Capítulo 8. Avaliação de Vulnerabilidade

Dados o tempo, os recursos e a motivação, um cracker pode violar praticamente qualquer sistema. No final das contas, todos os procedimentos e tecnologias de segurança atualmente disponíveis não podem garantir que seus sistemas estão seguros contra uma intrusão. Roteadores podem ajudar a proteger suas portas de comunicação (gateways) com a Internet. Firewalls ajudam a proteger a fronteira da rede. Redes Privadas Virtuais (Virtual Private Networks - VPNs) podem transferir dados seguramente através de informações criptografadas. Sistemas de detecção de intrusão podem alertá-lo sobre atividades maléficas. No entanto, o sucesso de cada uma destas tecnologias depende de diversas variáveis, incluindo:

Dado o dinamismo de sistemas e tecnologias de dados, proteger recursos corporativos pode ser bastante complexo. Devido essa complexidade, geralmente é difícil encontrar peritos para todos os seus sistemas. Enquanto é possível ter pessoal com conhecimento em muitas áreas de segurança da informação em um alto nível, é difícil reter funcionários que são peritos em mais do que algumas áreas. Isto ocorre principalmente porque cada área da Segurança da Informação requer constante atenção e foco. A segurança da informação não pára.

8.1. Pensando Como o Inimigo

Suponha que você administre uma rede corporativa. Essas redes são comumente compostas de sistemas operacionais, aplicações, servidores, monitores de rede, firewalls, sistemas de detecção de intrusão e outros. Agora imagine tentar manter-se atualizado com cada um destes. Dada a complexidade dos softwares e ambientes de rede atuais, exploits e erros são uma certeza. Manter-se informado sobre consertos e atualizações para uma rede inteira pode ser uma tarefa perturbadora em uma grande empresa com sistemas heterogêneos.

Mesmo combinando os requerimentos de conhecimento com a tarefa de manter-se atual, é inevitável que incidentes adversos ocorram, sistemas sejam violados, dados corrompidos e serviços sejam interrompidos.

Para aprimorar as tecnologias de segurança e auxiliar na proteção de sistemas, redes e dados, pense como um cracker e meça a segurança dos sistemas verificando suas fraquezas. Avaliações preventivas de vulnerabilidade em seus prórprios sistemas e recursos de rede podem revelar questões potenciais a serem consideradas antes de um cracker explorá-las.

Uma avaliação de vulnerabilidade é uma auditoria interna da segurança de sua rede e sistemas, cujos resultados indicam a confidencialidade, integridade e disponibilidade de sua rede (conforme explanado na Seção 1.1.4). Uma avaliação de vulnerabilidade tipicamente começará com uma fase de reconhecimento, durante a qual são coletados dados importantes referentes à rede e aos sistemas alvo. Esta fase levará à fase de prontidão do sistema, onde o alvo é checado em todas as suas vulnerabilidades conhecidas. A fase de prontidão culmina na fase do relatório, na qual os resultados são classificados em alto, médio e baixo risco, e métodos são discutidos para melhorar a segurança (ou para minimizar o risco de vulnerabilidade) do alvo.

Se tivesse que executar uma avaliação de vulnerabilidade da sua casa, você provavelmente verificaria cada uma das portas para certificar-se de que elas estão fechadas e trancadas. Você também checaria todas as janelas, assegurando que estão completamente fechadas e corretamente travadas. O mesmo conceito se aplica aos sistemas, redes e dados eletrônicos. Usuários maldosos são os ladrões e vândalos de seus dados. Foque em suas ferramentas, mentalidade e motivações, e você poderá reagir rapidamente às suas ações.