fbpx
by

Introdução aos testes de segurança: um guia prático para startups

Um equívoco comum entre os fundadores de startups é que os cibercriminosos não perderão tempo com eles, porque ainda não são grandes ou conhecidos o suficiente. Mas só porque você é pequeno não significa que não está na linha de fogo. O tamanho de uma startup não a isenta de ataques cibernéticos – isso porque os hackers constantemente vasculham a internet em busca de falhas que possam explorar, um deslize e seu negócio pode virar notícia de primeira página, pelos motivos errados.

Felizmente, os compradores também estão cada vez mais cientes da importância da segurança cibernética e normalmente perguntam às startups sobre os processos que usam para proteger seus dados – o que significa que a segurança cibernética agora está se tornando um importante facilitador de negócios.

Portanto, se você é um CTO pensando em incrementar a postura de segurança cibernética de seus aplicativos móveis ou da web, então você já está no caminho certo, mas com tantas opções, por onde começar?

Para ajudá-lo a começar, criamos este guia que cobre os seguintes pontos cruciais:

  • Respondendo à pergunta: “O que são testes de segurança?”
  • Compreender as razões para realizar testes de segurança
  • Definir o escopo dos testes de segurança cibernética
  • Saber quando realizar o teste de penetração

O que são testes de segurança?

Teste de segurança é um termo amplo que se refere ao processo de verificação de vulnerabilidades em um sistema, rede ou software que podem ser aproveitadas por hackers e outros agentes de ameaças. Ele pode vir em várias formas, portanto, neste artigo, exploraremos dois de seus principais componentes:

  1. Avaliação de vulnerabilidade: um teste de segurança automatizado usando ferramentas para examinar seus sistemas ou aplicativos em busca de problemas de segurança. Essas ferramentas são chamadas de “scanners de vulnerabilidade” e executam testes automatizados para descobrir falhas em seus aplicativos ou infraestrutura. Os tipos de falhas podem ser fraquezas no nível do aplicativo, problemas de configuração da nuvem ou simplesmente revelar software com patches de segurança ausentes (uma das causas mais comuns de violações de segurança cibernética).
  2. Teste de penetração: Principalmente uma avaliação manual por um especialista em segurança cibernética (embora geralmente seja suportada por ferramentas de varredura de vulnerabilidade), bem como determinar até que ponto os agentes de ameaças podem explorar vulnerabilidades.
    O teste de penetração é uma ótima maneira de encontrar o máximo de pontos fracos possíveis em um determinado momento, mas você deve considerar a rapidez com que será alertado sobre novas vulnerabilidades depois que os pen testers forem para casa (dica: não rápido o suficiente, você deseja um scanner de vulnerabilidade para isso).

Os verificadores de vulnerabilidade também permitem que as organizações aprendam mais sobre seu status de segurança antes de se comprometer com testes manuais mais aprofundados e geralmente mais caros. Isso é óbvio em muitos casos, já que os testadores de penetração geralmente começam seus testes executando as mesmas ferramentas automatizadas. E você não gostaria de tornar isso muito fácil para eles, faria! 😉

Por que realizar testes de segurança?

O Relatório de Segurança do Estado do Software da Veracode revelou que 83% da amostra do estudo, compreendendo 85.000 aplicativos de software usados ​​por 2.300 empresas em todo o mundo, teve pelo menos uma vulnerabilidade de segurança descoberta durante um teste de segurança inicial. Sem o teste, essas falhas teriam sido lançadas em produção, tornando o software vulnerável a ataques cibernéticos.

Se por esse motivo você decidiu começar os testes de segurança simplesmente para encontrar seus pontos fracos antes que os hackers o façam, ótimo. Você tem flexibilidade para decidir seus próprios requisitos, pule para a próxima seção. Caso contrário, outros motivos comuns para realizar testes de segurança são:

  • Solicitações de terceiros ou clientes. Se parceiros ou clientes solicitaram especificamente que você execute testes de segurança para garantir que os dados de seus clientes permaneçam protegidos contra invasores cibernéticos, você pode ter requisitos mais rigorosos. No entanto, ainda pode haver espaço para interpretação. É muito comum que os clientes exijam um “teste de penetração” – mas eles raramente especificam o que isso significa exatamente.
  • ‍Certificações de conformidade e regulamentações do setor. Muitos regulamentos do setor ou certificações de conformidade também exigem que as organizações sejam submetidas a testes regulares de segurança. Exemplos comuns incluem ISO 27001, PCI DSS e SOC2. Esses padrões especificam os testes necessários em vários níveis de detalhe, mas mesmo os mais específicos não especificam exatamente como ou o que testar, pois depende do cenário em questão. Por esse motivo, muitas vezes é aceito que a empresa que está sendo testada está em melhor posição para determinar qual nível de teste de segurança faz sentido em seu cenário. Portanto, você pode achar que a orientação abaixo ainda é útil para determinar o que e como testar.
Seu cliente ou auditor sempre terá a última chamada, mas você conhece melhor o seu negócio, portanto, ao propor uma estratégia de teste sensata, geralmente ambos os lados podem chegar a um acordo.

Pense na estratégia antes dos testes de segurança individuais


Avaliação de risco: quanto você é um alvo?
Cada empresa é única e, por isso, o risco será exclusivo para você. No entanto, pode ser difícil saber qual é o nível certo de teste. Você pode usar o seguinte como um guia aproximado do que vemos no setor:

1. Se você não armazenar dados particularmente sensíveis

Por exemplo, você pode fornecer uma ferramenta de monitoramento de tempo de atividade do site e não armazenar dados particularmente confidenciais. Até que você cresça o suficiente para ser um alvo específico, você provavelmente só precisa se preocupar com hacks indiscriminados por aqueles que procuram uma colheita fácil. Em caso afirmativo, é mais provável que você precise apenas de verificações de vulnerabilidade automatizadas. Concentrando-se em qualquer sistema exposto à Internet (ou potencialmente exposto), como qualquer acesso remoto (VPNs, logins de administração remota), firewalls, sites ou aplicativos, APIs, bem como sistemas que podem ficar online por acidente (qualquer coisa dentro de uma plataforma de nuvem pode facilmente colocado na Internet por acidente).

2. Se você armazenar dados do cliente

‍Talvez você seja uma plataforma de análise de dados de marketing, então pode enfrentar menos ameaças de internos e gangues criminosas, mas certamente precisa se preocupar com o acesso dos clientes aos dados uns dos outros ou com uma violação geral de dados. Ou, por exemplo, você tem um aplicativo, mas qualquer pessoa pode se registrar para uma conta online, você vai querer considerar um teste de penetração “autenticado”, da perspectiva de um usuário normal – mas talvez não da perspectiva de um funcionário com costas limitadas – finalizar o acesso. Você também vai querer ter certeza de que os laptops dos funcionários estão totalmente atualizados com as atualizações de segurança mais recentes.

3. Se você estiver oferecendo um serviço financeiro

Se você é uma startup da FinTech movimentando dinheiro, precisará se preocupar com clientes mal-intencionados e até mesmo funcionários mal-intencionados – bem como com gangues de criminosos cibernéticos que visam você. Nesse caso, você desejará considerar a avaliação contínua da vulnerabilidade e testes de penetração manuais completos regulares em todos esses cenários.

4. Se você não tem nada exposto à internet

Talvez você não tenha nada exposto à Internet ou não desenvolva aplicativos voltados para o cliente – então, sua principal superfície de ataque são os laptops dos funcionários e os serviços em nuvem. Nesse caso, a varredura automatizada de vulnerabilidades de seus próprios laptops faz mais sentido, e você pode considerar um tipo mais agressivo de teste de penetração, “conhecido como formação de equipe vermelha”, se precisar de garantia adicional.

Cada empresa é única e não existe uma estratégia de segurança cibernética única que funcione para todas as startups. É por isso que você precisa começar entendendo onde residem seus próprios riscos.

O que você precisa proteger?

Idealmente, antes de planejar o teste de segurança em si, você deve considerar quais ativos você possui, tanto técnicos quanto informativos, um processo conhecido como “gerenciamento de ativos”.

Um exemplo muito simples poderia ser: “Temos 70 laptops de funcionários, usamos principalmente serviços em nuvem e temos os dados de nossos clientes armazenados e com backup no Google Cloud Platform, além de um aplicativo que permite acesso de administrador e cliente. Nossos dados mais importantes são os dados que armazenamos em nome dos clientes e os dados de nossos funcionários em nossos sistemas de RH ”. Pensar nisso ajuda a começar a formar a base para definir o escopo de um teste. Por exemplo:

  • Nosso sistema de RH é um serviço em nuvem, então simplesmente pedimos a eles uma prova de teste de segurança (e, portanto, não precisamos testá-los nós mesmos).
  • Que endereços IP temos no Google Cloud, quais domínios são registrados (existem ferramentas que podem ajudar nisso;)].
  • Nossos engenheiros não baixam o banco de dados de produção, mas têm acesso aos nossos sistemas em nuvem, portanto, seus laptops e contas de nuvem e e-mail também fazem parte de nossa superfície de ataque.
Executar o gerenciamento de ativos ajudará você a controlar os sistemas pertencentes à sua organização, bem como a determinar quais endereços IP e nomes de domínio precisam ser testados.

Com que frequência uma pequena empresa deve realizar testes de segurança?

Depende do tipo de teste! Obviamente, a vantagem dos testes automatizados é que eles podem ser executados com a regularidade que você desejar. Embora os testes de penetração sejam mais caros para serem executados com frequência.

Executar varredura de vulnerabilidade de rotina pelo menos uma vez por mês pode ajudar a fortalecer sua infraestrutura de TI e é recomendado pelo National Cyber ​​Security Center (NCSC). Essa prática ajuda as empresas a ficarem de olho na lista interminável de novas ameaças; mais de 10.000 novas vulnerabilidades são relatadas a cada ano.

Além da varredura de vulnerabilidade regular, também é aconselhável executar varreduras sempre que forem feitas alterações no sistema. Saber exatamente com que frequência realizar varreduras de vulnerabilidade pode ser complicado, então, se você estiver interessado em saber mais, escrevemos um artigo mais detalhado sobre esse tópico.

Tipos de scanner de vulnerabilidade

Você pode escolher entre vários tipos de scanners de vulnerabilidade – baseado em rede, baseado em agente, aplicativo da web e infraestrutura. A escolha depende de quais ativos você pretende proteger, embora existam algumas diretrizes a serem seguidas para ajudá-lo a selecionar o scanner de vulnerabilidade mais adequado para sua empresa.

Alguns exemplos clássicos de scanners de rede são Nessus e Qualys. Ambos são líderes de mercado e fornecem um nível robusto de cobertura de segurança e vulnerabilidade. Uma alternativa moderna que você pode considerar se quiser uma ferramenta fácil de usar é o Intruder. Este verificador de vulnerabilidade online foi desenvolvido especificamente para economizar o tempo das pequenas empresas, ao mesmo tempo que fornece verificações de alta qualidade, bem como verificações automáticas de ameaças emergentes.

Quais são os benefícios da avaliação de vulnerabilidade?

A avaliação de vulnerabilidade visa descobrir automaticamente o máximo possível de falhas de segurança, para que possam ser mitigadas antes que os agentes da ameaça possam chegar até elas. Também ajuda a tornar o teste de penetração, que, ao contrário, é um processo manual, mais eficiente. Na verdade, conforme explicado pelo NCSC, “Ao cuidar do‘ fruto mais fácil ’por meio da varredura de vulnerabilidade regular, os compromissos de teste de penetração podem se concentrar de forma mais eficiente em problemas de segurança complicados que são mais adequados para um ser humano.”

Quando fazer um teste de penetração?

Os pen testers imitam os ciberataques da vida real, mas, ao contrário dos agentes de ameaças, eles seguem um escopo predefinido e não abusam dos ativos e dados da organização. Em comparação com a varredura de vulnerabilidade, eles têm muito mais probabilidade de descobrir fraquezas complicadas ou de alto impacto na camada de negócios, como a manipulação de preços de produtos, o uso de uma conta de cliente para acessar os dados de outro cliente ou a mudança de uma fraqueza inicial para o controle total do sistema A desvantagem é que, em comparação, é caro, então quando é o momento certo para executar um?

Pense nos principais cronogramas da avaliação de risco acima, por exemplo, depois que seu produto for desenvolvido, mas antes de começar a coletar dados reais do cliente. Ou depois de manter alguns dados não confidenciais do cliente, mas antes de começar a manter o salário ou informações relacionadas à saúde.

Quando você estiver pronto e funcionando, o teste de penetração deve ser realizado após grandes mudanças, como alterar seu sistema de autenticação, liberando um novo recurso importante; ou após 6-12 meses de pequenas mudanças (já que cada uma delas, em teoria, poderia acidentalmente introduzir uma fraqueza). Mais uma vez, isso depende do seu nível de risco, se você está movimentando dinheiro mesmo com a frequência que a cada 3 meses seria aconselhável (ou mais!), Mas se você estiver na extremidade inferior do espectro de risco uma vez a cada 12 meses é um programação comumente aceita.

 

O teste de penetração deve ser realizado antes de implementar mudanças importantes no sistema ou em intervalos regulares de 6 a 12 meses.

Existem vários tipos de teste de penetração. O teste de penetração pode procurar falhas de segurança na tecnologia, como em suas redes externas e internas, bem como em aplicativos da web. No entanto, também pode encontrar vulnerabilidades nos recursos humanos de uma organização, como no caso da engenharia social. A empresa de teste de caneta que você escolher dependerá do tipo de ativos que deseja testar, mas outros fatores, como certificações, preço e experiência também devem ser considerados.

Como fazer um teste de penetração?

Os testes de penetração devem sempre ter um escopo definido, para ajudar os testadores a aproveitar ao máximo seu tempo e se concentrar nas principais questões de segurança. Um bom escopo de teste de penetração deve responder às seguintes perguntas:

  1. Quais ativos estão incluídos, são apenas IPs e domínios específicos para atacar (por exemplo, apenas o ambiente de teste), ou os testadores podem ter como alvo qualquer sistema da empresa de produção ou mesmo contas de e-mail de executivos / engenheiros?
  2. Existem objetivos específicos do teste ou perguntas a serem respondidas? Por exemplo. Subverta fluxos de trabalho de autorização. Dados da empresa corrompidos. Use o acesso regular de um funcionário para obter acesso a dados restritos da empresa. Obtenha acesso ao servidor de compilação e corrompa uma versão com um backdoor.
  3. Qualquer coisa que não esteja especificamente no escopo, por exemplo, teste de negação de serviço (simplesmente sobrecarregando os sistemas com tráfego) – ou entrar fisicamente nos escritórios da empresa.

Conclusão

O teste de segurança é um processo crítico de segurança cibernética que visa detectar vulnerabilidades em sistemas, software, redes e aplicativos. Suas formas mais comuns são avaliação de vulnerabilidade e teste de penetração, mas o objetivo é sempre resolver as falhas de segurança antes que os agentes mal-intencionados possam explorá-las.

Lembre-se de que os agentes de ameaças também realizam testes de segurança de rotina para procurar qualquer vulnerabilidade que possam abusar. Uma falha de segurança pode ser suficiente para que eles lancem ataques cibernéticos em grande escala. Embora isso possa ser assustador, sua empresa pode ficar mais protegida realizando testes de segurança cibernética regularmente.

Entendemos que implementar essa estratégia pode ser desafiador, pois não existe uma solução de teste de segurança que se adapte a todos. As pequenas empresas também podem hesitar em investir em um produto intangível, especialmente um que eles podem não entender completamente por causa de todo o jargão técnico. Hoje em dia, muitas ferramentas oferecem testes gratuitos, o que representa uma grande oportunidade para as pequenas empresas encontrarem a solução certa antes de se comprometerem com um investimento maior.

Em linha com nossa missão de tornar a segurança cibernética simples e fácil, esperamos que este guia de introdução aos testes de segurança tenha ajudado você. Não hesite em nos contatar se tiver questões sobre a avaliação de vulnerabilidade e testes de penetração!