Avaliação de vulnerabilidade (computação)

A avaliação de vulnerabilidade é um processo de definição, identificação e classificação das falhas de segurança em sistemas de tecnologia da informação. Um invasor pode explorar uma vulnerabilidade para violar a segurança de um sistema. Algumas vulnerabilidades conhecidas são as vulnerabilidades de autenticação, as vulnerabilidades de autorização e asvulnerabilidades de validação de entrada.^[1]

Propósito[editar | editar código-fonte]

Antes de implantar um sistema, primeiro ele deve passar por uma série de avaliações de vulnerabilidade que garantirão que o sistema de compilação esteja protegido contra todos os riscos de segurança conhecidos. Quando uma nova vulnerabilidade é descoberta, o administrador do sistema pode novamente realizar uma avaliação, descobrir quais módulos são vulneráveis e iniciar o processo de correção. Depois que as correções estiverem em vigor, outra avaliação poderá ser executada para verificar se as vulnerabilidades foram realmente resolvidas. Esse ciclo de avaliação, correção e reavaliação tornou-se o método padrão para muitas organizações gerenciarem seus problemas de segurança.

O objetivo principal da avaliação é encontrar as vulnerabilidades no sistema, mas o relatório de avaliação transmite às partes interessadas que o sistema está protegido contra essas vulnerabilidades. Se um intruso obteve acesso a uma rede que consiste em servidores Web vulneráveis, é seguro assumir que ele também obteve acesso a esses sistemas.^[2] Por causa do relatório de avaliação, o administrador de segurança poderá determinar como ocorreu a intrusão, identificar os ativos comprometidos e tomar as medidas de segurança apropriadas para evitar danos críticos ao sistema.

Tipos de avaliações[editar | editar código-fonte]

Dependendo do sistema, uma avaliação de vulnerabilidade pode ter vários tipos e níveis.

Avaliação de host[editar | editar código-fonte]

Uma avaliação de host procura vulnerabilidades no nível do sistema, como permissões de arquivo inseguras, falhas (bugs) no nível do aplicativo, backdoors e instalações de cavalos de Tróia. Requer ferramentas especializadas para o sistema operacional e pacotes de software que estão sendo utilizados, além de acesso administrativo a cada sistema que deve ser testado. A avaliação de host geralmente é muito cara em termos de tempo e, portanto, é usada apenas na avaliação de sistemas críticos. Ferramentas como o e o Tiger são populares na avaliação de hosts.

Avaliação de rede[editar | editar código-fonte]

Em uma avaliação de rede, avalia-se a rede quanto a vulnerabilidades conhecidas. Ela localiza todos os sistemas em uma rede, determina quais serviços de rede estão em uso e analisa esses serviços em busca de possíveis vulnerabilidades. Este processo não requer nenhuma alteração de configuração nos sistemas que estão sendo avaliados. Ao contrário da avaliação de host, a avaliação da rede requer pouco esforço e custo computacional.

Avaliação de vulnerabilidade versus teste de penetração[editar | editar código-fonte]

A avaliação de vulnerabilidade e o teste de penetração são dois métodos de testes diferentes. Eles são diferenciados com base em certos parâmetros específicos.

Avaliação de vulnerabilidade *versus* teste de invasão^[3]
	Verificação de vulnerabilidade	Teste de invasão
Com que frequência executar	Continuamente, especialmente depois que um novo equipamento é carregado	Uma vez por ano
Relatórios	Linha de base abrangente de quais vulnerabilidades existem e mudanças em relação ao último relatório	Curto e direto ao ponto, identifica quais dados foram realmente comprometidos
Métricas	Lista vulnerabilidades de software conhecidas que podem ser exploradas	Descobre exposições desconhecidas e exploráveis a processos de negócios normais
Executad(a)o por	Pessoal interno, aumenta a experiência e o conhecimento do perfil de segurança normal.	Serviço externo independente
Despesa	Baixo a moderado: cerca de US$ 1.200 / ano + tempo da equipe	Alta: cerca de US$ 10.000 por ano fora da consultoria
Importância	Controle de detecção, usado para detectar quando o equipamento está comprometido	Controle preventivo usado para reduzir

Referências[editar | editar código-fonte]

↑ «Categoria:Vulnerabilidade - OWASP». www.owasp.org (em inglês). Consultado em 7 de dezembro de 2016
↑ «Avaliação de vulnerabilidade» (PDF). www.scitechconnect.elsevier.com (em inglês). Consultado em 7 de dezembro de 2016
↑ «Teste de invasão versus verificação de vulnerabilidade». www.tns.com (em inglês). Consultado em 7 de dezembro de 2016 ^{[ligação inativa]}

Ligações externas[editar | editar código-fonte]

Dowd; McDonald; Schuh (2007). A arte da avaliação de segurança de software: identificando e prevenindo vulnerabilidades de software (PDF). Indianapolis, Ind.: Addison-Wesley. ISBN 978-0-321-44442-4. OCLC 70836623. Cópia arquivada (PDF) em 8 de outubro de 2020
Lista de vulnerabilidades conhecidas

[1] «Categoria:Vulnerabilidade - OWASP». www.owasp.org (em inglês). Consultado em 7 de dezembro de 2016

[2] «Avaliação de vulnerabilidade» (PDF). www.scitechconnect.elsevier.com (em inglês). Consultado em 7 de dezembro de 2016

[3] «Teste de invasão versus verificação de vulnerabilidade». www.tns.com (em inglês). Consultado em 7 de dezembro de 2016 ^{[ligação inativa]}

[1]

[2]

[3]