• Nenhum resultado encontrado

É importante entender como calcular o risco associado com vulnerabilidades

encontrado, de modo que uma decisão pode ser feito sobre a forma de reagir. A maioria dos clientes olhar

ao triângulo CISSP da CIA ao determinar o impacto do risco. CIA é o

confidencialidade, integridade e disponibilidade de um determinado sistema ou aplicativo. Ao determinar o impacto do risco, os clientes devem olhar para cada componente

individualmente, bem como a vulnerabilidade em sua totalidade para obter uma perspectiva verdadeira

do risco e determinar a probabilidade de impacto.

Cabe ao cliente decidir se o risco associado à vulnerabilidade encontrada justifica ou supera o custo de controles necessários para reduzir o risco a um nível aceitável.

Um cliente pode não ser capaz de gastar um milhão de dólares em remediar uma ameaça que compromete impressoras de hóspedes, no entanto, eles serão muito disposto a gastar duas vezes mais

Capítulo 1

O Certified Information Systems Security Professional (CISSP) Listas de currículo fórmulas para calcular o risco da seguinte forma.

AExpectativa de perda única (LES) é o custo de uma simples perda de um Valor Patrimonial (AV). Fator de Exposição (EF) é o impacto da perda do activo vai ter a uma organização

como a perda de receita devido a um servidor voltado para a Internet a ser encerrado. Clientes deve calcular a SLE de um ativo ao avaliar os investimentos de segurança para ajudar

identificar o nível de financiamento que deve ser atribuído para controles. Se um SLE faria causar um milhão de dólares em danos para a empresa, não faria sentido considerar que no orçamento.

A única fórmula expectativa de perda: SLE = AV * EF

O próximo fórmula importante é identificar a freqüência com que o LES pode ocorrer. Se um SLE vale um milhão de dólares poderia acontecer uma vez em um milhão de anos, como um meteoro

caindo do céu, pode não valer a pena investir milhões em uma redoma de proteção

em torno de seu quartel-general. Em contrapartida, se um incêndio pode causar um milhão de dólares

de dano e é esperado a cada dois anos, seria aconselhável investir em um incêndio

sistema de prevenção. O número de vezes que um ativo é perdido é chamado de Taxa Anual de Ocorrência (ARO).

O Expectativa de perda anual (ALE) é uma expressão da perda antecipada anual

devido ao risco. Por exemplo, uma queda de meteoros tem uma baixa expectativa de anualizada (Uma vez em um milhão de anos), enquanto que um incêndio é muito mais provável e deve ser calculada em

futuros investimentos para a proteção de um edifício. Anualizado fórmula expectativa de perda:

ALE = SLE * ARO

A pergunta final e importante a ser respondida é o risco associado a um ativo usado para descobrir o investimento para os controles. Isto pode determinar se, e quanto a cliente deve investir em remediar a vulnerabilidade encontrada em um ativo.

Fórmula de risco:

Risco = Valor Patrimonial * Ameaça * Vulnerabilidade * Impacto

É comum que os clientes não têm valores para as variáveis em Gestão de Riscos

fórmulas. Estas fórmulas servem como sistemas de orientação, para ajudar o cliente a melhor entender como eles devem investir em segurança. Nas minhas exemplos anteriores, utilizando a fórmulas com valores estimados para uma chuva de meteoros e fogo em um edifício, deve ajudar a explicar com valor em dólar estimada por um sistema de prevenção de incêndios é uma melhor

investimento de cúpula de metal protegendo a queda de objetos.

Teste de Invasão é o método de atacar as vulnerabilidades do sistema de forma semelhante para ataques maliciosos reais. Normalmente, os serviços de testes de penetração são solicitados quando

um sistema ou rede esgotou os investimentos em segurança e os clientes estão buscando verificar se todas as vias de segurança foram cobertas. Teste de Invasão pode ser preto, Branco ou caixa cinza, dependendo do escopo de trabalho acordado.

A principal diferença entre a Avaliação de teste de penetração e vulnerabilidade é

que um teste de penetração vai agir sobre vulnerabilidades encontradas e verificar se eles estão reduzindo reais da lista de risco associado confirmada com um alvo. A Vulnerabilidade

Avaliação de um alvo pode mudar para um teste de penetração uma vez que o proprietário do ativo autorizou o prestador de serviços para executar ataques contra as vulnerabilidades

identificado num alvo. Normalmente, os serviços de testes de penetração têm um custo mais elevado associado desde os serviços exigem recursos mais caros, ferramentas e tempo para

completar tarefas com sucesso. Um equívoco popular é que a penetração

Serviço de teste aumenta a segurança de TI pois os serviços têm um custo mais elevado associado de outros serviços de segurança:

• O Teste de Invasão não tornar as redes de TI mais seguro, já que os serviços avaliar a segurança existente! Um cliente não deve considerar um Penetração Testar se há uma crença a meta não é completamente seguro.

Teste de Invasão pode causar um impacto negativo aos sistemas: É fundamental para ter autorização por escrito das autoridades competentes, antes de iniciar

Um teste de penetração de um ativo pertence a outro partido. Não ter adequado autorização pode ser visto como pirataria ilegal pelas autoridades. Autorização

deve incluir quem é responsável por quaisquer danos causados durante a penetração exercício, bem como quem deve ser contactado a fim de evitar futuros impactos negativos uma vez que um sistema é danificado. A melhor prática é alertar os clientes de toda a riscos potenciais associados com cada método usado para comprometer um alvo

antes de executar o ataque para definir as expectativas de nível. Este é também um dos razões que recomendamos Teste de Invasão alvejado com um pequeno alcance.

É mais fácil de ser muito mais metódico na sua abordagem. Como comum

melhores práticas, recebemos a confirmação, que é um cenário de pior caso, que uma sistema pode ser restaurado por um cliente usando backups ou algum outro desastre método de recuperação.

Teste de Penetração expectativas entregáveis devem ser bem definidos embora concordando em um escopo de trabalho. Os métodos mais comuns pelo qual hackers obtêm informações

sobre as metas é através de engenharia social através de atacar as pessoas, em vez de sistemas. Exemplos está entrevistando para uma posição dentro da organização e saindo um

semana depois com dados sensíveis oferecidos sem resistência. Este tipo de entrega maio não ser aceitável se um cliente está interessado em saber o quão vulnerável a web

aplicações são para o ataque remoto. É também importante ter um objectivo final definido assim que todas as partes compreendam quando os serviços de penetração são considerados concluiu. Normalmente, uma entrega acordados serve esse propósito.

Capítulo 1

O sucesso de um engajamento teste de penetração para um prestador de serviços é baseado em rentabilidade de tempo e serviços utilizados para entregar o engajamento Teste de Invasão.

Um processo mais eficiente e preciso significa melhores resultados para menos serviços utilizados. Quanto maior for a qualidade dos resultados, quanto mais próximo o serviço pode atender ao cliente expectativa, resultando em uma melhor reputação e mais negócios no futuro. Para estes

razões, é importante desenvolver uma metodologia para a execução de testes de penetração serviços, bem como sobre como denunciar o que for encontrado.