Como o cenário de ameaças cibernéticas está em constante mudança, as avaliações de segurança cibernética de rotina são um componente essencial de um programa abrangente de gerenciamento de riscos. Em todos os momentos, sua empresa deve monitorar a higiene cibernética de todo o seu ecossistema, incluindo fornecedores terceirizados e terceirizados. Uma avaliação de risco de segurança cibernética ajuda você a fazer isso identificando os riscos cibernéticos que afetam sua postura de segurança, permitindo que você tome decisões mais informadas sobre como alocar fundos para implementar controles de segurança e proteger a rede. Vejamos algumas das avaliações de risco de segurança cibernética mais comuns e as ações com ferramentas que sua empresa pode realizar para realizar uma avaliação eficaz:
O que é avaliação de segurança cibernética?
Uma avaliação de segurança cibernética é um processo que determina o estado atual da postura de segurança cibernética de sua organização e recomenda etapas para melhoria. Embora existam muitos tipos diferentes de avaliações, este artigo se concentra no NIST SP 800-115: Implementando controles de segurança para sistemas de informações federais (ICS) – Metodologia de avaliação de segurança 2ª edição (SAM2). O objetivo aqui é fornecer algumas informações básicas sobre como o SAM2 funciona para que você possa decidir se ele seria adequado para sua situação específica.
Ferramentas de avaliação de segurança cibernética
As ferramentas de avaliação de segurança cibernética avaliam a postura de segurança cibernética da sua empresa. A avaliação consiste em uma série de perguntas que ajudam a determinar a postura atual de segurança cibernética de sua organização, identificar potenciais riscos e oportunidades e fornecer uma oportunidade para avaliar seus controles existentes.
A avaliação foi projetada para ser concluída por um avaliador externo que não avaliou sua organização anteriormente. Um relatório de avaliação será gerado com base nos resultados da avaliação, que podem incluir recomendações para melhorar sua postura de segurança cibernética.
Como você faz uma avaliação de segurança cibernética?
O primeiro passo na realização de uma avaliação de segurança cibernética é entender o escopo do seu projeto. Uma avaliação de segurança cibernética pode ser definida como uma análise que considera todos os aspectos da segurança da informação, incluindo segurança de rede e sistema, desenvolvimento e implementação de aplicativos, modelos de autorização de usuário (por exemplo, logon único) e políticas e procedimentos de gerenciamento de classificação de dados.
O escopo de sua avaliação deve incluir o seguinte:
- O impacto nos negócios caso ocorra uma ameaça ou vulnerabilidade;
- Níveis de risco atuais para cada área identificada acima;
- Quão bem cada área protege contra ameaças conhecidas? Caso contrário, identifique quais controles podem precisar ser implementados com base nos padrões/melhores práticas atuais do setor;
- Que outras áreas precisam de atenção? Por exemplo: temos capacidade de monitoramento suficiente para nosso tráfego de rede? Existe visibilidade suficiente sobre o que os clientes fazem on-line como parte de suas atividades diárias sem passar por nós toda vez que fazem login?
Lista de verificação de avaliação de segurança cibernética
Você pode usar uma lista de verificação de avaliação de segurança padrão para garantir que está cobrindo todas as bases com sua avaliação de segurança cibernética. Isso é especialmente importante quando se trabalha em grandes projetos e equipes, pois reduz o tempo necessário para que cada pessoa conclua sua parte do processo.
Veja a seguir um exemplo de lista de verificação que você pode personalizar e usar conforme necessário:
- NIST 800-53 (Computer Security Framework) – Este documento define os requisitos mínimos para o gerenciamento de segurança da informação ao longo do ciclo de vida de uma organização. Ele descreve cinco áreas de interesse: avaliação de riscos, teste de penetração, desenvolvimento e implementação do plano de resposta a incidentes, desenvolvimento e implementação do plano de gerenciamento de segurança da instalação, capacidade de criação/atualização de documentos de orientação de políticas
O que está incluído em uma avaliação de segurança cibernética?
Uma avaliação de segurança é um processo que usa ferramentas e técnicas para coletar informações sobre seu ambiente de rede. Uma boa avaliação de segurança visa garantir que os dados, sistemas e aplicativos da sua organização sejam os mais seguros possíveis.
Uma boa avaliação de segurança inclui:
- Escopo, cronograma e custo da avaliação;
- A equipe que irá realizá-la;
- A abordagem usada para conduzi-lo (por exemplo, teste de penetração ou varredura de vulnerabilidade);
- Ferramentas/técnicas usadas durante as fases de coleta – como escaneamento de portas ou software fuzzing;
- Pessoas recebendo resultados desta atividade – ou seja, usuários finais que passam por suas máquinas uma a uma (sem necessidade de registro manual), parceiros/fornecedores que recebem relatórios diretamente de nós por meio de anexo(s) de e-mail.
Serviços de avaliação de segurança cibernética
Uma avaliação de segurança é uma coleta sistemática de dados para determinar o nível de risco e identificar pontos fracos na segurança da informação da sua organização. O objetivo de uma avaliação de segurança é identificar lacunas nos processos e políticas atuais da sua organização, bem como avaliar as vulnerabilidades que os hackers podem explorar.
As avaliações de segurança podem ser conduzidas usando software de código aberto como o Nessus ou o Vulnerability Management Suite (VMS) da Qualys, que fornece um instantâneo da configuração de sua rede no momento - ou podem ser terceirizadas (como por meio de avaliações de segurança cibernética). Este processo tem muitos benefícios: é mais barato; fornece feedback em tempo real; não há problemas de bloqueio de fornecedor porque você obtém acesso a todas as ferramentas de uma só vez e, se tiver problemas com qualquer ferramenta específica durante a fase de avaliação, pode haver outra disponível gratuitamente!
Exemplo de relatório de avaliação de segurança cibernética
Um relatório de avaliação de segurança cibernética é um documento que descreve a postura de segurança atual da sua organização e as lacunas nela. Ele também fornece recomendações para melhorar a segurança cibernética de sua organização, incluindo a implementação de melhores práticas e tecnologias.
Um relatório de avaliação de segurança cibernética deve incluir o seguinte:
- O objetivo do relatório (por exemplo, “Fornecer informações sobre nosso nível atual de proteção”)
- Uma descrição de que tipo de informação será incluída (por exemplo, “Os seguintes tópicos serão abordados:”)
- Uma lista de referências usadas ao longo deste documento, incluindo quaisquer recursos externos que foram consultados durante a sua criação (por exemplo, "Dr. John Doe escreveu este artigo.")
Quanto tempo leva uma avaliação de segurança cibernética?
Depende do tamanho do seu negócio, do tipo de avaliação que deseja fazer e do tempo que você tem disponível. A velocidade com que cada parte será concluída também tem um impacto na rapidez com que você pode obter os resultados de terceiros; portanto, se eles forem lentos com as respostas ou não fornecerem nenhum resultado, isso poderá atrasar outros projetos em andamento por vários dias ou semanas (dependendo de quantos recursos estão envolvidos). Se isso acontecer, às vezes é melhor tentar novamente com outro provedor até que apareça um que atenda às suas necessidades!
O que é uma avaliação de segurança do NIST?
NIST é o Instituto Nacional de Padrões e Tecnologia (NIST). É uma agência não reguladora dentro do Departamento de Comércio dos EUA, o que significa que não faz leis nem aplica regulamentos governamentais. Em vez disso, o NIST cria e publica padrões para edifícios, eletrônicos e softwares – incluindo padrões de segurança da informação!
A palavra “avaliação” refere-se a um processo de avaliação em que uma organização avalia seu estado atual em relação a um ou mais critérios ou objetivos especificados; em seguida, toma medidas com base nessas descobertas. Uma avaliação de segurança pode ajudar as organizações a aprender sobre suas vulnerabilidades, observando violações anteriores ou ameaças atuais representadas por criminosos cibernéticos; determinar se eles têm recursos suficientes disponíveis para prevenir ataques futuros; identifique áreas onde melhorias podem ser feitas para que os hackers falhem novamente - e muito mais!
Quais são os três estágios de um plano de avaliação de segurança?
Uma avaliação de segurança é um processo que envolve coletar informações sobre sua rede e clientes, definir os objetivos da avaliação, projetar uma abordagem para coletar dados de diferentes fontes e analisar os resultados.
O primeiro estágio de qualquer avaliação de segurança é o planejamento. Nesta etapa, você decidirá quais informações coletar para avaliar a postura de segurança cibernética de sua organização. Você também pode considerar quem estará envolvido na execução dessa tarefa e quanto tempo levará cada pessoa (e sua equipe) para concluí-la.
Uma vez que seu plano foi criado, é hora de executá-lo! Nesta fase, todas as tarefas atribuídas durante o planejamento começarão a trabalhar nelas de forma independente ou em conjunto, dependendo de seu nível de especialização.
Como faço para iniciar uma avaliação de segurança cibernética?
O primeiro passo no estabelecimento de metas é definir o problema. Isso pode ser difícil se você nunca fez isso antes, mas deve começar com uma compreensão clara do que sua organização está tentando realizar e onde está seu estado atual.
Depois de definir o problema, é hora de definir resultados mensuráveis para ajudar sua equipe a entender como está progredindo em direção a essas metas. Se possível, tente não confiar nas percepções dos outros sobre o quão bem eles estão indo - você deve sempre reconhecer erros e falhas como indivíduo ou membro da equipe (e não se esqueça de si mesmo!). Ser ambicioso, mas realista, ajudará muito a alcançar o sucesso aqui; pense em coisas como: “Quero que os níveis de condicionamento físico dos membros da minha equipe aumentem em 20% nos próximos seis meses”.
Ferramentas gratuitas de avaliação de segurança cibernética
Ferramentas gratuitas podem ser úteis se você estiver procurando por uma visão geral rápida da avaliação de segurança cibernética. Eles mostrarão informações essenciais sobre sua rede e fornecerão um instantâneo de onde as coisas estão. No entanto, essas ferramentas não são tão detalhadas ou confiáveis quanto as pagas, portanto, não fornecerão todos os detalhes sobre a segurança do seu ambiente.
As ferramentas pagas de avaliação de segurança cibernética valem seu peso em ouro porque são mais detalhadas do que as gratuitas. Eles também são muito mais precisos ao avaliar os níveis de risco em diferentes partes da infraestrutura da sua empresa (como desktop x móvel).
Abaixo estão as principais opções de ferramentas gratuitas de avaliação de segurança cibernética que você deve conferir.
#1. Kali LinuxGenericName
Kali Linux é um sistema operacional popular para testes de penetração, também conhecido como hacking ético. É baseado no Debian Linux e tem mais de 600 ferramentas de segurança pré-instaladas. Isso o torna ideal para testar a segurança de uma rede ou aplicativo da web.
O Kali pode testar a segurança de uma rede ou aplicativo da Web realizando vários ataques contra ele (como verificação de porta).
#2. Vá phishing
Go phish é um kit de ferramentas de phishing para testadores de penetração e treinamento de conscientização de segurança. Ele fornece a capacidade de criar e-mails de phishing realistas, páginas da Web e mensagens SMS que podem ser usadas em uma avaliação ou ambiente de sala de aula.
A ferramenta foi criada por Adrienne Porter Felt, que também criou a popular estrutura de teste de caneta Metasploit Framework (MSF). Este projeto visa tornar mais fácil para as pessoas que não têm muita experiência em programação construir suas ferramentas sobre as APIs do MSF sem ter que aprender como essas APIs funcionam primeiro – e foi exatamente isso que eles fizeram!
#3. defendendo
Defending é um scanner de segurança baseado na web que usa o OWASP Top 10 para ajudá-lo a encontrar e corrigir vulnerabilidades em seus aplicativos da web. Ele pode ser usado para testes de penetração e segurança de aplicativos da web. Ainda assim, é escrito em Python e de código aberto, portanto, se você estiver interessado em aprender mais sobre suas funcionalidades, confira a estação externa no GitHub!
#4. Aircrack-ng
Aircrack-ng é um conjunto de ferramentas que podem ser usadas para auditar redes sem fio. Ele é usado para auditar a segurança WiFi e recuperar chaves e senhas de rede.
A ferramenta foi desenvolvida inicialmente por Simon Paška, que descobriu que a criptografia WPA/WPA2 era vulnerável a ataques de negação de serviço (DoS) usando um script automatizado conhecido como “Aircrack”. A primeira versão do Aircrack foi lançada em 2002 por Wichert Akkerman e Michal Zalewski.[4] Em 2004, Mikko Hyppönen criou uma nova versão chamada Airmon que suporta mon0 ao invés de mon0/1.[5] Em 2007, o aircrack-ng foi integrado ao plugin Linux Shodan do Kismet (inicialmente lançado em 2006).
#5. Suíte Burp
Burp Suite é uma plataforma integrada para realizar testes de segurança de aplicações web. Ele contém uma coleção de ferramentas que suportam todo o processo de teste, desde a interceptação e monitoramento do tráfego até a geração de relatórios ding.
O Burp Suite pode interceptar, manipular e registrar HTTP e solicitações e respostas para solicitar a segurança do site ou do aplicativo. Ele inclui recursos como:
- Proxy - Injeta cargas arbitrárias em conexões de rede ao vivo sem permissões especiais; também útil para testar terceiros como Twitter ou LinkedIn (que geralmente requerem permissões especiais).
- repetidor - Permite repetir solicitações várias vezes usando entradas diferentes facilmente; útil ao tentar diferentes combinações de parâmetros/cabeçalhos, etc., por exemplo, alterar parâmetros GET entre duas URLs diferentes repetindo uma solicitação várias vezes!
Resumo
Em conclusão, deve-se observar que uma avaliação de segurança cibernética é um processo que ajuda as empresas a avaliar sua vulnerabilidade a hackers e roubos. A avaliação inclui a realização de um inventário de sua infraestrutura de rede, avaliação dos riscos envolvidos em cada sistema, teste de vulnerabilidades nesses sistemas e desenvolvimento, elaborando um plano de ação para corrigir quaisquer problemas antes que se tornem problemas mais significativos. Além disso, é fundamental ter treinamento contínuo para que os funcionários saibam como se proteger melhor de hackers que possam tentar roubar informações confidenciais dos sistemas da sua empresa.
Perguntas frequentes sobre avaliação de segurança cibernética
O que é Avaliação de Segurança Cibernética?
Um aplicativo de desktop autônomo que orienta proprietários e operadores de ativos por meio de um processo sistemático de avaliação de Tecnologia Operacional e Tecnologia da Informação.
O que é a lista de verificação de avaliação de riscos de segurança?
Fornece uma lista de ameaças que afetam a integridade, confidencialidade e disponibilidade dos ativos de uma organização.
Como você realiza uma avaliação de risco de segurança cibernética em 5 etapas?
- Passo 1: Determinar o escopo da avaliação de risco
- Etapa 2: como identificar os riscos de segurança cibernética
- Passo 3: Analise os riscos e determine o impacto potencial
- Passo 4: Determine e priorize os riscos
- Passo 5: Documente todos os riscos
- AVALIAÇÃO DE RISCO DE SEGURANÇA CIBERNÉTICA: Tudo o que você precisa saber
- EXTORSÃO CIBERNÉTICA: Definição, Coberturas e Exemplos
- SISTEMA DE SEGURANÇA DE NEGÓCIOS: O que é, tipos e custo
Referências
