Como realizar uma verificação de vulnerabilidade externa
Você não sabe se sua rede é segura até testá-la. Executar uma verificação de vulnerabilidade externa (ou verificação de perímetro) é fundamental para garantir que o perímetro da sua rede não tenha vulnerabilidades evidentes.
Ataques cibernéticos em Aplicativos da web aumentou 52% em 2019 – o que significa que as empresas precisam verificar se há explorações de perímetro.
O que é uma verificação de vulnerabilidade externa?
Uma verificação de vulnerabilidade externa é aquela realizada fora da rede que você está testando. Essas varreduras têm como alvoendereços IP externosem toda a sua rede, verificando defesas de perímetro comosites, aplicativos da web,efirewalls de redepor fraquezas.
Essas entidades ficam voltadas para a web externa e, se exploradas, podem atuar como um ponto de entrada na sua rede interna. A execução de uma verificação de vulnerabilidade externa dirá quais explorações esses serviços possuem, sejam vulnerabilidades conhecidas ou configurações incorretas.
Em outras palavras, uma verificação de vulnerabilidade externa mostra lacunas nas defesas do perímetro da sua rede que os ataques cibernéticos usam para violar a sua rede. Uma verificação também fornece informações de correção acionáveis, como as atualizações necessárias para proteger seu software contra comprometimento.
Uma verificação de vulnerabilidade externa é igual a uma verificação de vulnerabilidade?
Existem vários tipos de verificações de vulnerabilidade, incluindo verificações de vulnerabilidade internas, externas, autenticadas e não autenticadas. Cada tipo de varredura tem uma finalidade diferente.
- Verificação de vulnerabilidade externa-A verificação de vulnerabilidades ocorre fora da rede para detectar vulnerabilidades no perímetro de uma rede fora da rede interna. Ele pode revelar serviços, portas, aplicativos e servidores vulneráveis.
- Verificação de vulnerabilidade interna– A verificação de vulnerabilidades ocorre dentro das defesas do perímetro de uma organização para detectar vulnerabilidades que invasores internos, como hackers ou funcionários amargos, podem explorar na rede interna. Inclui computadores, servidores, telefones VoIP, impressoras e scanners
- Verificação não autenticada– Verificações de vulnerabilidades para procurar explorações dentro do perímetro da rede sem acesso privilegiado ou credenciais de login para serviços na rede.
- Verificações autenticadas– Verificações de vulnerabilidades nas quais o scanner recebe credenciais de acesso para acessar sistemas em toda a rede. A varredura replica um cenário em que um invasor obteve credenciais de acesso e está investigando a rede em busca de roubo de dados.
Resumindo, uma verificação de vulnerabilidade externa informa quais vulnerabilidades você possui em suas defesas de perímetro. Estas são as vulnerabilidades que tentaremos usar ao tentar invadir a rede interna. As verificações de vulnerabilidades externas são executadas por umFornecedor de digitalização aprovado(Estados Unidos).
Por que uma verificação de vulnerabilidade externa é importante?
Executar uma verificação de vulnerabilidade externa é importante porque permite identificar pontos fracos em suas defesas de perímetro, como um firewall ou site.
Vulnerabilidades em suas defesas de perímetro facilitam a invasão de sua rede interna por cibercriminosos, colocando em risco seus sistemas e seus dados.
As verificações de vulnerabilidades externas também são importantes para a preparação para a conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS). De acordo com o PCI DSS, qualquer comerciante ou prestador de serviços que processe, armazene ou transmita dados de cartão de crédito precisa proteger esses dados por meio de medidas que incluem verificação de vulnerabilidades externas. O não cumprimento pode resultar em multas e penalidades substanciais para os comerciantes, incluindo a retirada da capacidade de processar cartões de crédito.
Para cumprir os requisitos do PCI DSS, é importante observar que as verificações de vulnerabilidades externas devem ser realizadas por um fornecedor de verificação aprovado. ASVs são uma lista de fornecedores que foram testados e aprovados pelo PCI Standards Council.
O processo de testes é vigoroso, com testes anuais que verificam o processo de verificação de vulnerabilidades do fornecedor. Você pode ver uma lista dos fornecedores e informações de contato no Padrões de segurança PCI site.
Como realizar uma verificação de vulnerabilidade externa
As verificações de vulnerabilidades externas podem ser realizadas pela sua empresa ou por terceiros com software de verificação de vulnerabilidades. A qualidade do scanner determinará sua eficácia na descoberta de vulnerabilidades e portas abertas. Neste exemplo, vamos usar Acunetix , mas há muitos scanners de vulnerabilidade que você usa .
Veremos como verificar vulnerabilidades em um aplicativo da web ou site com o Acunetix. Embora este não seja um guia completo sobre como verificar todos os recursos de TI do seu perímetro, ele lhe dá uma ideia de como verificar alguns dos principais serviços que os invasores tentarão atingir.
- Clique noAlvosguia na GUI do Acunetix e pressioneAdicionar alvoem seguida, insira umEndereçoeDescriçãopara o alvo que você deseja verificar.
- CliqueAdicionar destino.
- [Se o seu site não requer autenticação de formulários] Sob oInformações do alvocaixa, selecione oLogin do siteopção e adicione umNome de usuário,Senha, eDigite novamente a senhapara ativar o login automático no site. Vá para a etapa 12.
- [Se o seu site requer autenticação de formulários] você precisa verificar oUse sequência de login pré-gravadaopção e clique noInicie o gravador de sequência de login.
- Agora clique noSeu perfilopção e insira umNome de usuárioeSenha.
- CliqueConecte-se.
- ImprensaJogarpara verificar se as etapas inseridas para o login automático estão corretas e pressionePróximo.
- Clique noTeste de logoutopção e confirme a ação que você deseja restringir o scanner clicando emRestrinja a solicitação usando uma correspondência exata.
- CliquePróximo.
- Clique noOKbotão quando oPadrão detectadocaixa aparece e cliqueTerminaruma vez pronto, salve a sequência de login.
- Retorne à seção Login do site e clique no botãoícone de arquivopróximo aoSequência de logincaixa eAbrira sequência de login que você salvou.
- CliqueSalvarno canto superior esquerdo da tela.
- CliqueVarredurapara selecionar o tipo de verificação que deseja executar (neste exemplo -selectVerificação completa).
- Selecione osItens afetadosopção de relatório eInstantenoAgendarcaixa.
- ImprensaCriar digitalizaçãopara iniciar a verificação.
- Monitore o progresso da verificação noVerificaçõesaba. Você pode clicar noVulnerabilidadespara visualizar as vulnerabilidades à medida que são descobertas. Você também pode visualizar um resumo de todas as vulnerabilidades detectadas acessando a páginaPainelaba.
Você pode usar uma ferramenta como o Acunetix para executar uma verificação de vulnerabilidade externa ou contar com um serviço/ASV de terceiros para fazer isso por você. A necessidade de um ASV para executar a verificação dependerá do que os regulamentos do seu setor estipulam.
O Processo de Avaliação de Vulnerabilidade
Executar uma verificação de vulnerabilidade é apenas o começo do processo de avaliação de vulnerabilidade. Para corrigir vulnerabilidades de forma eficiente e bem-sucedida, você precisa:
- Identifique vulnerabilidades
- Avalie o nível de risco apresentado por essas vulnerabilidades
- Corrija as vulnerabilidades descobertas
- Relatar as vulnerabilidades descobertas e como elas foram resolvidas
A identificação de vulnerabilidades com a verificação informa onde suas defesas de perímetro atuais estão falhando. No entanto, pode haver tantas vulnerabilidades que você terá dificuldade em saber quais delas resolver. Avaliar o nível de risco apresentado pelas vulnerabilidades é fundamental para determinar quais problemas corrigir primeiro.
Se você executar sua própria verificação, seu scanner poderá permitir que você procure vulnerabilidades por gravidade, ou um especialista informará o que resolver primeiro por meio da documentação, se você executar uma verificação por meio de um ASV.
A chave para priorizar é estimar o impacto que uma exploração bem-sucedida teria nos negócios, qual a probabilidade de a vulnerabilidade ser explorada e quais controles de segurança você poderia implementar para corrigir o problema. Você também deve ficar atento a vulnerabilidades falso-positivas para não tentar consertar algo que não precisa.
Depois de estimar o impacto das ameaças em todo o seu ambiente, é uma boa ideia concentrar-se na correção das vulnerabilidades que apresentam o maior nível de risco ao seu ambiente. A correção dessas vulnerabilidades pode ser tão simples quanto instalar um novo patch ou tão complexa que não existe uma solução direta.
Se você descobrir uma vulnerabilidade que não pode ser resolvida, é importante avaliar se vale a pena usar esse sistema, apesar do risco. Às vezes, você pode mitigar vulnerabilidades de baixo risco apenas estando ciente de sua presença e fazendo algumas alterações de segurança.
Com que frequência devo executar uma verificação de vulnerabilidade externa?
Uma verificação única não é suficiente para verificar se sua rede está segura. As condições mudam o tempo todo e realizar verificações regulares é fundamental para garantir a detecção de novas vulnerabilidades. Há uma grande variação entre as recomendações do setor sobre a frequência com que você deve digitalizar. As recomendações variam de mensal a trimestral.
Se você está trabalhando para cumprir uma regulamentação específica, é vital consultar os requisitos e executar verificações de vulnerabilidade com a frequência necessária. As varreduras trimestrais (por meio de um ASV) são suficientes para estar em conformidade com o PCI DSS.
Scanners de vulnerabilidade externa ASV (PCI DSS)
Acima mencionamos o Acunetix, que permite executar suas próprias verificações de vulnerabilidades externas, mas nesta seção veremos alguns ASVs que executarão verificações em seu nome. O PCI SSC define um ASV como “uma organização com um conjunto de serviços e ferramentas de segurança para conduzir serviços externos de verificação de vulnerabilidades”.
Todos os ASVs são testados e aprovados pelo PCI DSS. Você pode encontrar uma lista de ASVs no site
Padrões de segurança PCI site. Alguns dos principais ASVs incluem:
Para conformidade com o PCI DSS, trabalhar com um ASV é vantajoso porque permite terceirizar sua digitalização para um fornecedor aprovado pelo PCI SSC. O PCI SSC verificou que um ASV tem a capacidade de detectar vulnerabilidades de forma suficiente para que você possa se tornar compatível com PCI DSS.
Além disso, anos de experiência na execução de verificações de vulnerabilidades significam que eles têm o conhecimento necessário para descobrir vulnerabilidades e serão capazes de explicar como remediar vulnerabilidades em seu ambiente.
Por que executar uma verificação de vulnerabilidade externa é essencial
Concluir uma verificação de vulnerabilidade é apenas metade da batalha. Quando os resultados da verificação retornarem e você perceber que há vulnerabilidades em seu ambiente, é importante agir com base nessas informações para resolver esses pontos fracos. Se você executar a verificação e não conseguir corrigir as alterações, sua organização não ficará mais segura.
Perguntas frequentes sobre verificação de vulnerabilidade externa
Qual é a diferença entre verificação de vulnerabilidades externa e interna?
A principal diferença entre a verificação de vulnerabilidades externa e interna é se você dá permissão ao scanner para entrar na sua rede. Um scanner externo tentará invadir sua rede a partir de um local remoto. Um scanner interno também pode ser iniciado a partir de um local remoto, mas sua intenção é testar a segurança dentro da rede e, portanto, exige que você insira credenciais para deixá-lo entrar na rede, passando pela segurança do seu perímetro.
O que é a verificação de vulnerabilidade externa do PCI DSS?
Um scanner de vulnerabilidade externo precisa testar se uma configuração de segurança do sistema pode bloquear hackers. Um scanner que foi adaptado para verificar a conformidade com o PCI DSS pode ser descrito como um scanner de vulnerabilidade externa do PCI DSS.
Quais entidades podem realizar verificações de vulnerabilidades externas?
Qualquer pessoa pode realizar uma verificação de vulnerabilidade externa em qualquer sistema, mesmo naqueles que não são de sua propriedade. No entanto, para fins de comprovação da conformidade com o PCI DSS, é necessário que a verificação seja realizada por um auditor certificado. O PCI Security Standards Council mantém um banco de dados pesquisável de Fornecedores de digitalização aprovados .