q
1 A atividade de identificação das vulnerabilidades tem por objetivo criar uma lista com as vulnerabilidades associadas aos ativos, ameaças e controles.
1 Vulnerabilidade é qualquer fraqueza que possa ser explorada e comprometa a segu- rança de sistemas ou informações.
2 Entrada: as listas de ameaças conhecidas, de ativos e de controles existentes, e todas saídas das atividades anteriores.
2 Ação: atividade de identificação das vulnerabilidades que possam ser exploradas por ameaças e assim comprometer os ativos da organização.
2 Saída: lista de cenários de incidentes com suas consequências associadas aos ativos e processos do negócio.
1 Durante o desenvolvimento da atividade, as seguintes áreas deverão ser observadas para a identificação de vulnerabilidades:
2 Organização.
2 Processos e procedimentos. 2 Rotinas de gestão e documentação.
2 Recursos humanos (incluindo terceiros e prestadores de serviços). 2 Ambiente físico e instalações prediais.
Figura 4.1 Identificação das vulnerabilidades e consequências.
Ca pí tu lo 4 - A ná lis e d e r is co s: V ul ne ra bi lid ad es e c on se qu ên ci as
q
2 Configuração dos sistemas de informação (incluindo os sistemas operacionais e aplicativos).
2 Hardware, software e equipamentos de comunicação. 2 Dependências de entidades externas.
1 Métodos proativos:
2 Ferramentas automatizadas de procura e identificação de vulnerabilidades. 2 Avaliação e testes de segurança.
2 Teste de invasão. 2 Análise crítica de código.
Vulnerabilidade é qualquer fraqueza que possa ser explorada e comprometa a segurança de sistemas ou informações. É uma fragilidade de um ativo ou grupo de ativos que pode ser explorada para concretizar uma ou mais ameaças.
Identificação das ameaças Identificação dos controles existentes Identificação de Riscos Identificação dos ativos Identificação das consequências Identificação das vulnerabilidades
A atividade de identificação das vulnerabilidades tem por objetivo criar uma lista com as vulnerabilidades associadas aos ativos, ameaças e controles. Nesta atividade, a equipe de análise terá como:
1 Entrada: listas de ameaças conhecidas, listas de ativos e de controles existentes, além de todas as saídas das atividades anteriores.
1 Ação: atividade de identificação das vulnerabilidades que possam ser exploradas por ameaças com a possibilidade de comprometer os ativos.
1 Saída: lista de cenários de incidentes com suas consequências associadas aos ativos e processos do negócio.
Figura 4.2 Identificação das vulnerabilidades.
G es tã o d e R is co s d e T I N BR 2 70 05 Lista de vulnerabilidades associadas aos ativos, às ameaças e aos controles Lista de vulnerabilidades que não se referem a nenhuma ameaça identificada
Entrada Ação Saída
Lista de ameaças Lista de ativos
Lista de controles existentes
Identificação das Vulnerabilidades (8.2.5 da ABNT NBR ISO/IEC 27005)
Na realização da atividade de identificação de vulnerabilidade, a equipe deve trabalhar através de dois olhares: de fora para dentro e de dentro para fora. No olhar de dentro para fora, é a visão interna, com diversos privilégios, sendo confiável. Que vulnerabilidades podem existir ou podem ser exploradas? Como os sistemas podem ser comprometidos pelo pessoal interno?
Na segunda, de fora para dentro, os sistemas tentarão ser comprometidos de fora. O que pode ser acessado externamente que possa comprometer os ativos e informações da orga- nização? O que pode ser explorado para conferir privilégios não permitidos? Esta é a visão de um atacante que tenta invadir o sistema: endereços IP publicamente roteáveis, sistemas na DMZ (DeMilitarized Zone – zona desmilitarizada), interfaces externas do firewall etc. Há diferenças notáveis entre estes dois tipos de avaliação de vulnerabilidades.
A equipe de análise deve ter em mente que a existência de vulnerabilidades por si só não produz prejuízos, pois para isso é preciso que haja uma ameaça. Mesmo assim é necessário monitorar a vulnerabilidade, para o caso de identificar mudanças em sua configuração. Uma boa prática para esta atividade é a equipe de análise percorrer todas as dependências abrangidas pelo escopo e realizar as entrevistas no próprio ambiente de trabalho dos entre- vistados, facilitando a formulação de questionamentos a partir das observações no ambiente. É uma forma de observar vulnerabilidades e a partir delas identificar outras. Outra prática que pode ser empregada é a identificação de vulnerabilidades através do uso de métodos proa- tivos de testes, apesar do custo mais elevado. Entre os métodos podem ser citados: 1 Ferramentas automatizadas de procura e identificação de vulnerabilidades:
softwares criados para testes de segurança e descobertas de vulnerabilidades de forma automática, gerando relatórios detalhados dos problemas e vulnerabilidades identifi- cados no sistema. As ferramentas automatizadas são capazes de cruzar informações, analisá-las e testar as vulnerabilidades encontradas de maneira eficiente. Tais ferra- mentas têm amadurecido, catalogando em suas bases de conhecimento a maioria das vulnerabilidades existentes, embora ainda possuam um custo relativamente alto. 1 Avaliação e testes de segurança: avaliação de vulnerabilidade é um primeiro passo de
verificação de vulnerabilidades. Os resultados e informações obtidos através das avalia- ções serão utilizados para a realização dos testes. A avaliação verifica vulnerabilidades potenciais e os testes de segurança tentam explorá-las.
1 Teste de invasão: tem como objetivo a verificação da resistência do ativo em relação aos métodos de ataque conhecidos.
1 Análise crítica de código: identificação de vulnerabilidades em códigos-fonte.
Em resumo, os resultados destes tipos de testes de segurança ajudam na identificação das vulnerabilidades de um sistema. Figura 4.3 Identificação das vulnerabilidades. O anexo D da norma ABNT NBR ISO/IEC 27005 apresenta uma lista com diversos exemplos de vulnerabi- lidades, suas ameaças relacionadas e métodos para avaliação de vulnerabilidades técnicas.
Ca pí tu lo 4 - A ná lis e d e r is co s: V ul ne ra bi lid ad es e c on se qu ên ci as
Exercício de fixação 1 e
Identificando vulnerabilidades
Cite três vulnerabilidades, sob a visão interna, da sua organização? Justifique.
Cite três vulnerabilidades, sob a visão de fora para dentro, da sua organização? Justifique.