Visão geral da Equipe de Teste de Ataque e Penetração de TI da Microsoft

  • Artigo

Publicado em: 17 de dezembro de 2004

ITSHWCAS

O desenvolvimento de uma equipe de Teste de Ataque e Penetração eficiente apresenta desafios de gerenciamento exclusivos. Pode ser difícil encontrar uma equipe talentosa, testadores que tenham acesso aos dados corporativos mais confidenciais e os proprietários de sistemas avaliados podem não ser cooperativos.

Atualmente, as necessidades de negócios conduzem as empresas para a conexão com a Internet. A propriedade intelectual principal de qualquer empresa com uma rede de computadores conectados à Internet corre risco de ataques via Internet. Os regulamentos dos Estados Unidos da América, como o Sarbanes-Oxley, California Senate Bill 1386 (SB 1386), e o HIPAA (Health Insurance Portability and Accountability Act) exigem que as empresas protejam informações de identificação pessoal. As organizações de IT devem considerar várias opções para aumentar a segurança de suas redes corporativas.

Elas devem avaliar os riscos, criar diretivas para atenuar esses riscos e desenvolver sistemas para impor a conformidade com as diretivas. Depois que as diretivas forem estabelecidas, a organização deve ter mecanismos para testar a conformidade com a diretiva. O teste de ataque e penetração é um conjunto de técnicas e metodologias para testar a conformidade com as diretivas de segurança e para detectar vulnerabilidades desconhecidas. A meta total é limitar os pontos de exposição e restringir a capacidade de invasores desconhecidos conseguirem entrar.

Observação: para obter mais informações sobre como a organização de TI da Microsoft define a diretiva de acordo com uma estrutura de classificação de risco, consulte os white papers em https://www.microsoft.com/technet/itsolutions/msit/security/mssecbp.mspx e https://www.microsoft.com/technet/itsolutions/msit/security/securingITenviron.mspx

Sem um esforço de teste de ataque e penetração, é difícil avaliar a eficiência das medidas de segurança.

Esse teste é a prática de tentar invadir o destino para determinar o nível de segurança. É uma parte crucial da avaliação de segurança da empresa; a verificação final para determinar a eficiência de todas as outras medidas de segurança.

O Teste de Ataque e Penetração pode ser terceirizado para fornecedores externos ou desenvolvido dentro de uma empresa. A finalidade deste documento é descrever a experiência do grupo de TI da Microsoft ao criar e desenvolver uma equipe interna de Teste de Ataque e Penetração.

Este documento é direcionado para profissionais de TI de empresas e fornece uma visão geral da empresa sobre a equipe de Ataque e Penetração da Microsoft, bem como descreve o planejamento, a criação, a implantação e a operação de uma equipe de Teste de Ataque e Penetração. Este documento se baseia na experiência e nas recomendações da equipe de TI da Microsoft e não tem o objetivo de ser um guia de procedimentos. Cada ambiente corporativo passa por circunstâncias únicas; portanto, cada organização deve adaptar os planos e as lições aprendidas descritas neste documento para atender às suas necessidades específicas.

Este documento discute o processo de desenvolver uma equipe de Teste de Ataque e Penetração, sem detalhar as ferramentas, as técnicas e as tecnologias que a equipe de TI da Microsoft usa.

Nesta página

Visão geral sobre a equipe de TI da Microsoft
Teste de Ataque e Penetração definido
Organização do Grupo de Segurança de TI da Microsoft
Planejando um programa de Teste de Ataque e Penetração
Criando um programa de Teste de Ataque e Penetração
Implantação e operação de um programa de Teste de Ataque e Penetração
Práticas recomendadas
Conclusão
Para obter mais informações

Visão geral sobre a equipe de TI da Microsoft

A equipe de TI da Microsoft tem muitas responsabilidades. Sua primeira função é fornecer os serviços de TI que variam do gerenciamento de telecomunicações e de suporte ao usuário final até as operações do servidor e da rede. A equipe de TI da Microsoft garante que os 56.000 funcionários, 7.000 prestadores de serviços e 28.000 fornecedores, aproximadamente, distribuídos por mais de 400 escritórios da Microsoft ao redor do mundo, podem acessar a rede corporativa 24 horas por dia, 7 dias por semana.

Ambiente

A equipe de TI da Microsoft opera em um ambiente de segurança extremamente ativo e desafiador. Os desafios incluem o seguinte:

  • A Microsoft enfrenta aproximadamente 100.000 tentativas de invasão por mês

  • A cada mês, a Microsoft investiga, examina e coloca em quarentena mais de 150.000 mensagens de email infectadas por vírus

  • A Microsoft tem ambientes de TI exclusivos para o desenvolvimento, o teste e o suporte de produtos que exigem segurança especial

Essa combinação de fatores — um cenário de segurança recente cheio de vulnerabilidades potenciais funcionando em um ambiente de TI grande e dinâmico — apresenta uma matriz de variáveis que adiciona complexidade.

Teste de Ataque e Penetração definido

O Teste de Ataque e Penetração é uma abordagem sistemática para identificar as desvantagens em destinos já implantados. O destino pode ser uma rede, uma coleção de hosts ou um aplicativo que faz parte de uma organização, uma função ou um segmento da empresa a ser analisado. O Teste de Ataque e Penetração envolve o uso de técnicas e ferramentas semelhantes a que os hackers usam para tentar invadir os destinos de negócios confidenciais. As equipes desse teste desenvolveram uma metodologia para detectar e identificar vulnerabilidades.

A maioria das vulnerabilidades pode ser classificada em tipos diferentes. Conjuntos diferentes de vulnerabilidades são comuns em tecnologias diferentes. Por exemplo, as vulnerabilidades da plataforma podem ser classificadas em:

  • Negação de serviço

  • Escalação de privilégios para usuários válidos

  • Acesso não autorizado ao host

  • Execução de script remoto

O Teste de Ataque e Penetração envolve uma tentativa metódica de explorar vulnerabilidades desconhecidas de cada tipo, bem como tentar combinações de ataques e criar novos ataques com o objetivo de ver o que é necessário para quebrar ou invadir um destino.

As equipes desse teste usam diversas ferramentas em seus testes, como rastreadores de portas automáticos, sniffers de pacote de rede, violadores de senha e scripts de teste — as mesmas ferramentas que um invasor real usaria — para tentar obter acesso não autorizado a uma rede corporativa.

Organização do Grupo de Segurança de TI da Microsoft

Na Microsoft, o grupo de Teste de Ataque e Penetração é um pequeno grupo de testadores especializados na organização de Segurança Corporativa, que faz parte da equipe de TI da Microsoft.

Esse grupo trabalha junto com outros grupos dentro da Microsoft, incluindo:

  • O grupo de Avaliação de Risco. Esse grupo dentro da Segurança Corporativa é cobrado pela identificação dos maiores riscos de segurança e pela definição de prioridades para o grupo de Teste de Ataque e Penetração.

  • Proprietário do Recurso de TI (proprietário de destino). Geralmente, o grande número de grupos de TI que opera aplicativos de negócios dentro da área de TI da Microsoft são destinos de Teste de Ataque e Penetração. Os grupos de proprietários de destino incluem proprietários de aplicativos de Recursos Humanos, sistemas financeiros, folha de pagamento, email corporativo e outros sistemas relacionados à infra-estrutura.

  • Grupos de auditoria. O Teste de Ataque e Penetração é uma forma de auditoria. Como as técnicas e as habilidades envolvidas são completamente diferentes, os grupos de auditoria de processo de TI freqüentemente trabalham com os grupos de auditoria de tecnologia para garantir a conformidade reguladora de aplicativos específicos.

  • Gerentes do Programa de Segurança. Uma equipe de gerentes de programas funciona como um canal entre a equipe de Teste de Ataque e Penetração e os proprietários de destino. Eles atuam como consultores de segurança para desenvolvedores, administradores e grupos de gerenciamento de destino, fornecendo especialização para ajudá-los a solucionar problemas descobertos durante o teste. Eles também atuam como gerenciamento de programa na equipe de Teste de Ataque e Penetração. Os gerentes do programa cuidam do gerenciamento de projeto para avaliações individuais, como encontrar o melhor horário para conduzir testes, controlar os problemas descobertos e ajudar o grupo de proprietários de destino a resolver esses problemas após a conclusão do teste.

Planejando um programa de Teste de Ataque e Penetração

Para planejar o desenvolvimento de um programa de Teste de Ataque e Penetração, você deve:

  • Realizar uma avaliação dos riscos dos dados na empresa e sua exposição a ataques

  • Considerar se deve criar uma equipe interna ou terceirizar

  • Fazer um inventário de quantos destinos precisam ser testados e o número de pessoas a serem contratadas

  • Determinar quais cláusulas legais e reguladoras se aplicam à empresa e a seus dados

Avaliação de Risco

Antes de conduzir qualquer Teste de Ataque e Penetração, é importante entender e priorizar os riscos. Os destinos com risco mais alto devem ser avaliados primeiro; os mais baixos devem ser avaliados depois.

Na Microsoft, uma equipe de Avaliação de Risco separada é cobrada pela identificação e priorização de destinos para a equipe de Teste de Ataque e Penetração.

Os riscos devem ser avaliados com base em várias dimensões, incluindo:

  1. Qual é a importância ou o valor dos dados? Por exemplo, os ativos de propriedade intelectual principais de uma empresa, os dados de Recursos Humanos e os dados de identificação pessoal, como cartões de crédito e CPF devem ser avaliados como críticos.

  2. Qual é o nível de exposição de um destino? Por exemplo, como ele está conectado à rede? Quais usuários podem se conectar aos hosts que contêm os dados?

  3. Qual é a possibilidade de ocorrer danos? Por exemplo, quanto custaria para a empresa se um determinado host fosse danificado ou desconectado?

  4. Para as vulnerabilidades conhecidas associadas a uma tecnologia, as explorações estão disponíveis? É fácil para um invasor explorar uma vulnerabilidade? Um verme ou um vírus poderiam se desenvolver por explorar a vulnerabilidade?

  5. Quais são as restrições legais? Por exemplo, quais aplicativos contêm dados necessários para cumprir os regulamentos, como HIPAA, Sarbanes Oxley ou California SB 1386?

A equipe de Avaliação de Risco usa esses critérios, e outros, para determinar o risco total de um determinado destino e o prioriza para o Teste de Ataque e Penetração.

Para minimizar o risco total, não é suficiente testar somente os destinos críticos. A amostragem de todos os destinos na rede corporativa deve ser feita em algum momento, mesmo em destinos de valor baixo. Por exemplo, uma exploração com êxito de um host de valor baixo poderia expor um aplicativo de valor mais alto a um ataque com mais danos.

A equipe de TI da Microsoft recomenda desenvolver uma equipe de Avaliação de Risco para identificar o valor dos dados em vários destinos. Você deve usar essa avaliação da equipe para priorizar o Teste de Ataque e Penetração antes de iniciar um programa de Teste de Ataque e Penetração.

Observação:* para obter mais informações sobre a avaliação de risco, consulte “Security Risk Management Guide” ( https://www.microsoft.com/technet/security/guidance/secrisk/default.mspx ), o white paper “Incident Response-Managing Security at Microsoft” ( https://www.microsoft.com/technet/itsolutions/msit/security/msirsec.mspx ) e a estrutura de gerenciamento de risco do white paper "IT Security at Microsoft" ( https://www.microsoft.com/technet/itsolutions/msit/security/mssecbp.mspx *).

Teste de Ataque e Penetração interno versus terceirizado

Muitas firmas de segurança se especializam em fornecer Teste de Ataque e Penetração em uma base de consultoria. Em negócios menores, ou em negócios com uma necessidade imediata de teste, terceirizar esse tipo de teste pode ser a melhor opção a curto prazo para destinos críticos de teste.

A longo prazo, existem muitas vantagens para criar uma equipe interna de Teste de Ataque e Penetração, incluindo:

  • Mais cobertura mantida. O teste de segurança deve ser um processo contínuo, e não uma iniciativa única. Novas vulnerabilidades são descobertas quase diariamente. Grupos de aplicativos implantam novos softwares regularmente. Os sistemas antigos são ignorados com o tempo e podem apresentar riscos desconhecidos para a empresa. Somente um programa contínuo de Teste de Ataque e Penetração pode detectar esses riscos e identificar como atenuá-los.

  • Menor custo a longo prazo. Como uma solução a longo prazo para os requisitos de controle de segurança, os consultores de segurança são caros. As empresas que investem em contratar seus próprios profissionais de segurança para manter os custos de longo prazo fazendo Teste de Ataque e Penetração e melhorar a qualidade dos resultados, como os profissionais de segurança, familiarizam-se com os sistemas internos. Observe que as auditorias periódicas externas podem ser um complemento adequado para uma equipe de Ataque e Penetração.

  • Menor risco de revelar dados confidenciais. Quando você mantém o Teste de Ataque e Penetração interno, pode controlar melhor a divulgação de dados confidenciais.

Determinar o tamanho da equipe e a capacidade

O Teste de Ataque e Penetração exige um intervalo abrangente de especialização de tecnologia. Provavelmente, uma única pessoa não terá habilidade para realizar todos os tipos de testes de Ataque e Penetração necessários até mesmo na menor empresa. É importante selecionar uma equipe de especialistas em segurança com habilidades complementares nas três amplas áreas de especialização técnica:

  1. Host. Especialistas em host sabem como invadir computadores. Eles sabem quais serviços são executados em cada porta, onde localizar vulnerabilidades e configurações erradas, além de como explorá-las. Geralmente, os especialistas em host têm experiência em engenharia de sistemas ou administração de servidor.

  2. Rede. Os especialistas em rede têm um conhecimento completo de protocolos de rede subjacentes e uma capacidade de analisar o tráfego de rede, realizar ataques no nível de protocolo e testar os controles de rede. Os especialistas em rede tendem a saber muito sobre roteadores, topologias de rede, mecanismos de controle de acesso de rede e várias camadas de pilha de rede. Normalmente, os especialistas em rede têm experiência em engenharia de rede ou, às vezes, em telecomunicações.

  3. Aplicativo. Os especialistas em aplicativos entendem como os aplicativos de rede e de host são criados e desenvolvidos, e onde os erros de codificação comuns podem ser explorados para invadirem um sistema. Os especialistas em aplicativos com conhecimento das arquiteturas de aplicativo podem descobrir formas de quebrar aplicativos e onde os dados não esperados podem ser usados para enganar o aplicativo na permissão de acesso para o host de uma forma ou de outra. Geralmente, os especialistas em aplicativos têm experiência em desenvolvimento de aplicativo.

O mínimo recomendado para a equipe de Teste de Ataque e Penetração é de três pessoas, uma em cada especialidade dessas. Também é provável que três pessoas com níveis, visões e idéias diferentes constituam uma equipe mais abrangente e capaz de detectar um intervalo mais amplo de vulnerabilidades. Ao contratar uma equipe, você deve contratar um especialista para cada uma das tecnologias implantadas de forma abrangente na rede. Na Microsoft, a maioria dos especialistas em host tem experiência na plataforma Windows. Selecione os especialistas com base nos sistemas implantados.

A equipe de três deve começar testando aplicativos que apresentam os mais altos riscos. Dependendo do número de destinos implantados em uma rede, a equipe de Teste de Ataque e Penetração pode precisar crescer para fornecer cobertura adequada. Na Microsoft, a equipe de Teste de Ataque e Penetração tinha cinco indivíduos quando este documento foi escrito. O pessoal adicional inclui capacidade à equipe, permitindo que eles avaliem mais os destinos internos. A experiência dos membros da equipe adicional é alocada de forma preliminar de acordo com os riscos identificados pela equipe de Avaliação de Risco com ênfase na experiência do domínio para tecnologias específicas em amplo uso na empresa.

Problemas legais

Dependendo do setor, regulamentos diferentes podem sugerir outros métodos de verificar a integridade e a segurança de sistemas de informação. Por exemplo, California SB 1386 exige que todas as informações de identificação pessoal sejam criptografadas quando forem transmitidas pela rede. A equipe de Teste de Ataque e Penetração verifica se este requisito é encontrado de duas formas. Eles analisam o tráfego de informações de identificação pessoal não criptografadas e verificam a criptografia ao transmitir este tipo de informação.

Criando um programa de Teste de Ataque e Penetração

Esta seção envolve as pessoas, o processo e a tecnologia envolvida na criação do programa de Teste de Ataque e Penetração de TI da Microsoft.

Criando uma equipe de Teste de Ataque e Penetração

A parte mais difícil de iniciar um programa de Teste de Ataque e Penetração é encontrar a primeira pessoa. A comunidade de segurança é um pequeno grupo totalmente unido e está localizando uma pessoa experiente para iniciar um programa de Teste de Ataque e Penetração que pode ser desafiador.

Uma estratégia é começar trabalhando com uma empresa de consultoria de segurança e pedir que ela indique bons candidatos.

Depois que houver uma pessoa com grande experiência em segurança para conduzir a equipe, será possível treinar outras pessoas que tenham habilidades abrangentes para solucionar problemas relativos ao computador a fim de preencher as outras posições. Muitas vezes, essas pessoas têm experiência em engenharia de rede, teste de software ou suporte técnico. O Teste de Ataque e Penetração é semelhante ao teste de controle de qualidade (QA) de várias formas — o objetivo é destruir a operação normal do destino. O destino é um conjunto de hosts, redes e aplicativos a serem testados. Os tipos de pessoas que têm aptidão para o trabalho de QA podem ter sucesso no Teste de Ataque e Penetração.

É importante encontrar pessoas que não tenham apenas habilidades técnicas para localizar vulnerabilidades e a personalidade que conduz as pessoas a interromper sistemas, mas também que tenham habilidade entre as pessoas e com a equipe. Os testadores de Ataque e Penetração precisam cooperar com os proprietários de negócios dos sistemas que eles estão tentando ajustar para remediar as vulnerabilidades descobertas com eficiência.

Acima de tudo, é essencial encontrar candidatos confiáveis. Provavelmente, os testadores de Ataque e Penetração verão as informações mais confidenciais da empresa — é essencial que eles mantenham essas informações confidenciais. Muitos consultores de segurança externos estão unidos por esta razão. Todos os candidatos devem ser filtrados totalmente e estarem sujeitos a verificações em relação à experiência.

Treinamento e certificação

O SANS (SysAdmin, Audit, Network, and Security Institute) fornece um treinamento excelente para profissionais de segurança com um intervalo abrangente de programas e cursos. O SANS também fornece certificação para profissionais de segurança com um programa chamado GIAC (Global Information Assurance Certification).

Suporte para gerenciamento

O tipo de pessoas tiradas do Teste de Ataque e Penetração com sucesso são indivíduos bastante motivados, inteligentes e criativos. Os profissionais de segurança estão em alta demanda e esperam ser compensados e possibilitados de ter um alto grau de independência durante as operações normais.

Na Microsoft, a equipe de Teste de Ataque e Penetração desenvolveu um grupo de colaboradores amigáveis e competitivos. Durante as revisões de desempenho, o funcionário recebe comentários de outras pessoas da equipe, assim como do gerenciamento. Há um espírito de competição na equipe que conduz cada membro da equipe a ser o primeiro a localizar a vulnerabilidade em um novo destino sendo testado. Pessoas diversas da equipe conquistam a liderança em diferentes projetos em uma base rotativa para equilibrar as oportunidades de crescimento através da equipe.

A primeira motivação de todos os testadores da equipe é a busca de conhecimento e entendimento. A pesquisa regular faz parte do trabalho. Cada funcionário gasta parte do dia aprendendo sobre novas vulnerabilidades e ataques ou desenvolvendo um entendimento de uma nova tecnologia. Periodicamente, um membro da equipe é alternado do teste ativo para realizar uma pesquisa mais detalhada sobre um determinado assunto considerado útil para o grupo. O testador típico de Ataque e Penetração da Microsoft gasta cerca de 80% do seu tempo de trabalho em avaliações, 10% na pesquisa de novas vulnerabilidades e atualizando-se em relação ao setor e 10% na liderança, como respondendo emails.

Como os membros da equipe tornam-se mais sênior, uma parte maior do tempo deles é dedicada à pesquisa e ao gerenciamento ou à orientação de outros membros da equipe. Os membros da equipe sênior gastam cerca de:

  • 50% do tempo fazendo avaliações

  • 20% do tempo fazendo pesquisas, projetando novas ferramentas para teste de penetração e mantendo o padrão de novos desenvolvimentos no campo de segurança

  • 30% do tempo na liderança, com uma grande ênfase na definição de metodologia e diretivas, incluindo a orientação a outros membros da equipe

O desempenho dos testadores em uma equipe de Teste de Ataque e Penetração deve ser avaliado com base no número de vulnerabilidades descobertas, em quais tipos de vulnerabilidades anteriores desconhecidas eles descobriram nos sistemas que testaram e na eficiência com que trabalharam com o proprietário do sistema para resolver uma vulnerabilidade.

O gerente da equipe de Teste de Ataque e Penetração deve ser um líder competente com boas habilidades técnicas para ganhar o respeito necessário para comandar a equipe. Ele deve se comunicar de forma eficiente com os executivos para ganhar o apoio deles. O gerente também deve ser um advogado eficiente para fechar o loop do processo de avaliação, desejando manter os proprietários de destinos vulneráveis responsáveis pela proteção deles. O ideal é que o gerente seja capaz de orientar as pessoas na equipe, ajudando-as a escolher os caminhos da pesquisa e do treinamento que beneficiam o funcionário, a equipe e a empresa.

Desenvolvendo uma metodologia de Teste de Ataque e Penetração

Geralmente, as metodologias de Teste de Ataque e Penetração são desenvolvidas internamente com o tempo e tratadas como propriedade intelectual da empresa. Uma razão para contratar profissionais de segurança a fim de começar uma equipe é que eles possuem experiência própria para ajudar a desenvolver uma metodologia eficiente para uma determinada empresa. Esta metodologia irá variar com base na tecnologia, na cultura corporativa e em outros fatores específicos da organização.

A equipe de Teste de Ataque e Penetração trata os proprietários de aplicativos de negócios individuais como clientes. Grande parte da metodologia desenvolvida refletirá formas de sucesso para a equipe de Teste de Ataque e Penetração para interagir com os proprietários de destino.

Observação:* *a comunidade de segurança usa um conjunto comum de procedimentos e metodologias para vários tipos de auditoria de segurança, inclusive o Teste de Ataque e Penetração. Estes são alguns sites com essas informações:

http://www.sans.org

http://www.securityfocus.com

Juntamente com essa metodologia, uma equipe de Teste de Ataque e Penetração deve ter regras claras de comportamento que descrevem um acordo entre os testadores e os proprietários de destino. As regras de comportamento devem ser criadas para minimizar o impacto operacional enquanto maximizam o conhecimento adquirido pelo teste de penetração. Essas regras também devem especificar como lidar com um evento não planejado através de um mecanismo de resposta incidental. Na Microsoft, essas regras funcionam de forma semelhante a um acordo de nível de serviço.

No mínimo, as regras de comportamento devem especificar:

  • Os tipos de testes a serem realizados

  • O escopo de qualquer teste de penetração ativo

  • Os riscos associados aos tipos de testes

  • O período em que o teste será conduzido

  • Os critérios de sucesso

  • O que fazer se informações confidenciais, como salários de funcionários, forem descobertas

  • Como resolver problemas de segurança descobertos

  • Como participar da equipe de respostas incidentais se uma invasão anterior ou contínua for detectada

Na Microsoft, os objetivos da equipe de Teste de Ataque e Penetração são exatamente opostos aos objetivos dos grupos BUIT (Business Unit IT) que possuem os aplicativos. A equipe de teste considera um teste de sucesso aquele que tem compromisso com um destino. Por outro lado, os grupos BUIT consideram um teste de sucesso aquele que os testadores não conseguem invadir. Os gerentes do programa de segurança ajudam a servir de mediadores entre os dois grupos, garantindo a continuidade tranqüila do processo.

Em quase todos os casos, os testadores encontraram vulnerabilidades que podem ser exploradas. Os testadores tiveram uma atitude que, se eles não encontrassem uma vulnerabilidade, teriam deixado passar alguma coisa. Esses tipos de teste podem ser difíceis para os grupos BUIT aceitarem e abordarem, mas ultimamente o resultado é maior segurança na rede corporativa. Um processo bem definido e diretivas divulgadas de níveis de segurança aceitáveis são necessários para fazer um balanço entre os objetivos em conflito.

Tecnologia para o Teste de Ataque e Penetração

Cada testador usa um conjunto de ferramentas adequadas para o tipo de ataques que estão sendo conduzidos. Essas ferramentas incluem ferramentas de verificação de vulnerabilidade, ferramentas de sniffer de rede e scripts personalizados escritos para investigar uma determinada vulnerabilidade. As ferramentas usadas em um ataque específico dependem completamente do destino.

O grupo de Teste de Ataque e Penetração usa um ambiente de teste dedicado composto por um conjunto de computadores em diversas configurações, executando sistemas operacionais diferentes, conectados a vários locais de rede. Os testadores usam esse ambiente para iniciar vários ataques nos sistemas de destino a partir de diferentes pontos para aumentar a quantidade de conhecimento adquirido.

Implantação e operação de um programa de Teste de Ataque e Penetração

Depois que a equipe de Teste de Ataque e Penetração estiver configurada, a avaliação real das vulnerabilidades começará. Uma avaliação típica segue as etapas básicas mostradas na Figura 1.

Cc718960.MITAPT01(pt-br,TechNet.10).gif

Figura 1. Teste de Penetração

  1. Escolha o destino a ser testado. Geralmente, a equipe de Avaliação de Risco identifica os destinos baseados na avaliação de risco deles. Os aplicativos que contêm dados ou hosts com valor alto conectados à Internet são considerados críticos e são testados primeiro. Outros aplicativos de linha de negócios são testados em uma base de amostra rotativa para fornecer um sentido completo razoável do estado das vulnerabilidades na rede.

  2. Solicite acesso a partir do grupo BUIT. O gerente do projeto de segurança entra em contato com o grupo BUIT, notifica-o sobre o futuro teste e solicita o planejamento e a implantação de informações sobre o destino a ser avaliado, bem como as credenciais de acesso.

  3. Avalie o destino. Usando a documentação fornecida pelo proprietário de destino, o conhecimento dos testadores no grupo e a pesquisa sobre as desvantagens típicas do destino, a equipe de Teste de Ataque e Penetração avalia várias partes do destino, incluindo: autenticação, autorização, criptografia, tecnologias usadas e configuração.

  4. Faça e comunique o plano. Usando as informações coletadas, a equipe identifica as prováveis vulnerabilidades no destino e desenvolve um plano de teste descrevendo os tipos de testes a serem conduzidos, os critérios para o sucesso e outras desvantagens a serem investigadas. A equipe comunica esse plano para os proprietários de destino, juntamente com informações sobre a origem dos ataques. Além disso, o grupo Segurança Corporativa e a equipe de Operações de Rede Globais de TI da Microsoft são notificados para evitar disparar uma resposta incidental.

  5. Conduza o teste de sistema fechado. Geralmente, o teste começa no início do processo, depois que o grupo BUIT foi notificado, enquanto aguarda as informações de planejamento e implantação. As verificações iniciais de vulnerabilidade são conduzidas e o teste é realizado sem direitos de acesso ao destino para conferir se a implantação foi configurada de forma segura e coincide com os documentos fornecidos pelos grupos BUIT.

    Nesta fase, os testadores tentam invadir o destino, espionam os dados confidenciais e conduzem outras verificações para garantir que o acesso básico está definido em um nível de segurança adequado.

  6. Conduza o teste com uma conta de usuário. Once the Attack and Penetration Testing team has been granted user accounts on the host or application, open system testing begins. Nesta fase, a equipe testa uma conta de usuário para cada nível de autorização do aplicativo e tenta obter acesso aos dados que a conta de usuário não está autorizada a acessar. O objetivo é conferir se as diretivas de segurança declaradas do aplicativo podem ser violadas.

    O código-fonte também é examinado, se estiver disponível, para encontrar locais onde o código não foi escrito com as práticas de segurança adequadas. Por exemplo, um aplicativo da Web que não valida dados originados de um formulário de usuário pode estar vulnerável a um ataque de injeção de SQL, onde um usuário pode destruir ou falsificar dados armazenados em um banco de dados.

  7. Registre e resolva problemas. Se uma vulnerabilidade crítica for descoberta em algum ponto durante o teste, os testadores notificarão imediatamente o proprietário de destino e trabalharão com a equipe para fornecer a experiência necessária para resolver o problema. Caso contrário, os testadores controlarão as vulnerabilidades descobertas em um banco de dados de controle de problemas.

  8. Relate os resultados de volta para o proprietário de destino. Depois da conclusão do teste, os testadores relatam seus resultados. Os relatórios são escritos para abordar necessidades táticas e estratégicas. Os recursos táticos são atribuídos para corrigir problemas descobertos. Em problemas comuns que são fáceis de resolver, a equipe de Teste de Ataque e Penetração trabalha com o proprietário de destino para resolvê-los imediatamente. Os recursos estratégicos conduzem uma alteração e adoção mais ampla de conceitos e requisitos mais amplos. Em vulnerabilidades mais difíceis de corrigir, a equipe de Teste de Ataque e Penetração fornece ao grupo uma avaliação de risco de invasão, além de qualquer informação conhecida sobre a vulnerabilidade.

  9. Avalie e documente o projeto. A equipe de Teste de Ataque e Penetração avalia continuamente sua metodologia e seu processo, refinando-os com cada projeto novo de avaliação. Todas as ações e resultados são documentados por razões reguladoras e para aumentarem o conhecimento total da equipe. Na Microsoft, essa equipe é submetida a uma revisão trimestral para avaliar os comentários dos clientes internos e outros membros da equipe sobre desempenho, comportamento e eficiência.

Práticas recomendadas

A maioria dos conselhos deste documento é o resultado das experiências da equipe de Teste de Ataque e Penetração na Microsoft.

  • Mantenha os registros completos. Quando as vulnerabilidades são descobertas em uma categoria de destino (host, rede ou aplicativo), elas geralmente aparecem em outros sistemas dessa categoria. Se você mantiver um repositório centralizado de descobertas, poderá ajudar a equipe inteira a ser mais eficiente em avaliações futuras.

    Se uma organização tiver um requisito para fornecer evidência de conformidade com as normas, os registros de Teste de Ataque e Penetração poderão mostrar exatamente o que foi encontrado sobre o destino em questão, documentando a dificuldade de invadir o destino e fornecendo as etapas para o destino atingir uma conformidade melhor.

    Finalmente, se um destino não estiver comprometido, os registros podem controlar a origem do ataque e ajudar a limitar o dano.

  • Desenvolva uma equipe competente. Os profissionais de segurança estão em alta demanda. Talvez seja difícil atrair e mantê-los em sua organização. A maioria dos profissionais de segurança são altamente motivados e conduzidos para aprender novas habilidades. Se você permitir que eles tenham tempo para desempenhar suas próprias pesquisas, fornecer oportunidades regulares e ajudá-los a desenvolverem-se como especialistas no campo deles, eles serão motivados a ficar na organização e a contribuir muito para a iniciativa de segurança.

  • Localize um novo talento. A equipe de Teste de Ataque e Penetração deve ser liderada por uma pessoa com grande experiência em segurança. Outros candidatos promissores para esse teste podem ser encontrados nos departamentos de QA, nos grupos de desenvolvimento ou nos grupos de administração de rede, além de nas organizações de teste de penetração experientes. Procure pessoas com talento para quebrar as coisas, que sejam curiosas por natureza e que sejam motivadas a conhecerem seus sistemas interna e externamente, bem além do que é necessário para o cargo atual delas. Esses são os tipos de pessoas que podem ter sucesso como testadores de Ataque e Penetração.

  • Avalie o desempenho da equipe. É importante medir a eficiência do Teste de Ataque e Penetração. Para avaliar a eficiência individual dos membros da equipe, a equipe de TI da Microsoft mede diversos fatores, incluindo o número, a gravidade e a qualidade das vulnerabilidades descobertas pela equipe, junto com os comentários do processo de proprietários de destinos e outros membros da equipe.

  • Siga as práticas recomendadas do setor de segurança. O setor de segurança é composto por um grupo relativamente pequeno de pessoas extremamente instruídas. Muitas práticas eficientes foram desenvolvidas para melhorar a segurança e funcionarem com responsabilidade com os proprietários de destinos. Os testadores de Ataque e Penetração devem receber treinamento nas práticas recomendadas, bem como nos códigos internos de conduta. A execução com sucesso de um grupo de Teste de Ataque e Penetração depende de o pessoal ser profissional, completo, preciso, imaginativo e atento com a confidencialidade da missão.

Conclusão

Um programa de Teste de Ataque e Penetração pode ajudar uma organização a avaliar a dificuldade de comprometer-se com determinados destinos e mais precisamente julgar a exposição total deles. O Teste de Ataque e Penetração fornece verificações de segurança críticas para avaliar a segurança da rede corporativa da Microsoft.

Ao escolher destinos para testar, uma abordagem é quantificar o custo que a empresa teria se os dados do sistema fossem expostos a invasores, a concorrentes ou ao público geral. A equipe de TI da Microsoft recomenda que cada departamento de TI da empresa conduza alguma forma o Teste de Ataque e Penetração. Use o valor comercial dos dados em cada sistema para determinar quais sistemas avaliar primeiro e quantos recursos adicionar à equipe.

Os departamentos de TI da empresa podem terceirizar esse trabalho para consultores ou criar uma equipe interna. A criação de uma equipe interna de TI da Microsoft reduziu os custos, melhorou a segurança total de TI e ajudou a equipe de TI da Microsoft a melhorar os produtos da empresa Microsoft através de comentários sobre o produto no teste de pré-lançamento.

Para obter mais informações

Para obter mais informações sobre os produtos e serviços da Microsoft nos EUA, ligue para (800) 426-9400. No Canadá, ligue para o Microsoft Canada Information Centre, telefone (800) 563-9048. No Brasil, entre em contato com a Microsoft Informática Ltda., telefone (11) 5853-2345. Para acessar informações na Internet, vá para:

https://www.microsoft.com/brasil/

https://www.microsoft.com/itshowcase

https://www.microsoft.com/technet/itshowcase

Para tirar dúvidas, fazer comentários e sugestões sobre este documento ou para obter informações adicionais sobre Apresentações de TI da Microsoft, envie um email para:

showcase@microsoft.com

Situação

Todas as redes corporativas têm sistemas com dados confidenciais. Com o advento da lei Sarbanes-Oxley e de outras leis que obrigam manter os dados pessoais seguros, além da proliferação de vermes, vírus e ataques de rede, a maioria das empresas se conscientizou da necessidade de ter uma segurança mais forte. A maioria das medidas de segurança atua para evitar ataques, mas não para tentar danificar da mesma forma que um invasor.

Solução

O desenvolvimento de uma equipe de Teste de Ataque e Penetração eficiente pode melhorar a segurança total de uma organização detectando problemas que podem, por outro lado, passarem despercebidos. Pode ser um desafio encontrar as pessoas certas para realizar a tarefa. Este documento identifica os desafios e fornece sugestões para desenvolver uma equipe interna de Teste de Ataque e Penetração.

Vantagens

  • Localize as vulnerabilidades em seus sistemas antes que elas sejam exploradas

  • Evite pesadelos, multas ou roubo de grande valor de propriedade intelectual de relação pública