A proteção efetiva dos recursos e dados da sua empresa depende não só da competência com que são desenvolvidos os softwares, mas também da qualidade dos testes realizados para verificar sua segurança. No âmbito de Cloud Computing, se torna ainda mais tênue a linha que separa a confiança e a vulnerabilidade dos sistemas, visto que, hoje em dia, a disseminação de servidores de Cloud contribuiu para que a maior parte dos dados estratégicos das companhias migrasse para um ambiente totalmente virtual.
Hoje vamos falar como elaborar um bom teste de penetração, que coloca à prova o comportamento do software ao ser invadido. Acompanhe:
O que é um teste de invasão
O teste de invasão simula ataques reais aos ativos e procura identificar suas vulnerabilidades. O ponto de partida para garantir a qualidade de um teste de segurança como o de penetração é contar com o serviço de profissionais experientes e especializados (que não só darão o adequado suporte como também manterão sigilo dos dados confidenciais), escolher o tipo de teste (no caso, os pentests) e planejá-lo (escopo) para que seja suficientemente capaz de gerar análises completas e permitir a tomada de ações estratégicas para prevenção.
De forma geral, todo teste avaliará as possíveis brechas para usuários (internos ou não) que sejam mal intencionados, passando por etapas como mapeamento de rede (descobrindo desde o IP e quantidades de dispositivos conectados), listagem dos serviços executados nas diferentes portas, varreduras, testes de senhas, detecção de possíveis entradas para invasão e teste real para saber se realmente elas oferecem risco.
Na exploração de vulnerabilidades, o teste simula a colocação de backdoors que funcionam como atalhos para que os invasores sempre tenham acesso ao sistema e insiram programas escondidos, como um vírus faria, podendo ser feita auditoria completa da rede. Servem, então, para analisar tanto segurança interna quanto externa, por meio de testes caixa-preta ou branca (em que um vazamento de informações permita ao invasor conhecer o código-fonte).
O que garante a qualidade do teste de invasão em cloud computing?
Dentro das opções de pentests, há possibilidades de analisar nas camadas de arquitetura, dados e aplicação, direcionando a abordagem para pentest interno, externo (invasão por meio de internet), de engenharia social (nível de conscientização dos usuários que assumem manter o sistema seguro, não deixando vazar dados, senhas ou esquecendo portas abertas) e por objetivos (quando o cliente solicita que seja testada invasão a uma determinada base de dados sigilosos, por exemplo).
Para que tudo isso dê certo, no entanto, é preciso adequar o escopo às peculiaridades de cada cliente e, com base em um desdobramento de estudo da estrutura, configuração e aplicação do sistema, é montada uma tabela que delimita responsabilidades levando em consideração características tanto do modelo de IaaS ou de SaaS, a fim de combater as dificuldades encontradas pela propriedade compartilhada de sistemas no Cloud Computing.
Delimitação de responsabilidades: validar o teste para IaaS e SaaS
Validar o teste para IaaS e SaaS é importante porque há diferenças entre os dois modelos e, logo, a atenção à segurança também muda.
Em IaaS, quem contrata geralmente fica responsável pela máquina virtual e há casos em que não se tem autorização para penetrar em todas as camadas ou há maior vulnerabilidade devido ao fato de o cliente resistir a atualizar ou corrigir sua estrutura — situação em que o sistema fica mais passível de sofrer instabilidades, vazamentos e invasões. Sendo a nuvem um espaço compartilhado, é geralmente mais difícil identificar endereços de IP, porém, um acordo entre as partes poderá determinar as camadas em que será possível testar.
Em SaaS, pode ser mais difícil obter permissões, pois, muitas vezes, as empresas que fornecem o acesso ao software impedem que terceiros testem sua infraestrutura, motivo pelo qual é ainda mais importante contar com uma empresa de confiança que já desenvolva e teste ou tenha parcerias com especialistas nesse tipo de auditoria.
Como manter minha empresa bem protegida?
Apenas identificar falhas não é o bastante: é preciso abrir portas para um modelo completo de apoio à segurança dos dados, que comporte não só as etapas de testes para descobrir ameaças, mas também desenvolvimento, monitoramento e, se necessário, reconfiguração de softwares, avaliando-os constantemente. Realizar auditorias com esse foco é a única forma de integrar a segurança às principais ferramentas do mercado, apontando caminhos para lidar com ameaças que colocam em risco as informações e apresentando recomendações precisas de melhorias.
E então, sua empresa está consciente desses requisitos? Como é feita a prevenção de riscos em seus sistemas? Vocês realizam teste de invasão em cloud computing? Compartilhe sua experiência ou dúvidas nos comentários!
Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+
