O campo da Cibersegurança inclui todas as atividades que as empresas e equipes de segurança realizam para proteger a si mesmas e aos seus ativos de TI contra ataques. Isto inclui tarefas de segurança defensivas e ofensivas.
A segurança ofensiva envolve o uso das mesmas ferramentas, táticas e técnicas que um invasor real usaria ao atacar uma organização. No entanto, em vez de utilizar estas técnicas para causar danos, as equipas de segurança podem utilizá-las para melhorar a segurança de uma organização.
Os defensores cibernéticos jogam um jogo constante de gato e rato com os cibercriminosos e outros atores de ameaças cibernéticas. À medida que os atacantes desenvolvem novas ferramentas e técnicas, os defensores implementam defesas contra eles. Depois, os atacantes trabalham para contornar essas defesas.
Se uma organização aborda a Cibersegurança apenas numa perspectiva defensiva, então as ferramentas e defesas que desenvolve só são verdadeiramente testadas quando a organização é atacada. Além disso, o desenvolvimento de novas defesas é realizado no vácuo, com conhecimento limitado sobre o que é realmente necessário para fechar brechas nas defesas de uma organização.
A Cibersegurança Ofensiva fornece às organizações um meio de testar suas defesas e identificar a segurança de API que precisa ser abordada. Ao simular ataques do mundo real, os testes ofensivos de Cibersegurança identificam as vulnerabilidades que representam o maior risco para uma organização, permitindo à empresa concentrar o investimento e o esforço em segurança onde proporciona o maior retorno do investimento.
A Cibersegurança Defensiva inclui os esforços que uma organização faz para se proteger contra ataques. A implantação de soluções de segurança, a adoção de políticas de segurança, o treinamento de funcionários para reconhecer ataques de phishing e esforços semelhantes estão todos sob a égide defensiva. A Cibersegurança Defensiva inclui a tentativa proativa de prevenir a ocorrência de ataques cibernéticos e a tentativa reativa de identificar, bloquear e mitigar os ataques em curso.
Em essência, a Cibersegurança ofensiva é aquilo contra o qual a Cibersegurança defensiva está trabalhando para se proteger. Os cibercriminosos testam, contornam e rompem as defesas de uma organização para roubar dados ou causar danos. Os hackers éticos testam, contornam e rompem as defesas de uma organização para encontrar brechas que possam ser corrigidas antes que um invasor real possa tirar vantagem delas.
Um programa de Cibersegurança maduro incorpora atividades de Cibersegurança tanto ofensivas como defensivas. Esta combinação defende uma organização contra ameaças cibernéticas e utiliza técnicas ofensivas de Cibersegurança para refinar e melhorar essas defesas.
A verificação de vulnerabilidade é um processo automatizado usado para identificar vulnerabilidade no aplicativo de uma organização. Um scanner de vulnerabilidade tentará identificar os aplicativos em execução nos sistemas de destino e determinar se eles contêm vulnerabilidades. Isso pode ser feito combinando a busca por vulnerabilidades conhecidas para uma versão de software específica e o envio de entradas maliciosas – como strings comuns de injeção de SQL – para um aplicativo.
A verificação de vulnerabilidade é comumente usada por agentes de ameaças cibernéticas para identificar vulnerabilidades potencialmente exploráveis na preparação para um ataque. Ao realizar verificações regulares de vulnerabilidades, uma organização pode identificar e fechar essas vulnerabilidades antes que possam ser exploradas.
O teste de penetração é uma forma de teste de segurança ofensivo em que um ser humano testa as defesas cibernéticas de uma organização. Essas avaliações são projetadas para identificar o maior número possível de vulnerabilidades nas defesas de uma organização.
Os testes de penetração podem identificar vulnerabilidades que passariam despercebidas por um scanner automatizado porque são guiados pela inteligência e pelo conhecimento humanos. Testes de penetração regulares ajudam as organizações a eliminar a vulnerabilidade com maior probabilidade de ser explorada por um invasor humano.
Os exercícios da equipe vermelha são semelhantes aos testes de penetração, pois são realizados por humanos e não totalmente automatizados. Uma grande diferença é que os compromissos da equipe vermelha testam as defesas de uma organização contra uma ameaça específica, enquanto os testes de penetração são projetados para identificar o maior número possível de vulnerabilidades.
Os exercícios de equipe azul e roxo referem-se ao envolvimento de diferentes partes no exercício e ao seu nível de colaboração. Por exemplo, um exercício da equipe roxa envolve mais colaboração e compartilhamento de conhecimento entre a equipe vermelha ofensiva e a equipe azul defensiva.
As avaliações da equipe vermelha têm como objetivo imitar ataques do mundo real, muitas vezes com um objetivo específico, como violação de dados ou entrega de ransomware. Ao realizar testes de penetração regulares, uma organização pode identificar a vulnerabilidade que um invasor humano encontraria e exploraria, permitindo-lhe fechar essas seguranças de API.
Os exercícios de caixa branca, caixa preta e caixa cinza não são formas diferentes de avaliação. Em vez disso, descrevem o nível de conhecimento e acesso concedido aos invasores. Cada abordagem tem seus próprios prós e contras:
Estas três abordagens para testes de segurança ofensivos podem ser aplicadas a qualquer uma das formas de testes mencionadas acima. Com mais conhecimento e acesso, um pen tester ou red teamer tem mais opções do que teria com uma avaliação de caixa preta. Da mesma forma, conhecimento e acesso adicionais podem influenciar a colocação e configuração de ferramentas automatizadas para verificação de vulnerabilidades.
Muitos dos testes mencionados acima concentram-se em atingir os sistemas de TI de uma organização e em evitar as defesas digitais. No entanto, muitos agentes de ameaças cibernéticas terão como alvo o elemento humano nos seus ataques, em vez de tentarem identificar e explorar a vulnerabilidade do software.
Os testes de engenharia social concentram-se em avaliar até que ponto os funcionários, prestadores de serviços, etc. de uma organização protegem seus dados e sistemas. Os engenheiros sociais usarão truques, manipulação e técnicas semelhantes para enganar ou coagir os alvos a realizar alguma ação que beneficie o invasor, como entregar dados confidenciais ou conceder acesso a aplicativos ou espaços corporativos seguros.
Os testes ofensivos de Cibersegurança são um componente essencial de uma estratégia corporativa eficaz de Cibersegurança. Sem os meios para realizar ataques simulados, uma organização não tem conhecimento da eficácia das suas defesas e da vulnerabilidade com maior probabilidade de ser explorada por um invasor. Essas informações são cruciais para o desenvolvimento de estratégias de segurança e para o planejamento de investimentos estratégicos.
A Check Point oferece uma gama de serviços de segurança ofensivos, incluindo avaliações automatizadas e conduzidas por humanos. Com o Security CheckUp gratuito da Check Point, você pode identificar muitas das principais ameaças e vulnerabilidades em seu ambiente que precisam ser abordadas.
A Check Point Professional Services também oferece uma gama de serviços projetados para ajudar a melhorar a maturidade do programa de segurança da sua organização. Isso inclui identificar vulnerabilidades e fornecer suporte de curto ou longo prazo para melhorar as defesas cibernéticas e prevenir ataques cibernéticos contra sua organização.