Avaliação de vulnerabilidade (computação)

A avaliação de vulnerabilidade é um processo de definição, identificação e classificação das falhas de segurança em sistemas de tecnologia da informação. Um invasor pode explorar uma vulnerabilidade para violar a segurança de um sistema. Algumas vulnerabilidades conhecidas são as vulnerabilidades de autenticação, as vulnerabilidades de autorização e asvulnerabilidades de validação de entrada.[1]

PropósitoEditar

Antes de implantar um sistema, primeiro ele deve passar por uma série de avaliações de vulnerabilidade que garantirão que o sistema de compilação esteja protegido contra todos os riscos de segurança conhecidos. Quando uma nova vulnerabilidade é descoberta, o administrador do sistema pode novamente realizar uma avaliação, descobrir quais módulos são vulneráveis e iniciar o processo de correção. Depois que as correções estiverem em vigor, outra avaliação poderá ser executada para verificar se as vulnerabilidades foram realmente resolvidas. Esse ciclo de avaliação, correção e reavaliação tornou-se o método padrão para muitas organizações gerenciarem seus problemas de segurança.

O objetivo principal da avaliação é encontrar as vulnerabilidades no sistema, mas o relatório de avaliação transmite às partes interessadas que o sistema está protegido contra essas vulnerabilidades. Se um intruso obteve acesso a uma rede que consiste em servidores Web vulneráveis, é seguro assumir que ele também obteve acesso a esses sistemas.[2] Por causa do relatório de avaliação, o administrador de segurança poderá determinar como ocorreu a intrusão, identificar os ativos comprometidos e tomar as medidas de segurança apropriadas para evitar danos críticos ao sistema.

Tipos de avaliaçõesEditar

Dependendo do sistema, uma avaliação de vulnerabilidade pode ter vários tipos e níveis.

Avaliação de hostEditar

Uma avaliação de host procura vulnerabilidades no nível do sistema, como permissões de arquivo inseguras, falhas (bugs) no nível do aplicativo, backdoors e instalações de cavalos de Tróia. Requer ferramentas especializadas para o sistema operacional e pacotes de software que estão sendo utilizados, além de acesso administrativo a cada sistema que deve ser testado. A avaliação de host geralmente é muito cara em termos de tempo e, portanto, é usada apenas na avaliação de sistemas críticos. Ferramentas como o e o Tiger são populares na avaliação de hosts.

Avaliação de redeEditar

Em uma avaliação de rede, avalia-se a rede quanto a vulnerabilidades conhecidas. Ela localiza todos os sistemas em uma rede, determina quais serviços de rede estão em uso e analisa esses serviços em busca de possíveis vulnerabilidades. Este processo não requer nenhuma alteração de configuração nos sistemas que estão sendo avaliados. Ao contrário da avaliação de host, a avaliação da rede requer pouco esforço e custo computacional.

Avaliação de vulnerabilidade versus teste de penetraçãoEditar

A avaliação de vulnerabilidade e o teste de penetração são dois métodos de testes diferentes. Eles são diferenciados com base em certos parâmetros específicos.

Avaliação de vulnerabilidade versus teste de invasão[3]
Verificação de vulnerabilidade Teste de invasão
Com que frequência executar Continuamente, especialmente depois que um novo equipamento é carregado Uma vez por ano
Relatórios Linha de base abrangente de quais vulnerabilidades existem e mudanças em relação ao último relatório Curto e direto ao ponto, identifica quais dados foram realmente comprometidos
Métricas Lista vulnerabilidades de software conhecidas que podem ser exploradas Descobre exposições desconhecidas e exploráveis a processos de negócios normais
Executad(a)o por Pessoal interno, aumenta a experiência e o conhecimento do perfil de segurança normal. Serviço externo independente
Despesa Baixo a moderado: cerca de US$ 1.200 / ano + tempo da equipe Alta: cerca de US$ 10.000 por ano fora da consultoria
Importância Controle de detecção, usado para detectar quando o equipamento está comprometido Controle preventivo usado para reduzir

ReferênciasEditar

  1. «Categoria:Vulnerabilidade - OWASP». www.owasp.org (em inglês). Consultado em 7 de dezembro de 2016 
  2. «Avaliação de vulnerabilidade» (PDF). www.scitechconnect.elsevier.com (em inglês). Consultado em 7 de dezembro de 2016 
  3. «Teste de invasão versus verificação de vulnerabilidade». www.tns.com (em inglês). Consultado em 7 de dezembro de 2016 [ligação inativa] 

Ligações externasEditar