Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Controle Crítico de Segurança CIS 18. Teste de Penetração

Controle Crítico de Segurança CIS 18. Teste de Penetração

Jun 23, 2022

O Centro para Segurança da Internet (CIS) fornece Controles de Segurança Críticos (CIS Controls) para apoiar o campo em evolução da cibersegurança. CIS Control 18 abrange testes de penetração (este tópico foi abordado pelo Controle 20 na versão anterior).

O teste de penetração é o lançamento intencional de ciberataques com o objetivo de avaliar a segurança de uma organização. Especialistas em testes de penetração realizam esses testes para invadir a segurança do seu sistema e destacar os pontos cegos em seus sites, aplicações ou rede. Ao identificar essas vulnerabilidades, o teste de penetração ajuda as empresas a se manterem atualizadas na gestão de segurança.

Conteúdo relacionado selecionado:

Embora seja uma melhor prática para segurança, o teste de penetração é caro porque é complicado e, portanto, requer testadores de penetração experientes e de boa reputação, também chamados de 'hackers éticos'. Os testes podem introduzir riscos, incluindo a paralisação de sistemas instáveis e corrupção ou exclusão de dados. O relatório de saída também representa um risco, pois descreve as etapas para romper as defesas da organização, por isso precisa ser cuidadosamente protegido.

Testes de penetração são frequentemente confundidos com outra prática integral (e muitas vezes obrigatória), a varredura de vulnerabilidades, mas possuem métodos e propósitos diferentes. Testes de vulnerabilidade (CIS Control 7) utilizam varreduras não intrusivas para identificar pontos fracos na segurança de um sistema na tentativa de descobrir brechas de segurança, mas sem explorá-las. Em contraste, testes de penetração usam métodos intrusivos para testar o quão danoso um ciberataque poderia ser para uma organização. Imita um ataque real para descobrir exatamente quais ativos de TI um atacante poderia acessar. Usar processos de teste de vulnerabilidade e penetração juntos pode produzir uma visão inclusiva das deficiências de segurança.

18.1 Estabeleça e Mantenha um Programa de Teste de Penetração

Um programa de teste de penetração bem-sucedido ajuda sua empresa a se manter um passo à frente dos hackers. O teste de penetração revela lacunas no sistema de segurança e demonstra quão fácil é roubar ativos de TI. Os detalhes de cada programa de teste de penetração dependem da natureza, tamanho, complexidade e maturidade da organização. Aqui estão algumas diretrizes.

  • Escopo — Um programa de teste de penetração deve incluir tanto testes externos quanto internos. Entre estes, o escopo do teste pode incluir alguns ou todos os seguintes:
    • Rede
    • Hardware
    • Aplicações web
    • API
    • Wi-Fi
    • Acesso físico às instalações
  • Tipo — Existem três tipos de teste de penetração, dependendo da quantidade de informações que você fornece para o pré-teste:
    • Black-box: Os testadores começam sem nenhum conhecimento dos sistemas internos.
    • White-box: A organização fornece detalhes abrangentes sobre o alvo.
    • Caixa-cinza: Estas avaliações ficam no meio termo, com a organização fornecendo informações parciais ao testador.
  • Limitações — Certifique-se de notar as limitações que podem prejudicar a eficácia dos testes, como:
    • Escopo: Devido à falta de recursos ou orçamento, uma organização pode optar por limitar o escopo do teste de penetração, levando a possíveis pontos cegos em sua segurança.
    • Tempo: Enquanto os testadores de penetração dão a cada teste um prazo estruturado, os adversários não têm limites de tempo e podem gastar semanas ou meses em um ataque.
    • Método: Alguns métodos de teste de caneta podem causar a queda do sistema alvo, portanto, essas técnicas estão fora de questão durante um teste de penetração profissional.
    • Habilidades: Um testador de penetração pode ter estudado apenas um tipo específico de tecnologia, o que poderia limitar sua perspectiva.
    • Experimento: Os testadores de penetração podem se ater a pensar dentro da caixa, seguindo apenas a estrutura e os protocolos que lhes são dados. Adversários verdadeiros podem ser mais criativos em suas abordagens.
  • Frequência — Os CIS Controls aconselham as organizações a realizar testes de penetração externos e internos regularmente — pelo menos uma vez por ano — e após qualquer mudança significativa na infraestrutura ou software.
  • Ponto de contato — Apenas algumas pessoas selecionadas devem saber quando um teste de penetração acontece. Para cada teste de rotina, designe um ponto de contato específico dentro da organização para se conectar com a equipe de teste de penetração. Se surgirem problemas enquanto o teste é realizado, este indivíduo pode encaminhar o adequado
  • Remediação e reteste — Após a conclusão do teste, a organização deve determinar quais mudanças em políticas e medidas técnicas são necessárias para melhorar a segurança. Os testes de penetração devem ser repetidos uma vez que essas ações tenham sido realizadas.

Etapas de um programa de teste de penetração

O processo de teste de penetração envolve sete fases. As primeiras seis levarão cerca de 10 dias, dependendo do escopo. A etapa final, remediação, frequentemente leva mais tempo.

  1. Pré-engajamento — O processo começa estabelecendo os objetivos. A organização e os testadores decidem quais ativos empresariais estão no escopo do teste e quais aspectos da segurança serão testados.
  2. Reconhecimento — O testador coleta informações sobre os ativos no escopo da operação de teste de penetração. Os testadores podem se envolver ativamente diretamente com a rede para coletar informações ou seguir passivamente o tráfego de rede e rastrear pegadas de sistemas operacionais e da internet.
  3. Descoberta — A fase de descoberta inclui duas partes. Primeiro, o testador pode reunir mais informações, como nomes de host, endereços IP e detalhes de aplicações e serviços. Em seguida, o testador realizará uma varredura de vulnerabilidade para procurar falhas de segurança na rede, aplicações, dispositivos e serviços. Junto com vulnerabilidades como sistemas não atualizados, os testadores podem descobrir erros na política de segurança, fraquezas nos protocolos de segurança e questões de conformidade em relação a padrões como PCI DSS, GDPR ou HIPAA. Embora o uso de software de varredura de vulnerabilidade seja muito mais eficiente, contratar uma equipe para realizar uma varredura manual oferece uma visão mais abrangente das lacunas de segurança.
  4. Análise de vulnerabilidade — Em seguida, o testador prioriza as vulnerabilidades que foram descobertas. Embora essa classificação possa ser um tanto subjetiva, testadores de penetração experientes usarão o Common Vulnerability Scoring System (CVSS), um sistema de classificação quantitativa aceito globalmente.
  5. Exploração — Os testadores tentam usar as vulnerabilidades para acessar o ambiente de TI. Eles utilizam as mesmas técnicas que um hacker poderia usar, incluindo e-mails de phishing, engenharia social e descoberta de credenciais dos usuários. Uma vez dentro, os testadores avaliarão a quais ativos eles têm acesso. Eles registrarão o grau de acesso, a facilidade de manter o acesso, quanto tempo a violação permanece sem ser detectada e os riscos potenciais.
  6. Relatórios e recomendações — Os testadores fornecem um relatório detalhado sobre as vulnerabilidades identificadas e os riscos associados, juntamente com recomendações para reparo.
  7. Remediação e nova verificação — As equipes de TI da organização trabalham para fechar as brechas e corrigir vulnerabilidades. Os testadores de penetração então fazem uma nova verificação na rede para avaliar a eficácia do esforço de remediação.

18.2 Realize Testes de Penetração Externos Periódicos

Os testes de penetração externos visam o acesso periférico aos sistemas da sua organização. Especificamente, um teste de penetração externo utiliza a rede pública para invadir o sistema. O objetivo é testar até onde um atacante externo poderia chegar. Ao simular o comportamento de um hacker, os testadores fornecerão uma perspectiva objetiva sobre a resiliência e vulnerabilidades da sua empresa. O teste de penetração externo segue as mesmas sete fases detalhadas acima.

Você e o testador concordam com o escopo do teste de penetração por meio de discussão legal. Como o teste de penetração externo tem como alvo os servidores visíveis externamente, ele pode incluir sites, aplicativos, usuários, APIs e redes inteiras. Enquanto alguns testes podem focar em um aspecto dos seus ativos, a maioria aproveitará o teste para obter uma visão mais holística das suas fraquezas cibernéticas. Em conformidade com o CIS Control 18, realize testes de penetração externos pelo menos anualmente.

18.3. Remediar as Descobertas do Teste de Penetração

O último passo no teste de penetração é melhorar sua posição defensiva. Priorize as recomendações do teste e escolha quais delas implementar para reduzir vulnerabilidades e fortalecer a postura de segurança da sua empresa. As organizações podem optar por não remediar alguns pontos fracos, especialmente se eles tiverem uma pontuação baixa no CVSS e forem difíceis ou caros de resolver.

18.4. Valide Medidas de Segurança

Após os profissionais de TI internos trabalharem em conjunto com a equipe de teste de penetração para remediar problemas, é crucial retestar os sistemas para verificar que as mudanças adequadas foram feitas. Observe que essa etapa de validação pode exigir a modificação das técnicas de varredura para identificar melhor as fraquezas do sistema.

18.5. Realize Testes de Penetração Internos Periódicos

A necessidade de testes de penetração internos deriva do potencial de funcionários mal-intencionados ou descuidados, parceiros de negócios e clientes causarem danos. Isso fornece um complemento crítico aos testes de penetração externos. Testadores de penetração internos visam os sistemas da empresa usando acesso interno à rede por trás do firewall. Testes de penetração internos ajudam você a avaliar o dano potencial e os riscos aos ativos se um usuário interno explorar o sistema.

Como os testes de penetração externos, os testes internos seguem os sete passos apresentados anteriormente e podem ser de caixa preta, branca ou cinza. Os testadores usarão seu acesso interno para tentar contornar os controles de acesso. A equipe pode testar os sistemas físicos de computadores, dispositivos móveis e câmeras de segurança, juntamente com o comportamento dos funcionários e procedimentos. Além disso, os testadores podem tentar explorar um escopo semelhante ao de um teste de penetração externo, incluindo redes sem fio, firewalls e sistemas de detecção e prevenção de intrusões, a fim de revelar vulnerabilidades mais potentes.

Resumo

Testes de penetração são uma prática complexa e especializada. Realizar testes de penetração regulares é uma parte crítica das melhores práticas de segurança de dados. Testes de penetração externos e internos combinados podem revelar fraquezas vitais nos sistemas de TI, demonstrar vividamente quão vulneráveis dados e outros ativos estão a violações e orientar um esforço de remediação robusto para fortalecer a cibersegurança.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.

Saiba mais sobre este assunto

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Criar usuários do AD em massa e enviar suas credenciais por e-mail usando PowerShell

Como adicionar e remover grupos AD e objetos nos grupos com PowerShell

Atributos do Active Directory: Último Logon

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança