Results 1 to 1 of 1

Thread: [noticia] - O futuro do teste de penetração dos sistemas de informação

  1. #1
    Moderator firebits's Avatar
    Join Date
    Mar 2010
    Location
    Brazil
    Posts
    353

    Lightbulb [noticia] - O futuro do teste de penetração dos sistemas de informação

    Algumas semanas atrás, havia algumas discussões no fórum da SecurityFocus pentest características de um "especialista pentest".

    Infelizmente eu tenho que dizer que muitos dos profissionais da área vivem no passado, buscando glorificar uma arte na sua forma actual já não satisfaz as necessidades das organizações.

    Sem subestimar as capacidades técnicas dos nossos colegas e deixando de lado todos os elitista e egocêntrico assunto de alguns destes debates (agora é somente aquele que tem agendada uma façanha digna de ser chamada de "pentest"), quero me concentrar em como evoluir este assunto, do meu ponto de vista, para permanecer no poder.

    O que mudou
    Temos de compreender e aceitar acima de tudo, que a situação já não é o mesmo que uma década atrás, quando a disciplina estava em pleno andamento.

    Hoje, os requisitos de segurança das organizações exigem uma mudança radical no teste de penetração que fornece um valor claro.

    Isto é o que mudou:


    • As empresas reconhecem a necessidade de padrões mínimos de segurança (não mais necessário para mostrar que, se não aplicar patches ou outros controles podem sofrer um incidente sério).
    • As empresas reconhecem que, tendo em conta os recursos materiais suficientes, humanos e técnicos, o acesso a determinadas informações ou sistema é praticamente impossível evitar (também já não precisa de alguém para mostrar).
    • As empresas descobriram que os testes de segurança global em um sistema específico dá mais valor para implementar uma arquitetura de segurança básica, que considera todos os componentes críticos e riscos "relevantes" para o negócio.
    • Business e os criminosos também entendo que não a maioria dos riscos de segurança atualmente residem no vulnerabilidades técnicas, mas sim de processos e pessoas.
    • As empresas sabem que não precisa mais contratar especialistas que apenas disse que está muito ruim (tecnicamente), e que seus problemas são resolvidos através da implementação de controles de segurança complexos e caros, sem considerar a raiz do problema (que normalmente não é técnico).
    • Muitas empresas já têm um nível mínimo de conhecimentos de segurança que lhes permitam exigir qualidade dos resultados e razoável nos projetos, e não se impressionam com tecnicalidades.
    • Os controles de segurança têm evoluído a par tornar-se uma comodity "aumentar os ataques tendem mais para o lado humano de sistemas operacionais de rede e aplicativo.
    • As avaliações hoje automatizado vulnerabilidade são tão completos e proporcionar um nível de profundidade da análise suficiente para a maioria das empresas, dentro de um prazo razoável (mais rentável do que os testes manual que pode oferecer a pentesters mais experientes) .
    • As empresas de hoje o valor da confiança que o grau de especialização técnica (A maioria dos especialistas de mercado e ter um nível mínimo aceitável. Além disso, os hackers que se infiltrou antes programado essas redes, vírus ou worms antes foram recompensados e reconhecidos, e hoje vão para a cadeia e são evitadas pelas empresas).
    • Normas, tais como PCI, que consideram o teste de penetração tradicional como pré-requisito, é hoje fortemente criticado pelos altos custos envolvidos, em comparação com a melhoria real das normas de segurança que oferecem (custo - benefício).
    • As empresas estão promovendo programas de segurança com base em sua própria análise de risco, mais do que uma aplicação cega de "melhores práticas genéricas."


    O valor do pentesting
    Anteriormente a afirmação comum de que o teste de penetração para complementar os sistemas de análise de vulnerabilidade automatizado (a cobertura), a revisão em profundidade dos sistemas mais críticos.

    Mas, dadas as mudanças mencionadas acima, o teste de penetração perdem o seu valor para muitas empresas, incluindo o fornecimento de todo o conhecimento possível para os especialistas que realizaram.

    Complementando as revisões de vulnerabilidades através de uma análise mais profunda técnica é quase inútil hoje, e isso é percebido não só empresas mas também criminosos.

    No entanto, existe um caminho evolutivo para pentesting alguns já explorado: a avaliação complementar de segurança em sentido inverso, ou seja, entrar em detalhes sobre os processos de negócio.

    E isso faz muito sentido. Se virou-nos as nossas empresas e nós pensamos sobre onde procurar um criminoso comum, para ter acesso a informações sigilosas ou de nossos sistemas, percebemos que a sua primeira escolha, provavelmente não seria o meio técnico, mas sim como suborno ou engenharia social.

    Pentesting em meados dos anos 10's
    Isto é como eu vejo a prova de penetração de sistemas na década para década, apenas digite:


    • Em uma análise aprofundada dos processos de negócio e seus riscos e vulnerabilidades em processos e pessoas.
    • Identifique o caminho mais viável (sem viés técnico) para obter informações confidenciais ou acesso não autorizado aos recursos corporativos.
    • Maior ênfase na parametrização das avaliações de vulnerabilidade no âmbito do ambiente de negócios (aumento da eficiência de avaliações de vulnerabilidade automatizado).
    • A documentação da relação entre as vulnerabilidades técnicas decorrentes das avaliações de vulnerabilidade automatizados, eo impacto no negócio (risco real).
    • Auditoria requisitos de negócio específicos (necessidades normativas e específicas da indústria.)
    • Relatórios com linguagem não técnica e recomendações de uma solução clara, com um foco no "top-down".
    • Pessoal experiente em equilíbrio: ambos os testes técnicos de acesso aos sistemas de gestão e ferramentas automatizadas para avaliação de vulnerabilidade, como o conhecimento do negócio em que operam e análise de processos.

    Conclusão
    A única constante na vida é mudança, ea disciplina de segurança da informação não é excepção. sistemas de teste de penetração deve evoluir para um ponto onde eles podem fornecer um benefício tangível para as empresas.

    A aproximação com a contratação de um técnico especializado para análise em um tempo finito o que eles acham que é relevante, dependendo em grande parte, a sorte ea habilidade técnica e conhecimentos especializados, e aceitar os resultados sem a compreensão da relação resultados para os riscos do negócio já não é uma opção.

    Autor: Omar Reyna Alejandro Herrera
    Fonte: Digital Lock
    Noticias de Seguridad Informática - Segu-Info: El futuro de las pruebas de penetración a sistemas de información

    Traduzido e Adaptado por firebits
    Last edited by firebits; 05-25-2010 at 09:44 PM.

Similar Threads

  1. Replies: 1
    Last Post: 08-08-2010, 05:08 PM
  2. [noticia] - BackTrack 4 Release 1 (R1 Dev)
    By firebits in forum Duvidas Gerais
    Replies: 0
    Last Post: 05-05-2010, 03:57 PM
  3. [mac spoofing] - Em sistemas UNIX, *BSD e Linux
    By firebits in forum Suporte Software
    Replies: 0
    Last Post: 04-09-2010, 08:02 PM
  4. Dez falhas em Segurança da Informação!
    By firebits in forum Tutoriais e Howtos
    Replies: 0
    Last Post: 04-09-2010, 06:55 PM

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •