1.2.2. Definindo a Avaliação e Testes

Avaliações de vulnerabilidade podem ser divididas em dois tipos: olhar de fora para dentro e olhar ao redor internamente.

Quando realizar uma avaliação de vulnerabilidade olhando de fora para dentro, você está tentando comprometer seus sistemas a partir do lado de fora. Estando externo à sua empresa, lhe possibilita ter uma visão do invasor. Você vê o que o invasor vê — IPs roteáveis publicamente, endereços, sistemas em seu DMZ, interfaces externas de seu firewall e mais. DMS significa "zona demilitarizada", que corresponde a um computador ou sub-rede que fica entre a rede interna confiável, como uma LAN privada corporativa e uma rede externa não confiável, como a internet pública. Tipicamente, o DMZ contém dispositivos acessíveis ao tráfego de internet, como servidores web (HTTP), servidores FTP, servidores SMTP (e-mail) e servidores DNS.

Quando você realizar uma avaliação de vulnerabilidade de olhar ao redor internamente, você possui uma vantagem já que você está dentro e seu estado é elevado à confiável. Este é o ponto de vista que você e seus colegas de trabalho possuem uma vez autenticados a seus sistemas. Você vê servidores de impressão, servidores de arquivos e outros recursos.

Existem diferenças notáveis entre os dois tipos de avaliação de vulnerabilidade. Sendo interno à sua empresa lhe dá mais privilégios do que um externo. Na maioria das organizações, a segurança é configurada para manter invasores fora. Muito pouco é feito para proteger a parte interna da organização (como firewalls de departamentos, controles de acesso de nível de usuários e procedimentos de autenticação para recursos internos). Tipicamente, existem muito mais recursos quando olhar internamente já que a maioria dos sistemas são internos à uma empresa. Uma vez que você está fora da empresa, seu estado é não confiável. Os sistemas e recursos disponíveis para você externamente são normalmente muito limitados.

Considere a diferença entre avaliações de vulnerabilidade e testes de penetração. Pense em uma avaliação de vulnerabilidade como o primeiro passo de um teste de invasão. As informações obtidas no teste são usadas para testes. Onde a avaliação é feita para verificar por brechas e vulnerabilidades potenciais, o teste de penetração na verdade tenta explorar as descobertas.

Avaliar a infraestrutura de rede é um processo dinâmico. A segurança, tanto de informação quanto física são dinâmicas. Realizar uma avaliação mostra uma visão geral, que pode transformar falsos positivos e falsos negativos.

Administradores de segurança são somente tão bons quanto as ferramentas que eles usam e o conhecimento que eles retém. Tome quaisquer das ferramentas de avaliação atualmente disponíveis, rode-as em seu sistema e é quase uma garantia que haverão falsos positivos. Seja pelo defeito de um programa ou erro do usuário, o resultado é o mesmo. A ferramenta poderá encontrar vulnerabilidades que em realidade não existem (falsos positivos); ou ainda pior, a ferramenta pode não encontrar vulnerabilidades que na verdade existem (falsos negativos).

Note que a diferença é definida entre a avaliação de vulnerabilidade e o teste de invasão, tome os resultados da avaliação e as revise cuidadosamente antes de conduzir um teste de invasão como parte de sua nova abordagem de boas práticas.

A seguinte lista examina alguns dos benefícios de realizar avaliações de vulnerabilidade.