, você quer colocar seu pessoal em um exercício de equipe vermelha? Esses exercícios às vezes podem jogá-los em uma luz ruim, então os principais gerentes precisam criar uma cultura em que os trabalhadores não sejam destacados ou temam por seus empregos.
A gerência também tem que decidir se quer equipes vermelhas bisbilhotando seus escritórios. As equipes vermelhas farão coisas como saber quando os caminhões UPS ou FedEx chegam para que possam entrar furtivamente durante as entregas, diz Paz. Eles também podem sair com pessoas que fumam até fazer parte do grupo e serem deixados entrar no prédio. “A administração tem que decidir que está bem em expor essas fraquezas”, diz Paz.
FONTE: DARK READING