Neste episódio falaremos sobre as aproximações e diferenças entre os serviços de varreduras de vulnerabilidades e de pentest.
Ajude o Segurança Legal a continuar existindo. Visite nossa campanha de financiamento coletivo e nos apoie!
Podcast: Play in new window | Download
Subscribe: RSS
ShowNotes
- Payment Card Industry (PCI) Data Security Standard, v3.2. 1
- Vulnerability Scanning vs. Penetration Testing
- Vulnerability assessment and management (VAM)
- Technical Guide to Information Security Testing and Assessment
Episódios comentados:
Olá amigos Guilherme, Vinícius e Camila… e Assolini também vai… (nunca consegui vẽ-lo fora do podcast).
Fiquei feliz de ouvir um episódio um pouco mais técnico pro lado da segurança, porque ultimamente os assuntos mais jurídicos estão em evidência (nada contra claro, muito importantes também, mas não é minha praia).
Sobre os pentests e “VAs”, área que atuo como vocês citaram, tem três coisa que vale comentar:
1) o pessoal técnico do cliente que recebe o relatório às vezes “minimiza” a criticidade ou o risco da vulnerabilidade, mesmo sendo um score aceito mundialmente (CVSS). Claro que no pentest, como vai a P.o.C. da tentativa ou a evidência da exploração da vulnerabilidade, fica difícil minimizar a criticidade/risco, mas nas avaliações de vulnerabilidades isso ocorre muito. Os times costumam retornar como “baixa vulnerabilidade conforme o desenho da nossa aplicação”, quando retornam claro. Talvez como uma tentativa de esconder o furo… sei lá… por exemplo, o CSRF (Cross Site Request Forgery) quando o atacante por meio da requisição forjada causa algo somente no lado do cliente (alguns casos), já recebi retornos de que “isso é problema do cliente do SaaS, não na aplicação”…
2) aquilo que vocẽs citaram de uma empresa pedindo para testar o SaaS fornecido por outro ocorre muito, e claro, além de toda a “pausa” para ajuste na papelada, autorizações adicionais, também tem a novela da entrega do relatório… Quando você entrega um relatório que contém coisas críticas, normalmente para empresas (as com pouca maturidade de segurança) dona do alvo do pentest trava uma guerra em defesa do sistema de contra o que vocẽ mostrou no relatório. Inclusive já peguei casos do cara pedir uma reunião sozinho com o dono da empresa para garantir a ele (no fio do bigode) que a “criptografia própria” que ele tem no banco de dados evita os vazamentos, mesmo que eu tenha provado pelo pentest que podem ocorrer. Quando o assunto é técnico demais, realmente fica complicado.
3) Sobre os exercícios de RedTeam, o pessoal tem falado muito em RedTeam como se fosse pentest, apesar do RedTeam executar pentests, o RedTeam é muito mais um exercício para testar a capacidade de resposta do BlueTeam, não é um teste técnico das tecnologias somente. O Objetivo é mais direcionado às pessoas do BlueTeam ou CSIRT (Resposta a Incidentes). Costuma ser muito mais demorado e planejado um exercício de RedTeam.
Era isso, obrigado mais uma vez pelo excelente episódio, e os resumos de notícias estão tops.
Abraço e bom final de semana.
Muito obrigado pelo episódio, foi interessantíssimo e seria legal alguns “causos” de pentester em alguma edição futura. Preservado, é claro, as identidades dos envolvidos :). Na empresa onde eu trabalho recentemente recebemos a visita do CDCiber a convite da chefia para verificar as nossas vulnerabilidades. A princípio, como toda equipe torci o nariz porque sei que estamos cheios de problemas, mas depois me convenci que isso vai nos dar muitos subsídios para conseguir mais investimentos para a área de TI. O difícil é convencer que segurança não é só TI, mas sim que envolve muitas outras áreas. Enfim, parabéns pelo excelente episódio, comos sempre.