Teste De Segurança

Resumo

O Teste de Segurança / Invasão é um procedimento que visa identificar as falhas de segurança de um ambiente e aproveitá-las para invadi-lo, obtendo acesso indevido a informações e recursos.

Funciona também como um complemento à Análise de Riscos, pois identifica suas vulnerabilidades simulando a visão de um agente externo à organização e com intenções ilícitas. Entretanto, sua execução é controlada de forma a não causar danos, apenas testar a eficácia dos (eventuais) controles existentes.

Os testes dizem respeito à variação – encontrar as coisas no software e no ambiente que podem ser variadas, variá-las e ver como o software responde. A meta é garantir que o software funcione de maneira confiável e segura em cenários de produção aceitáveis e até mesmo inaceitáveis. Assim, o planejamento mais essencial que um testador pode fazer é compreender o que pode ser variado e de quais formas essa variação precisa ser preparada tendo em vista os testes.

Do ponto de vista da segurança, o ambiente, a entrada do usuário, os dados internos e a lógica são os principais locais nos quais essa variação pode revelar problemas de segurança. O ambiente consiste nos arquivos, nos aplicativos, nos recursos de sistema e nos demais recursos locais ou de rede usados pelo aplicativo. Qualquer um desses poderia ser o ponto de entrada do ataque. A entrada do usuário são os dados originados com entidades externas (normalmente não confiáveis) e que são analisados e usados pelo software. Os dados internos e a lógica são as variáveis armazenadas internamente e os caminhos lógicos, que contam com um número qualquer de enumerações potenciais.

Variando as informações no ambiente do software, o domínio da entrada e os caminhos lógicos/dados, é possível realizar ataques. Abordarei cada uma dessas três categorias mais detalhadamente.

Abstract

The Safety Test / Invasion is a procedure that aims to identify security flaws of an environment and take advantage of them to break it, obtaining unauthorized access to information and resources.

It also acts as a complement to Risk Analysis, it identifies vulnerabilities by simulating the vision of an outsider to the organization and with illicit intentions. However, its execution is controlled so as not to cause damage, just to test the effectiveness of the (possible) existing controls.

The tests relate to variation - find things in the software and in the environment that can be varied, vary them and see how the software responds. The goal is to ensure that the software works reliably and securely in production scenarios acceptable and even unacceptable. So planning more essential that a tester can do is understand what may be varied and which forms such variation must be prepared keeping in view the tests.

From the point of view of safety, the environment, user input, internal data and logic are the main places where this variation may reveal security problems. The environment consists of the files in applications, system resources and other local resources or network used by the application. Any of these could be the entry point of attack. User input data are sourced with external entities (usually unreliable) which are analyzed and used by the software. Internal data and logic variables are stored internally and logical paths that have any number of enumerations potential.

Varying the information in the software environment, the domain of the input and the logical paths / data, you can carry out attacks. Discuss each of these three categories in more detail.

Capitulo 1- Introdução

1.1-Contextualização do tema

Os testes de invasão é um termo frequentemente confundidos. Este guia fornece uma ampla visão do que significa, por que o teste de invasão é importante e como tirar o máximo proveito do processo.

• O que é um teste de invasão, pen testing?

• Por que realizar um testes de invasão ?

• O que pode ser testado no teste de invasão, segurança?

• O que deve ser testado ?

• O que fazer para garantir que o projeto seja um sucesso

teste de invasão (Pen testing)

Grande parte da confusão em torno do teste de invasão (Pen testing) decorre do fato de que é um campo relativamente recente e em rápida evolução. Além disso, muitas organizações têm suas próprias terminologias internas (um teste de invasão (Pen testing) pode ser considerado uma auditoria de avaliação de risco ou vulnerabilidade técnica).

De forma resumida, um teste de invasão (Pen testing), (nós preferimos o termo avaliação da segurança) é o processo de avaliação as suas medidas de segurança da informação. Os sistemas serão testados para encontrar quaisquer problemas de segurança, ao contrário de uma auditoria, exclusivamente teóricos ou baseados em normas.

O resultado da avaliação será documentado em um relatório, que deverá ser apresentado, onde perguntas podem ser respondidas e estratégias de correções podem ser livremente discutidas.

Porquê realizar um teste de invasão (Pen testing)?

De uma perspectiva comercial, testes de invasão (Pen testing) ajuda a proteger sua organização contra falhas, onde visa;

• Prevenir perdas financeiras por meio de fraude (hackers, extorsões e funcionários descontentes) ou através de receitas perdidas devido aos sistemas de negócios confiáveis e processos.

• Proteger a sua marca, evitando a perda de confiança dos consumidores e da reputação empresarial.

Do ponto de vista operacional, os testes de invasão (Pen testing) ajudam a moldar a estratégia de segurança da informação.:

• Identificar as vulnerabilidades e quantificação do seu impacto e probabilidade para que eles possam ser gerenciados de forma proativa; orçamento pode ser atribuída e as medidas corretivas aplicadas.

O que pode ser testado no teste de invasão?

Todas os sistemas da sua organização que armazenam ou processam informação podem ser avaliado com o teste de invasão; os sistemas que a informação é armazenada, os canais de transmissão , e os processos e pessoal que administram. Exemplos de áreas que são comumente testados:

...