Análise de Vulnerabilidades: O que é e qual a importância para a Organização?

Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece, mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas

— General Sun Tzu (ano 400 AC), A Arte da Guerra

O ano de 2017 terminou. Porém, deixou muitas preocupações quanto a segurança da informação principalmente em ambiente corporativo. O ano passado foi marcado por diversos ataques cibernéticos em escala mundial, além da pesquisa e exploração de vulnerabilidades em muitas empresas. Devido a constante ameaça ao seu bem mais precioso, “a informação”, o mercado se conscientizou sobre a importância da Segurança da Informação.

Assim como dito por GOUVEIA (2018), um dos termos mais citados nos últimos meses e que agora está em alta é “Análise de Vulnerabilidades”. Mas, ainda é visível neste contexto, a confusão gerada entre os termos “Risco”, “Ameaça” e “Vulnerabilidade”. Neste sentido, uma empresa só é capaz de responder rapidamente e adequadamente as ameaças quando possui total conhecimento sobre as seguintes ações: que vulnerabilidades possuo? A que ameaças estou suscetível? Quais agentes estão envolvidos? Qual são os impactos históricos e possíveis da exploração destas ameaças? 

Índice


Conceituando Ameaça x Riscos x Vulnerabilidade

Após um ano turbulento e que passou por diversas ameaças, ainda vimos uma dúvida entre muitos profissionais de tecnologia da informação, mesmo na área de segurança da informação. Quando falamos de vulnerabilidades, estamos falando, também, dos riscos e ameaças atrelados a essas vulnerabilidades e é exatamente isso que gera toda a confusão quando tratamos desse assunto. Embora não seja o foco deste artigo, é preciso diferenciar os conceitos onde ameaças e vulnerabilidades fazem parte dos riscos, e que não são a mesma coisa:

  • AMEAÇA: É a possibilidade de um agente, interno ou externo, explorar acidentalmente ou propositalmente uma vulnerabilidade específica;

Ameaças (externas) normalmente NÃO PODEM ser controladas. É impossível impedir uma inundação, um homem-bomba ou uma greve em andamento. Ameaças podem ser identificadas, mas geralmente estão fora do nosso controle.

  • RISCO: Define o que está em jogo na sua organização em termos de bens econômicos, sejam físicos ou lógicos. É a fonte de ameaça que explora uma vulnerabilidade, levando um impacto para o funcionamento de uma organização, como mal funcionamento, roubo de informações entre outros impactos;

Riscos (externos e/ou internos) PODEM ser minimizados (ou mitigados). Riscos podem ser gerenciados em relação às vulnerabilidades ou impactos que acarretam quando se realizam.

  • VULNERABILIDADE: Também pode ser chamada de falha ou fraqueza, por exemplo, uma parede rachada, dentro de uma rede podemos encontrar esta “rachadura”, ou falha, em um design mal planejado, implementação mal realizada, ou até em controles internos de um sistema mal desenvolvido, levando a rede a abrir pequenas falhas na política de segurança.

Vulnerabilidades (internas) PODEM ser tratadas. Fraquezas podem ser identificadas e até mesmo eliminadas com a aplicação de ações proativas para correção das vulnerabilidades.


O que é Análise de Vulnerabilidade?

Uma Análise de Vulnerabilidades deve identificar e eliminar sistematicamente vulnerabilidades do sistema.

Em uma visão geral, a “Análise de Vulnerabilidade” trata basicamente do processo de identificação de falhas e vulnerabilidades (brechas) conhecidas presentes no ambiente e que o expõem a ameaças. Essas falhas podem ser causadas por diversos motivos, que citarei mais adiante.

Neste processo, são consideradas as configurações de redes, problemas de segurança de aplicativos de terceiros, softwares que possuem potencial para causar falhas futuras em uma infraestrutura, mapeando todos os sistema que possam conter falhas e brechas, detalhando esses resultados através de relatórios técnicos e gerenciais. Com as informações mapeadas, podemos mitigar as possíveis vulnerabilidades encontradas, garantindo assim maior segurança ao ambiente em questão. Assim podemos tratar e mitigar as falhas encontradas, garantindo maior segurança ao ambiente e estabelecendo uma nova Linha de Base para futuras análises.

Qualquer sistema e infraestrutura que manipule e trafega dados está sujeito a alguma vulnerabilidade. Podemos dizer que na situação atual, uma das principais formas de desestabilização e furto de informações para qualquer Usuário dentro de uma Corporação é a conexão com a Internet. Porém, a rede mundial de computadores, embora seja uma das principais, não é a única grande preocupação. Há outras possibilidades de acesso remoto que podem comprometer o sistema e a segurança de dados, tais como bluetooth, infra-vermelho, redes sem-fios (acesso Wi-Fi), etc.

Toda essa possível exposição dos dados pode acarretar em invasão de rede e seus servidores, expondo aplicações e consequentemente informações confidenciais e violando a privacidade garantida por lei.


Causas e origens das Vulnerabilidades

As falhas conhecidas e presentes em uma Organização, podem ser causadas por:

  • ERROS DE PROGRAMAÇÃO/DESENVOLVIMENTO: Grande parte das vulnerabilidades surge do erro de tamanho do buffer, uma região da memória reservada para escrita e leitura dos dados. Outro erro também comum, é a possibilidade de inserção de códigos de consulta SQL, brecha considerada dentre as mais graves em nível mundial;
  • MÁ CONFIGURAÇÃO: Aplicativos de segurança, como o firewall, devem ser corretamente configurados, ou podem ser brechas para ataques maliciosos. Infraestrutura de acesso também precária e muitas vezes doméstica, implementada em um ambiente corporativo;
  • FALHA HUMANA: Execução de arquivos maliciosos manualmente. Hábitos ruins dos usuários.

Quais os objetivos da Análise de Vulnerabilidades?

Assim como em todos os processos de gestão e repressão a ataques, existem diversos objetivos. Afim de simplificar a análise, com base nos conceitos aplicados pela Módulo Security Corp. seguem alguns dos principais objetivos galgados pela Análise de Vulnerabilidades:

  • Identificar e tratar falhas de softwares que possam comprometer seu desempenho, funcionalidade e segurança;
  • Providenciar uma nova solução de segurança como, por exemplo, o uso de um bom antivírus, com possibilidade de update constante e implementação de sistemas de detecção e prevenção de intrusão;
  • Alterar as configurações de softwares a fim de torná-los mais eficientes e menos suscetíveis a ataques;
  • Utilizar mecanismos para bloquear ataques automatizados (worms, bots, entre outros);
  • Implementar a melhoria constante do controle de segurança;
  • Documentar os níveis de segurança atingidos para fins de auditoria e compliance com leis, regulamentações e políticas.

Qual a importância deste processo?

Com a prática periódica da análise de vulnerabilidades, uma Organização por adquirir diversos retornos, assim como a possibilidade de:

  • Identificar e mitigar as falhas que podem vir a comprometer o desempenho, funcionalidade e segurança da sua aplicação;
  • Listar as ações necessárias para correção das fragilidades;
  • Possibilitar o alinhamento às normas de compliance;
  • Visualizar relatórios mais completos, com visão privilegiada da infraestrutura;
  • Realizar o acompanhamento da evolução de segurança do ambiente.

O relatório de análise de vulnerabilidades é constituído de informações essenciais que indicam a melhor estratégia para manter o ambiente da Organização protegido de falhas, ataques e invasões, através de uma avaliação completa, auxiliando de uma forma mais fácil e assertiva a tomada de decisão em relação à segurança da informação.


A demanda de ações e etapas

As etapas para detecção, remoção e controle exigem acompanhamento de profissional qualificado e ferramentas tecnológicas.

A integração desses processos produz maior segurança e proteção para os dados e sistema da Organização. Todas as ações tomadas devem ser documentadas não só para controlar futuras ações, como também para consultas periódicas.

A classificação e análise de ativos, é o mais apropriado em uma empresa porem, é uma tarefa praticamente intangível, pois existem diversos fatores desconhecidos. Assim uma análise de vulnerabilidades e tratamento de ameaças é mais efetiva quando realizado por uma equipe profissional e qualificada pois demanda várias ações, tais como:

  1. A detecção de vulnerabilidades que está presente nos sistemas da organização é o mínimo a ser feito;
  2. O histórico das ações tomadas e tratados, assim como informações sobre o funcionamento da ameaça;
  3. Qual o envolvimento com outras áreas da empresa que lidaram com a ameaça além do pessoal de tecnologia ou da informação.

Técnicas e ferramentas utilizadas

Em muitas situação, o profissional utiliza uma técnica chamada de Baseline Reporting, que o auxilia a identificar o que está acontecendo na sua rede ou companhia quando não existem ameaças, ou seja, quando nenhum agente está explorando, intencionalmente ou não, alguma falha ou vulnerabilidade no ambiente.

Este comportamento é utilizado quando há a suspeita de algum evento e precisa compará-lo ao funcionamento normal de suas atividades. Contudo, tanto o ambiente quanto as operações de sua empresa se modificam naturalmente, de forma que se deve garantir que a Linha de Base seja atualizada frequentemente.

O processo de Análise de Vulnerabilidade é suportado por diversas Ferramentas de Análise, capazes de auxiliar o profissional nesta identificação. Dentre estas, podemos citar:

  • PORT SCANNER: Um Port Scanner varre as portas de serviço TCP/IP de cada host analisado na rede, identificando quais destas portas estão abertas ou expostas;
  • PROTOCOL ANALYZER: Analisadores de Protocolo, ou Sniffers são ferramentas capazes de visualizar o tráfego de rede, capturando pacotes trafegados e permitindo a análise de seu conteúdo.
  • VULNERABILITY SCANNERS: São ferramentas inteligentes capazes de escanear o sistema, analisando serviços, versões de software, sistemas operacionais, bancos de dados e outros elementos no ambiente, identificando versões desatualizadas, patches de correção não aplicados, má configuração e outros detalhes que possam expor a Corporação à ameaças.
  • HONEYPOTS/HONEYNETS: “Potes de Mel” e “Redes de Mel”,  têm esse nome porque são utilizados para atrair ameaças que normalmente seriam direcionadas para o ambiente real de produção. Tratam-se de implementações de software complexas, que “sentam” no ambiente e tentam se parecer com sistemas em produção vulneráveis, no intuito de atrair atacantes, afim de conhecer e identificar as técnicas utilizadas por estes, para melhorar os processos de mitigação de ataques.

Conclusão

Um fato preocupante e que é tão comum, por exemplo, é o de muitas empresas estarem rodando versões desatualizadas e vulneráveis do Apache em seus servidores web simplesmente por não manterem um processo de análise e monitoria dessas ferramentas. Mesmo que inúmeros patches de correção tenham sido lançados e anunciados pelos fornecedores, corrigindo estas falhas, quando não há um processo acompanhando essas mudanças de uma forma contínua, a tendência é que o ambiente “pare no tempo” no que diz respeito à segurança da informação. (PALMEIRA, 2015).

Isso é um prato cheio para agentes maliciosos, que todos os dias exploram vulnerabilidades não corrigidas em sistemas, protocolos e serviços.

Em virtude destas situações (que são corriqueiras), além da exploração de um plano gestor em segurança da informação (o que é o ideal), dentre outros motivos, torna-se ideal a Análise de Vulnerabilidades e Riscos, sua aplicabilidade, testes e correções de problemas quando identificados e apresentados à Gestão, por meio de relatórios de atividades.

Os resultados obtidos pela Análise de Vulnerabilidade apresentam informações suficientes para que um profissional possa chegar a uma conclusão sobre o estado atual de exposição a ameaças do ambiente analisado. Estes, deverão conter a relação do que pode acontecer, com que frequência e o quão crítica é a consequência, somada a um relatório técnico detalhando quais serviços e sistemas estão sujeitos a quais tipos de ameaça.

Assim terás em mãos o conhecimento necessário para traçar um plano de ação (PA). Em seguida, basta colocar a mão na massa e partir para o próximo passo: Análise e Gestão dos Riscos, mas isto é assunto para outro artigo 😉

A segurança da Informação enfrenta constantes desafios para manter Usuários e Organizações protegidos de ameaças e vulnerabilidades que possam comprometer a normalidade de suas atividades e produção. Neste quesito, torna-se essencial a preocupação em manter dados em sigilo e garantir o bom funcionamento de processos, acompanhando o avanço e disponibilização de novas tecnologias.

A Análise de Vulnerabilidades torna a tomada de decisão em relação à segurança mais fácil, pois reúne informações essenciais que indicam a melhor estratégia para se manter protegido de falhas, ataques e invasões. (BLOG SEGURANÇA DA INFORMAÇÃO, 2013).


Fontes

Livros:

  • MELO, Sandro. Exploração de Vulnerabilidades em Redes TCP IP. Ed. Alta Books, 1ª edição, 2017. 192p..
  • STEINBACH, Elvis da Silva. White Hat Linux: Análise de Vulnerabilidades e Técnicas de Defesas Com Software Livre. Ed. Alta Books, 1ª edição, 2017. 192p..

Internet:

Andre H O Santos

Pentester, Especialista em Segurança de Redes e Testes de Invasão, Programador, Consultor e Professor de T.I.. Geek Inveterado, Apaixonado por Segurança da Informação e Louco por GNU/Linux. Dedica grande parte do seu tempo para criar soluções que ajudem dezenas de milhares de pessoas com dicas e artigos em Tecnologia e Segurança da Informação. Possui algumas Certificações em Ethical Hacking, Cabling System, Security+, SIEM Netwitness, SIEM SNYPR Securonix e Proficiência em Soluções de Vulnerability Management da Tenable.

Você pode gostar...

1 Resultado

  1. Elvis disse:

    Citou o meu livro. Um grande abraço e siga passando informações importantes para a comunidade, pois são de grande ajuda para todos. Bom trabalho 0/

Deixe um comentário para Elvis Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

três + 5 =