Já mencionei algumas vezes aqui nesse espaço os seguintes assuntos: análise de risco, ameaças, mapeamento de vulnerabilidades,... Mas ainda não exploramos o COMO executar essas análises, então o que acham de falarmos um pouco mais sobre as ferramentas mais conhecidas para nos auxiliar nessas atividades?

Metodologias

Definem boas práticas globais na gestão dos ativos de informação, abaixo alguns exemplos de metodologias mais conhecidas e aplicadas no mercado:

 Octave (Carnegie Mellon University) – Mapeamento dos riscos com base em abordagem procedural, considerando ativos de informação, riscos, ameaças e vulnerabilidades, grau de exposição dos ativos, definição de estratégias de proteção para melhoria dos processos e plano de implementação de controle com base na razão de custo X benefício.
 
 Cobit (ISACA) – Metodologia para mapeamento da situação dos controles de tecnologia (Key Performance Indicators) aplicados ao ciclo de vida dos projetos de TI, desde o nascimento até a manutenção durante sua vida útil, esta possui ciclos muito bem definidos – Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte e Monitoramento. Essa metodologia foi desenvolvida pela ISACA com base nas boas práticas adotadas pelas principais empresas de Auditoria e Consultoria em nível global.
 
 BS7799 (British Standard) / ISO17799 (ABNT) –  Normativo inglês adaptado aqui no Brasil pela ABNT (Associação Brasileira de Normas Técnicas), na definição de práticas gerenciais na manutenção da segurança das informações, normativo adotado globalmente como código de prática e certificação profissional e organizacional.
 
 ITIL (Governo Inglês) – Metodologia que ditas boas práticas operacionais de TI, desenvolvido pelo Governo Inglês para o seu departamento de assuntos comerciais em 1989 para a gestão dos serviços internos de TI daquele departamento, e está sendo adotada em diversas empresas pelo mundo.
 

Consultorias

Auxiliam-nos a descobrir as falhas mais comuns dos sistemas, aplicando as boas práticas já mencionadas no item anterior, e o mais importante, com base nas experiências destas no mercado, porém, cuidado! O staff destas consultorias deve ser composto de pessoas éticas (já ouviu falar de hacker ético?!) o suficiente para não se utilizarem das valiosas informações obtidas de sua empresa, para proveito próprio, ou da concorrência. Algumas empresas EXIGEM, para a os trabalhos de análise, a utilização de equipamentos da própria empresa, com a instalação de ferramentas e armazenamento das informações nestes equipamentos, bem como aumentando o controle sobre as informações geradas no trabalho.

De qualquer forma, contate o seu departamento (ou consultor) jurídico para auxiliar na confecção de um contrato de prestação de serviços com cláusula de sigilo e privacidade (adaptados à necessidade do SEU negócio) das informações obtidas, destruição das mídias utilizadas durante os trabalhos, etc. E o mais importante: a definição de sanções (multas) ao fornecedor destes serviços de consultoria em caso de não conformidades a estas cláusulas contratuais.

Benchmarking

Algumas fontes de consulta e pesquisas realizadas com empresários de diversos setores no Brasil e no Exterior, podem ser utilizadas como “Benchmarking” (pesquisa de mercado), para o auxílio na decisão de criticidade das vulnerabilidades, ameaças, e impactos identificados ao negócio, algumas destas fontes mais conhecidas, que podemos citar são: FBI/CSI – Polícia Federal Americana, PricewaterhouseCoopers, Módulo Security, Deloitte, KPMG, Financial Insights, IDG Now!, Gartner Group, Ernst&Young, ...

Software para análise de Vulnerabilidades

Alguns exemplos destes softwares: SATAN, CyberCop, Nessus,... Apesar dos nomes curiosos, estes não passam de programas de análise e exploração das vulnerabilidades mais comuns identificadas, bem como as já informadas nos diversos fóruns de segurança espalhados pelo mundo afora.

Esse tipo de programa pode revelar informações valiosíssimas a respeito de sistemas vulneráveis, por exemplo, desde exposições ocasionadas por serviços de dispositivos de rede e servidores ligados indevidamente, se senhas vulneráveis (ex: senha de baixa complexidade, como ASDF, 1234, ABCD) até mesmo se “patches” (atualizações) de segurança não foram aplicados,... Mas também ao mesmo tempo esses programas podem comprometer seriamente o desempenho da rede analisada e até mesmo derrubar servidores importantes, quando utilizado por pessoal inexperiente.

Além disso, o teste pode desviar o foco de criticidade na análise de segurança, pelo fato de gerarem uma vastidão de informações a respeito da situação de segurança, estes dados devem ser compilados e sumarizados para retratar apenas SERVIDORES, REDEs E SERVIÇOS CRITICOS aos sistemas que suportam o negócio.

Mais uma vez cuidado! Estas ferramentas devem ser usadas apenas com autorização expressa da empresa analisada, dispondo de Topologias, IPs, nomes de sistemas, etc. sobre a infra-estrutura “teste de invasão com informação” ou sem essa documentação, ou seja, “teste de invasão sem informação”, onde o comportamento esperado desta análise assemelha-se a de um HACKER comum, ou seja obtenção destas informações por meios ilícitos.

Alessandro Manotti, CISA – alessandromanotti@hotmail.com

Profissional há nove anos na área Auditoria de Sistemas e Segurança da Informação, atuando em instituições financeiras e consultorias no Brasil e Exterior.