TESTES DE INTRUSÃO ? Sua empresa precisa de um?
Publicado em 04 de julho de 2011 por RICARDO ANDRIAN CAPOZZI
Resumo
Teste de Invasão, Testes de Intrusão, Penetration Test ou simplesmente PenTest, são nomes dado ao processo metodológico estruturado de busca e identificação de vulnerabilidades por simulações de tentativas de acesso não autorizado da indisposição à infra-estrutura de T.I., compostas por redes, sistemas e aplicações. No decorrer deste processo, é feita uma análise ativa das vulnerabilidades e deficiências da atual infra-estrutura que suporta o negócio da empresa, compondo uma matriz dos recursos analisados com as potencias ameaças e pontos de acessos ao perímetro de autenticação da empresa, enfatizando o possível comprometimento da disponibilidade, integridade e confidencialidade das informações.
1-Introdução.
Diariamente são descobertas novas vulnerabilidades que ao serem exploradas podem abalar os pilares da Segurança da Informação, acarretando prejuízos e danos à imagem da empresa.
Para um projeto computacional, alocam-se vários fornecedores de T.I., por vezes com acessos privilegiados e que, por questões de prazos e orçamentos lançam mão dos testes de segurança em seus códigos ou na etapa de implantação de suas infra-estruturas.
Apontar e corrigir falhas após o sistema estar em produção é somente uma parte paliativa do trabalho do Gestor de Segurança da Informação. Preparar-se para o inesperado é outra. É uma questão de tempo para um sistema ser comprometido ou fraudado. Logo, é melhor que seja executado monitoradamente por quem se confia, pois há um largo abismo entre um ataque simulado planejado e controlado contra um ataque real não esperado.
Igualmente, faz-se necessário criar uma forma de abordagem proativa para identificar tais falhas, alertando as áreas relacionadas da empresa em busca de soluções que mitiguem o risco inerente a T.I. da empresa. Estas abordagens são denominadas por Testes de Penetração ou Testes de Intrusão.
Teste de Invasão, Testes de Intrusão, Penetration Test ou simplesmente PenTest, são nomes dado ao processo metodológico estruturado de busca e identificação de vulnerabilidades por simulações de tentativas de acesso não autorizado da indisposição à infra-estrutura de T.I., compostas por redes, sistemas e aplicações. No decorrer deste processo, é feita uma análise ativa das vulnerabilidades e deficiências da atual infra-estrutura que suporta o negócio da empresa, compondo uma matriz dos recursos analisados com as potencias ameaças e pontos de acessos ao perímetro de autenticação da empresa, enfatizando o possível comprometimento da disponibilidade, integridade e confidencialidade das informações.
1-Introdução.
Diariamente são descobertas novas vulnerabilidades que ao serem exploradas podem abalar os pilares da Segurança da Informação, acarretando prejuízos e danos à imagem da empresa.
Para um projeto computacional, alocam-se vários fornecedores de T.I., por vezes com acessos privilegiados e que, por questões de prazos e orçamentos lançam mão dos testes de segurança em seus códigos ou na etapa de implantação de suas infra-estruturas.
Apontar e corrigir falhas após o sistema estar em produção é somente uma parte paliativa do trabalho do Gestor de Segurança da Informação. Preparar-se para o inesperado é outra. É uma questão de tempo para um sistema ser comprometido ou fraudado. Logo, é melhor que seja executado monitoradamente por quem se confia, pois há um largo abismo entre um ataque simulado planejado e controlado contra um ataque real não esperado.
Igualmente, faz-se necessário criar uma forma de abordagem proativa para identificar tais falhas, alertando as áreas relacionadas da empresa em busca de soluções que mitiguem o risco inerente a T.I. da empresa. Estas abordagens são denominadas por Testes de Penetração ou Testes de Intrusão.