Analise de Vulnerabilidade vs PenTest – Introdução

Uma dúvida muito grande que pode surgir é relacionado as diferenças de uma analise para um teste de vulnerabilidades, afinal se pegarmos o conceito de ambos, o objetivo de cada um é encontrar vulnerabilidades em seu ambiente e gerar um relatório com base nesses testes.

Mas essa dúvida é muito fácil de ser esclarecida, pois mesmo ambos ter no conceito a procura de vulnerabilidades, quando falamos de analise estamos se referindo a compreender a sua causa e seu risco. Agora quando falamos de Teste de vulnerabilidade ou PenTest, estamos falando em testar aquela vulnerabilidade, então já saimos da parte de analise aonde só vamos ficar na teoria, para ai sim irmos na prática que é testar aquela vulnerabilidade que você encontrou por meio de analise.

Mas o que seria uma Analise de Vulnerabilidade?

O processo de analise de vulnerabilidade não é um processo tão fácil como muitos acham, pois não é apenas rodar ferramentas.

Uma analise de vulnerabilidade é o processo de identificação, quantificação e priorização (ou classificação) das vulnerabilidades em um sistema. E esses sistemas podem ser tanto softwares, como sistemas de comunicação ou outros tipos de sistemas existentes.

Na analise de vulnerabilidade você precisa catalogar os ativos, classificar a importância desses ativos, identificar as ameaças naquele produto e tomar medidas para eliminar tais vulnerabilidades.

Numa analise de vulnerabilidade o analista ele vai utilizar ferramentas que vão auxilia-lo na gestão de vulnerabilidades.

Veja alguma dessas ferramentas:Vulnerability scanners – SecTools Top Network Security Tools
For more than a decade, the Nmap Project has been cataloguing the network security community’s favorite tools. In 2011…sectools.org
10 Open Source Vulnerability Assessment Tools
Open source vulnerability assessment tools are a great option for organizations that want to save money or customize…www.esecurityplanet.com

Em uma analise de vulnerabilidade geralmente usa várias fontes de dados como entrada. Isso inclui avaliações de risco anteriores, requisitos de segurança, resultados de testes de segurança, requisitos regulamentares (HIPAA, GLBA etc.) . De acordo com o “Guia de Avaliação de Riscos para Sistemas de Tecnologia da Informação do Instituto Nacional de Padrões e Tecnologia”, os tipos de vulnerabilidades existentes e as metodologias necessárias para determinar as vulnerabilidades variam de acordo com a natureza do sistema e, em particular, a fase do processo que podemos ter como exemplos,

  • Caso osistema ainda não foi projetado, a avaliação de vulnerabilidades deve se concentrar nas políticas de segurança da organização, nos procedimentos de segurança planejados, nas definições de requisitos do sistema e nas análises de produtos de segurança do fornecedor (ou desenvolvedor) (white papers, etc.).
  • Se o sistema estiver em processo de implementação, a avaliação de vulnerabilidades deve se concentrar em informações mais específicas, como os recursos de segurança planejados; documentação de segurança e design; e os resultados da certificação, teste, preparação e avaliação do sistema.
  • Se o sistema foi implementado e está operacional, a avaliação de vulnerabilidades deve incluir a análise dos recursos de segurança do sistema, controles de segurança (técnicos, operacionais e ambientais) e procedimentos operacionais de TI padrão.

Depois que a avaliação da vulnerabilidade estiver concluída, você poderá desenvolver um relatório sobre o valor daquele risco para cada uma das fontes de ameaças que as ferramentas encontrou. Esse valor de risco pode ser calculado numericamente se você tiver usado um sistema quantitativo ou um sistema qualitativo que usa números para a escala (semiquantitativa).

Exemplo de uma calculadora de métricas de vulnerabilidade é a NVDVulnerability Metrics
The Common Vulnerability Scoring System (CVSS) is an open framework for communicating the characteristics and severity…nvd.nist.gov

Caso a vulnerabilidade que tenha sido encontrado nos sistemas já tenha tido um CVE atribuido, você receberá o resultado do valor daquele risco.

Se você não tem ideia de como montar relatórios de analise de vulnerabilidade ou riscos, deixo aqui alguns exemplos:CyberSecurityUP/information-security-relatory
You can’t perform that action at this time. You signed in with another tab or window. You signed out in another tab or…github.com

O Processo de analise de vulnerabilidades ele vai muito além de utilizar ferramentas como Nessus e aplicar patches. Nesse processo, existe a gestão de vulnerabilidade, gestão de risco e analise de impacto, pois nem tudo se resolve com patches ou um firewall na rede, pois tem muitos riscos que afeta fisicamente o bem estar da organização.

Leave a Reply

Your email address will not be published. Required fields are marked *