O que é a estrutura de segurança cibernética do NIST?
Armazenar informações online se tornou a norma. Mais organizações estão rebocando essa parte para permanecerem relevantes nesta era de interconectividade.
Ao configurar um novo sistema de segurança, você precisa se certificar de que funciona corretamente com o mínimo de vulnerabilidades possível. Onde ativos digitais que valem milhares de dólares estão envolvidos, você não pode se dar ao luxo de aprender com seus erros e apenas preencher as lacunas em sua segurança que os hackers exploraram anteriormente.
A melhor maneira de melhorar e garantir a segurança da sua rede é testando-a continuamente, procurando falhas para consertar.
Então, o que é um pen test?
O teste de penetração, também conhecido como teste de penetração, é um ataque de segurança cibernética encenado que simula um incidente de segurança real. O ataque simulado pode ter como alvo uma ou várias partes do seu sistema de segurança, procurando pontos fracos que um hacker malicioso possa explorar.
O que o diferencia de um ataque cibernético real é que a pessoa que o faz é um hacker de chapéu branco - ou ético - que você contrata. Eles têm as habilidades para penetrar em suas defesas sem a intenção maliciosa de seus colegas de chapéu preto.
Existem vários exemplos de pentestes, dependendo do tipo de ataque que o hacker ético lança, as informações que eles obtêm com antecedência e as limitações definidas por seus funcionários.
Um único penteste pode ser um ou uma combinação dos tipos primários de penteste, que incluem:
Um insider ou pentest interno simula um ataque cibernético interno, em que um hacker malicioso se apresenta como um funcionário legítimo e obtém acesso à rede interna da empresa.
Isso depende da localização de falhas de segurança internas, como privilégios de acesso e monitoramento de rede, em vez de falhas externas, como firewall, antivírus e proteção de endpoint.
Como o nome sugere, esse tipo de pentest não dá ao hacker nenhum acesso à rede interna ou aos funcionários da empresa. Isso os deixa com a opção de invadir a tecnologia externa da empresa, como sites públicos e portas de comunicação abertas.
Pentests de outsider podem se sobrepor a pentests de engenharia social, em que o hacker engana e manipula um funcionário para conceder-lhes acesso à rede interna da empresa, além de sua proteção externa.
Com um pentest baseado em dados, o hacker recebe informações de segurança e dados sobre seu alvo. Isso simula um ataque de um ex-funcionário ou alguém que obteve dados de segurança vazados.
Ao contrário de um teste baseado em dados, um teste cego significa que o hacker não obtém nenhuma informação sobre seu alvo além de seu nome e o que está disponível publicamente.
Além de testar as medidas de segurança digital da empresa (hardware e software), o teste inclui sua equipe de segurança e TI. Nesse ataque encenado, ninguém na empresa está ciente do pentest, forçando-os a reagir como se estivessem enfrentando um ataque cibernético malicioso.
Isso fornece dados valiosos sobre a segurança geral da empresa e a prontidão da equipe e como os dois interagem.
Semelhante aos ataques maliciosos, o hacking ético precisa de um planejamento cuidadoso. Existem várias etapas que o hacker ético precisa seguir para garantir um pentest bem-sucedido que produza percepções valiosas. Aqui está uma visão sobre a metodologia Pentest.
Seja um pentest cego ou controlado por dados, o hacker precisa primeiro reunir informações sobre seu alvo em um local e planejar o ponto de ataque ao redor dele.
A segunda etapa é verificar sua avenida de ataque, procurando lacunas e vulnerabilidades a serem exploradas. O hacker busca pontos de acesso e, em seguida, executa vários testes em pequena escala para ver como o sistema de segurança reage.
Depois de encontrar os pontos de entrada corretos, o hacker tentará invadir sua segurança e acessar a rede.
Esta é a verdadeira etapa de 'hacking' em que eles usam todas as maneiras possíveis para contornar protocolos de segurança, firewalls e sistemas de monitoramento. Eles podem usar métodos como injeções de SQL, ataques de engenharia social ou script entre sites.
A maioria dos sistemas modernos de defesa de segurança cibernética depende tanto da detecção quanto da proteção. Para que o ataque seja bem-sucedido, o hacker precisa permanecer dentro da rede sem ser detectado por tempo suficiente para atingir seu objetivo, seja ele vazando dados, corrompendo sistemas ou arquivos ou instalando malware.
Após a conclusão do ataque - bem-sucedido ou não - o hacker apresentará um relatório ao empregador com suas descobertas. Os profissionais de segurança analisam os dados do ataque, comparam-nos com os relatórios dos sistemas de monitoramento e implementam as modificações adequadas para melhorar a segurança.
Geralmente, há uma sexta etapa em que as empresas testam as melhorias feitas em seu sistema de segurança, realizando outro teste de penetração. Eles podem contratar o mesmo hacker ético se quiserem testar ataques baseados em dados ou outro para um ataque cego.
Hacking ético não é uma profissão apenas de habilidades. A maioria dos hackers éticos usa sistemas operacionais e software especializados para tornar seu trabalho mais fácil e evitar erros manuais, dando a cada pentest o seu melhor.
Então, o que os hackers de teste de caneta usam? Aqui estão alguns exemplos.
Parrot Security é um sistema operacional baseado em Linux que foi projetado para testes de penetração e avaliações de vulnerabilidade. É compatível com a nuvem, fácil de usar e oferece suporte a vários softwares Pentest de código aberto.
Também um sistema operacional Linux, o Live Hacking é a escolha certa para o pentester, pois é leve e não tem grandes requisitos de hardware. Ele também vem pré-embalado com ferramentas e software para testes de invasão e hacking ético.
Nmap é uma ferramenta de inteligência de código aberto (OSINT) que monitora uma rede e coleta e analisa dados sobre hosts e servidores de dispositivos, tornando-o valioso para hackers de chapéu branco, preto e cinza.
Ele também é compatível com várias plataformas e funciona com Linux, Windows e macOS, portanto, é ideal para o hacker ético iniciante.
WebShag também é uma ferramenta OSINT. É uma ferramenta de auditoria do sistema que verifica os protocolos HTTPS e HTTP e coleta dados e informações relativos. É usado por hackers éticos realizando ataques de intrusos por meio de sites públicos.
Testar a caneta em sua própria rede não é sua melhor opção, pois você provavelmente tem amplo conhecimento sobre ele, tornando mais difícil pensar fora da caixa e encontrar vulnerabilidades ocultas. Você deve contratar um hacker ético independente ou os serviços de uma empresa que oferece testes de caneta.
Ainda assim, contratar um estranho para invadir sua rede pode ser muito arriscado, especialmente se você estiver fornecendo a eles informações de segurança ou acesso interno. É por isso que você deve se limitar a provedores terceirizados confiáveis. Aqui está uma pequena amostra dos disponíveis.
HackerOne é uma empresa com sede em São Francisco que fornece testes de penetração, avaliação de vulnerabilidade e serviços de teste de conformidade de protocolo.
Localizada no Texas, a ScienceSoft oferece avaliações de vulnerabilidade, teste de caneta, teste de conformidade e serviços de auditoria de infraestrutura.
Com sede em Atlanta, Geórgia, a Raxis oferece serviços valiosos, desde testes de caneta e revisão de código de segurança até treinamento de resposta a incidentes, avaliações de vulnerabilidade e treinamento preventivo de engenharia social.
Embora ainda seja relativamente novo, o teste de caneta oferece percepções exclusivas sobre o funcionamento do cérebro de um hacker quando ele está atacando. São informações valiosas que mesmo os profissionais de segurança cibernética mais qualificados não podem fornecer trabalhando na superfície.
O teste de caneta pode ser a única maneira de evitar ser alvo de hackers de chapéu preto e sofrer as consequências.
Crédito da imagem: Unsplash.
Armazenar informações online se tornou a norma. Mais organizações estão rebocando essa parte para permanecerem relevantes nesta era de interconectividade.
Se você deseja investir em uma VPN, NordVPN e ExpressVPN são opções óbvias. Ambos oferecem altas velocidades e ambos têm um longo histórico de comentários positivos de clientes.
Uma palavra que tem surgido muito ultimamente é criptografia homomórfica. Muitas empresas e serviços online estão mudando seu modelo de criptografia para um tipo de criptografia homomórfica, anunciando que é para melhor privacidade e segurança do usuário.
Um gerenciador de senhas é uma ótima maneira de lidar com a quantidade excessiva de informações de login com que todos nós temos que lidar como parte da vida moderna da Internet.
O ZenMate VPN é uma escolha popular entre os usuários, que anuncia uma política de não registro e funcionalidade adicional por meio de extensões do navegador. Se você quiser descobrir se vale a pena seu tempo, certifique-se de ler a análise completa do VPN do ZenMate para ver nosso veredicto.
Os ataques de malware estão aumentando e se tornando mais avançados ultimamente. As organizações enfrentam o desafio de proteger constantemente suas redes de TI contra ameaças cibernéticas.
O aplicativo de compartilhamento de vídeo TikTok é um fenômeno. Desde seu início em 2017, a rede social tem quase 90 milhões de usuários ativos nos Estados Unidos, e o aplicativo foi baixado cerca de dois bilhões de vezes.
Em agosto de 2021, uma fusão foi anunciada entre NortonLifeLock e Avast.
Incidentes de hackers sempre dominam as notícias, e com razão. Eles são a prova de que ninguém está seguro, especialmente quando a vítima é uma grande empresa com um sistema sofisticado de segurança cibernética. Um hack que teve um impacto substancial no panorama da segurança cibernética foi o hack SolarWinds.
WireGuard é um protocolo VPN relativamente novo que protege suas atividades online usando criptografia de última geração. Seu objetivo é oferecer mais privacidade, velocidades de conexão mais rápidas e economizar mais energia do que os protocolos existentes.
Todo mundo parece querer seus dados pessoais. Sempre com a intenção de lhe vender algo, as empresas lutam para que você verifique seus produtos. Mas, com a Internet repleta de um fluxo interminável de opções, oferecer uma experiência individual ao cliente é a única maneira de diferenciá-los.
Em 11 de outubro de 2021, a Microsoft anunciou que, no final de agosto, casualmente se defendeu de um enorme DDoS de 2,4 Tbps em seu serviço Azure, quase sem tempo de inatividade para seus milhões de usuários em todo o mundo.
Ao escolher a conexão de Internet e o protocolo de segurança corretos, muitos fatores podem influenciar sua decisão, desde a facilidade e conveniência de implementação, a segurança com que mantém seus dados e a velocidade geral da conexão.
A Apple pretende mudar a forma como você navega na web em seu iPhone com sua nova atualização de software iOS 15. Seu iPhone agora pode mascarar seu endereço IP e garantir o anonimato completo com um recurso chamado Private Relay. Portanto, se você estava pagando por uma VPN exclusivamente para navegação segura, pode cancelar sua assinatura agora.
Se você é um dos 1,6 bilhão de usuários do WhatsApp, já está usando criptografia ponta a ponta (E2EE). Essa forma segura de comunicação significa que qualquer mensagem enviada a alguém só pode ser lida pelo destinatário --- essas mensagens de bate-papo não podem ser interceptadas por terceiros, incluindo governos e criminosos.
Tanto o LastPass quanto o Bitwarden são excelentes gerenciadores de senhas em termos de segurança, recursos e planos. No entanto, se você tivesse que escolher entre os dois, qual sairia por cima?
Os códigos de backup fornecem uma maneira fácil de voltar para sua conta do Google. Eles atuam como a última linha de defesa para acessar sua conta do Google se você perdeu seu telefone, não consegue receber mensagens do Google ou não consegue obter um código do aplicativo Google Authenticator.
Os códigos de barras são uma das melhores maneiras de compartilhar dados em uma superfície física. Tudo o que uma pessoa interessada precisa fazer é escanear o código diretamente em seu smartphone para acessar um site ou aplicativo.
Shopify, uma plataforma de comércio eletrônico acessível usada por pequenas empresas para vender produtos online, parece ser um terreno fértil para golpistas e lojas fraudulentas.
Armazenar informações online se tornou a norma. Mais organizações estão rebocando essa parte para permanecerem relevantes nesta era de interconectividade.
Se você deseja investir em uma VPN, NordVPN e ExpressVPN são opções óbvias. Ambos oferecem altas velocidades e ambos têm um longo histórico de comentários positivos de clientes.
Um gerenciador de senhas é uma ótima maneira de lidar com a quantidade excessiva de informações de login com que todos nós temos que lidar como parte da vida moderna da Internet.
Ao configurar um novo sistema de segurança, você precisa se certificar de que funciona corretamente com o mínimo de vulnerabilidades possível. Onde ativos digitais que valem milhares de dólares estão envolvidos, você não pode se dar ao luxo de aprender com seus erros e apenas preencher as lacunas em sua segurança que os hackers exploraram anteriormente.
O ZenMate VPN é uma escolha popular entre os usuários, que anuncia uma política de não registro e funcionalidade adicional por meio de extensões do navegador. Se você quiser descobrir se vale a pena seu tempo, certifique-se de ler a análise completa do VPN do ZenMate para ver nosso veredicto.
Os ataques de malware estão aumentando e se tornando mais avançados ultimamente. As organizações enfrentam o desafio de proteger constantemente suas redes de TI contra ameaças cibernéticas.
O aplicativo de compartilhamento de vídeo TikTok é um fenômeno. Desde seu início em 2017, a rede social tem quase 90 milhões de usuários ativos nos Estados Unidos, e o aplicativo foi baixado cerca de dois bilhões de vezes.
Em agosto de 2021, uma fusão foi anunciada entre NortonLifeLock e Avast.
Incidentes de hackers sempre dominam as notícias, e com razão. Eles são a prova de que ninguém está seguro, especialmente quando a vítima é uma grande empresa com um sistema sofisticado de segurança cibernética. Um hack que teve um impacto substancial no panorama da segurança cibernética foi o hack SolarWinds.
WireGuard é um protocolo VPN relativamente novo que protege suas atividades online usando criptografia de última geração. Seu objetivo é oferecer mais privacidade, velocidades de conexão mais rápidas e economizar mais energia do que os protocolos existentes.