fbpx

Se você costuma acompanhar as noticias do mundo da tecnologia, deve ter lido em algum lugar a respeito do vazamento ocorrido no canal de televisão HBO. No dia 31 de julho de 2017, a empresa anunciou que hackers haviam invadido seus servidores e roubado 1,5 terabytes de dados — entre estes, relatórios financeiros, episódios de séries ainda não lançados e roteiros.

Podemos citar outros casos famosos de invasão que causou milhões em prejuízo para mais uma empresa. Em 2014, a Sony Pictures, estúdio de Hollywood, foi alvo de hackers que vazaram filmes ainda não lançados do estúdio, além de e-mails de seus executivos e atores que participaram de filmagens. Causou prejuízo financeiro e uma saia justa entre diretores e atores após declarações polêmicas feitas nos e-mails vazados.

Situações do tipo não acontecem apenas com informações e conteúdo empresarial: de maio a julho deste ano, hackers invadiram os servidores da Equifax — um dos três maiores serviços de proteção ao crédito dos Estados Unidos —, tendo acesso a dados de 143 milhões de americanos. Entre as informações expostas, estão nomes completos, números do seguro social, endereços e outros dados que podem ser usados para roubo de identidade.

Se corporações gigantes do mercado, que investem pesado em segurança da informação anualmente, não estão a salvo do ataque dos terroristas cibernéticos, você começa a entender a necessidade de proteger os dados de sua empresa contra investidas de pessoas mal intencionadas.

Neste artigo, vamos te apresentar uma ferramenta muito importante para lhe auxiliar a manter seu negócio protegido: o teste de invasão! Acompanhe para saber mais:

Mas o que é teste de invasão?

Os testes de invasão se baseiam em um conjunto de processos e procedimentos utilizando softwares específicos de avaliação de segurança de sistemas de informação e técnicas de hacking.

Ou seja, todos os elementos envolvidos no ambiente responsável por processar informações serão testados, como computadores, aplicações web, servidores, protocolos de e-mail, informações confidenciais e periféricos.

Todos estes procedimentos têm como objetivo principal visualizar vulnerabilidades que podem ser utilizadas por hackers para realizar invasões ao sistema de sua empresa com o intuito de roubar dados e informações estratégicas.

O teste também pode ser realizado com o uso de técnicas de engenharia social por parte do agente responsável. O auditor tem como ferramentas contatos telefônicos, mídias sociais e e-mails em busca de informações privilegiadas ou falhas humanas que possam expor tais dados.

Caso os processos consigam adquirir acesso restrito ou irrestrito aos dados, os pontos fracos terão sido expostos para serem corrigidos, destacando que tipo de ataques obtiveram sucesso contra o sistema testado.

Atualmente, existem três modalidades de teste de invasão:

1. White box (Caixa branca)

Nesta modalidade, o agente responsável pelo teste tem um conhecimento prévio sobre a infraestrutura a ser testada: roteadores, IPs, mapeamento de rede, etc. O auditor não vai se preocupar em buscar informações básicas (afinal, ele já as possui), e sim explorar ao máximo as falhas da infraestrutura.

O principal objetivo deste teste é verificar as fraquezas que podem ser exploradas de dentro da empresa, desde um funcionário mal intencionado ou alguém que obteve acesso ao local e as informações.

2. Black box (Caixa preta)

Aqui, o agente vai pensar na empresa como uma caixa vedada protegendo totalmente seus dados. Sem possuir informações muito específicas, o auditor terá de realizar pesquisas sobre o negócio, buscando características como número de filiais, funcionários, softwares utilizados, horário de funcionamento, arquitetura de rede, diretores e qualquer tipo de informação que possa ajudar na tentativa de invasão.

O objetivo desta modalidade é simular um ataque externo de um hacker que não possui muitos dados disponíveis para agir. À primeira vista, parece que um invasor não teria muito o que explorar sem ter acesso a informações privilegiadas, mas não se engane: você pode se surpreender com o que um terrorista cibernético pode fazer com o mínimo em suas mãos.

3. Gray box (Caixa cinza)

Neste modelo, a ideia é realizar uma mescla entre o teste white box e o black box, onde o avaliador vai receber algumas informações que o ajudarão a conduzir a tentativa de invasão. Estas informações não serão tão completas quanto as cedidas no white box, mas ele terá mais acesso do que teria na modalidade black box.

E quais são os benefícios?

Os benefícios são vários e não apenas relacionados à segurança da informação. Mesmo que este seja o objetivo principal que buscamos ao realizar testes de invasão, existem mais alguns benefícios ao investir neste tipo de serviço:

  • Conhecer as vulnerabilidades a que sua empresa está exposta;
  • Testar na prática se os controles de segurança contratados são realmente eficazes;
  • Alocar recursos de acordo com a real necessidade da empresa;
  • Basear as decisões em fatos reais;
  • Adequar os sistemas da empresa visando a continuidade dos serviços;
  • Proteger os dados de seus clientes que estão sob sua responsabilidade;
  • Garantir a credibilidade de sua empresa;
  • Atender às exigências de normas regulatórias que exigem o teste de invasão para certificação;

O teste de invasão deve ser encarado como um investimento pela empresa, já que, com os dados do relatório final em mãos, o gestor poderá verificar que alguns recursos estão sendo mal empregados (o que gera economia), além de prevenir os prejuízos decorrentes de um ataque.

Como funciona o teste de invasão?

Geralmente, antes de o teste começar, será assinado um contrato entre a empresa que contratou os serviços e a prestadora responsável pela realização do teste.

Após o acordo entre as partes, inicia-se a parte de reconhecimento, em que o auditor vai reunir o máximo de informações acerca da empresa alvo. Depois de conseguir as informações gerais, é hora de buscar por informações da infraestrutura utilizada, como sistemas de informações e tipo de rede utilizada.

Com todas as informações relevantes reunidas, o consultor iniciará a fase de escaneamento. Nesse estágio, o auditor vai realizar uma varredura em busca das vulnerabilidades, tendo o objetivo de realizar a invasão e o roubo de dados. Ao fim do processo, ele vai limpar seus rastros e realizar uma avaliação sobre os resultados obtidos.

Concluído o teste, é hora de redigir um relatório que apresente todos os resultados obtidos, falhas encontradas e providências a se tomar com relação aos fatos ocorridos. Os especialistas do mercado são unânimes em dizer que o teste deve ser realizado no mínimo uma vez por ano ou sempre que algum sistema ou item de infraestrutura passar por alterações.

O teste de invasão é uma ótima ferramenta para combatar o ciberterrorismo e o roubo de dados, mas não é o único recurso de segurança da informação disponível no mercado para proteger a sua empresa. Assine a nossa newsletter e se mantenha informado sobre como manter seus dados seguros de ataques de hackers!