O que é a estrutura de segurança cibernética do NIST?
Armazenar informações online se tornou a norma. Mais organizações estão rebocando essa parte para permanecerem relevantes nesta era de interconectividade.
O que é teste de penetração e como ele melhora a segurança da rede?
Ao configurar um novo sistema de segurança, você precisa se certificar de que funciona corretamente com o mínimo de vulnerabilidades possível. Onde ativos digitais que valem milhares de dólares estão envolvidos, você não pode se dar ao luxo de aprender com seus erros e apenas preencher as lacunas em sua segurança que os hackers exploraram anteriormente.
A melhor maneira de melhorar e garantir a segurança da sua rede é testando-a continuamente, procurando falhas para consertar.
O que é teste de penetração?
Então, o que é um pen test?
O teste de penetração, também conhecido como teste de penetração, é um ataque de segurança cibernética encenado que simula um incidente de segurança real. O ataque simulado pode ter como alvo uma ou várias partes do seu sistema de segurança, procurando pontos fracos que um hacker malicioso possa explorar.
O que o diferencia de um ataque cibernético real é que a pessoa que o faz é um hacker de chapéu branco - ou ético - que você contrata. Eles têm as habilidades para penetrar em suas defesas sem a intenção maliciosa de seus colegas de chapéu preto.
Tipos de Pentestes
Existem vários exemplos de pentestes, dependendo do tipo de ataque que o hacker ético lança, as informações que eles obtêm com antecedência e as limitações definidas por seus funcionários.
Um único penteste pode ser um ou uma combinação dos tipos primários de penteste, que incluem:
Insider Pentest
Um insider ou pentest interno simula um ataque cibernético interno, em que um hacker malicioso se apresenta como um funcionário legítimo e obtém acesso à rede interna da empresa.
Isso depende da localização de falhas de segurança internas, como privilégios de acesso e monitoramento de rede, em vez de falhas externas, como firewall, antivírus e proteção de endpoint.
Outsider Pentest
Como o nome sugere, esse tipo de pentest não dá ao hacker nenhum acesso à rede interna ou aos funcionários da empresa. Isso os deixa com a opção de invadir a tecnologia externa da empresa, como sites públicos e portas de comunicação abertas.
Pentests de outsider podem se sobrepor a pentests de engenharia social, em que o hacker engana e manipula um funcionário para conceder-lhes acesso à rede interna da empresa, além de sua proteção externa.
Pentest baseado em dados
Com um pentest baseado em dados, o hacker recebe informações de segurança e dados sobre seu alvo. Isso simula um ataque de um ex-funcionário ou alguém que obteve dados de segurança vazados.
Blind Pentest
Ao contrário de um teste baseado em dados, um teste cego significa que o hacker não obtém nenhuma informação sobre seu alvo além de seu nome e o que está disponível publicamente.
Pentest duplo-cego
Além de testar as medidas de segurança digital da empresa (hardware e software), o teste inclui sua equipe de segurança e TI. Nesse ataque encenado, ninguém na empresa está ciente do pentest, forçando-os a reagir como se estivessem enfrentando um ataque cibernético malicioso.
Isso fornece dados valiosos sobre a segurança geral da empresa e a prontidão da equipe e como os dois interagem.
Como funciona o teste de penetração
Semelhante aos ataques maliciosos, o hacking ético precisa de um planejamento cuidadoso. Existem várias etapas que o hacker ético precisa seguir para garantir um pentest bem-sucedido que produza percepções valiosas. Aqui está uma visão sobre a metodologia Pentest.
1. Coleta de informações e planejamento
Seja um pentest cego ou controlado por dados, o hacker precisa primeiro reunir informações sobre seu alvo em um local e planejar o ponto de ataque ao redor dele.
2. Avaliação de vulnerabilidade
A segunda etapa é verificar sua avenida de ataque, procurando lacunas e vulnerabilidades a serem exploradas. O hacker busca pontos de acesso e, em seguida, executa vários testes em pequena escala para ver como o sistema de segurança reage.
3. Explorando vulnerabilidades
Depois de encontrar os pontos de entrada corretos, o hacker tentará invadir sua segurança e acessar a rede.
Esta é a verdadeira etapa de 'hacking' em que eles usam todas as maneiras possíveis para contornar protocolos de segurança, firewalls e sistemas de monitoramento. Eles podem usar métodos como injeções de SQL, ataques de engenharia social ou script entre sites.
4. Manter o acesso secreto
A maioria dos sistemas modernos de defesa de segurança cibernética depende tanto da detecção quanto da proteção. Para que o ataque seja bem-sucedido, o hacker precisa permanecer dentro da rede sem ser detectado por tempo suficiente para atingir seu objetivo, seja ele vazando dados, corrompendo sistemas ou arquivos ou instalando malware.
5. Relatórios, análise e reparo
Após a conclusão do ataque - bem-sucedido ou não - o hacker apresentará um relatório ao empregador com suas descobertas. Os profissionais de segurança analisam os dados do ataque, comparam-nos com os relatórios dos sistemas de monitoramento e implementam as modificações adequadas para melhorar a segurança.
6. Enxágue e repita
Geralmente, há uma sexta etapa em que as empresas testam as melhorias feitas em seu sistema de segurança, realizando outro teste de penetração. Eles podem contratar o mesmo hacker ético se quiserem testar ataques baseados em dados ou outro para um ataque cego.
O kit de ferramentas do hacker ético
Hacking ético não é uma profissão apenas de habilidades. A maioria dos hackers éticos usa sistemas operacionais e software especializados para tornar seu trabalho mais fácil e evitar erros manuais, dando a cada pentest o seu melhor.
Então, o que os hackers de teste de caneta usam? Aqui estão alguns exemplos.
Parrot Security OS
Parrot Security é um sistema operacional baseado em Linux que foi projetado para testes de penetração e avaliações de vulnerabilidade. É compatível com a nuvem, fácil de usar e oferece suporte a vários softwares Pentest de código aberto.
Sistema operacional para hackear ao vivo
Também um sistema operacional Linux, o Live Hacking é a escolha certa para o pentester, pois é leve e não tem grandes requisitos de hardware. Ele também vem pré-embalado com ferramentas e software para testes de invasão e hacking ético.
Nmap
Nmap é uma ferramenta de inteligência de código aberto (OSINT) que monitora uma rede e coleta e analisa dados sobre hosts e servidores de dispositivos, tornando-o valioso para hackers de chapéu branco, preto e cinza.
Ele também é compatível com várias plataformas e funciona com Linux, Windows e macOS, portanto, é ideal para o hacker ético iniciante.
WebShag
WebShag também é uma ferramenta OSINT. É uma ferramenta de auditoria do sistema que verifica os protocolos HTTPS e HTTP e coleta dados e informações relativos. É usado por hackers éticos realizando ataques de intrusos por meio de sites públicos.
Onde ir para o teste de penetração
Testar a caneta em sua própria rede não é sua melhor opção, pois você provavelmente tem amplo conhecimento sobre ele, tornando mais difícil pensar fora da caixa e encontrar vulnerabilidades ocultas. Você deve contratar um hacker ético independente ou os serviços de uma empresa que oferece testes de caneta.
Ainda assim, contratar um estranho para invadir sua rede pode ser muito arriscado, especialmente se você estiver fornecendo a eles informações de segurança ou acesso interno. É por isso que você deve se limitar a provedores terceirizados confiáveis. Aqui está uma pequena amostra dos disponíveis.
HackerOne
HackerOne é uma empresa com sede em São Francisco que fornece testes de penetração, avaliação de vulnerabilidade e serviços de teste de conformidade de protocolo.
ScienceSoft
Localizada no Texas, a ScienceSoft oferece avaliações de vulnerabilidade, teste de caneta, teste de conformidade e serviços de auditoria de infraestrutura.
Raxis
Com sede em Atlanta, Geórgia, a Raxis oferece serviços valiosos, desde testes de caneta e revisão de código de segurança até treinamento de resposta a incidentes, avaliações de vulnerabilidade e treinamento preventivo de engenharia social.
Tirando o máximo proveito dos testes de penetração
Embora ainda seja relativamente novo, o teste de caneta oferece percepções exclusivas sobre o funcionamento do cérebro de um hacker quando ele está atacando. São informações valiosas que mesmo os profissionais de segurança cibernética mais qualificados não podem fornecer trabalhando na superfície.
O teste de caneta pode ser a única maneira de evitar ser alvo de hackers de chapéu preto e sofrer as consequências.
Crédito da imagem: Unsplash.
NordVPN vs. ExpressVPN: qual VPN você deve usar em 2021?
Se você deseja investir em uma VPN, NordVPN e ExpressVPN são opções óbvias. Ambos oferecem altas velocidades e ambos têm um longo histórico de comentários positivos de clientes.
O que é criptografia homomórfica?
Uma palavra que tem surgido muito ultimamente é criptografia homomórfica. Muitas empresas e serviços online estão mudando seu modelo de criptografia para um tipo de criptografia homomórfica, anunciando que é para melhor privacidade e segurança do usuário.
Psiu! 1Password agora permite que você compartilhe senhas com apenas um link
Um gerenciador de senhas é uma ótima maneira de lidar com a quantidade excessiva de informações de login com que todos nós temos que lidar como parte da vida moderna da Internet.
Revisão do VPN ZenMate: meditando sobre sua privacidade
O ZenMate VPN é uma escolha popular entre os usuários, que anuncia uma política de não registro e funcionalidade adicional por meio de extensões do navegador. Se você quiser descobrir se vale a pena seu tempo, certifique-se de ler a análise completa do VPN do ZenMate para ver nosso veredicto.
O que é segurança de endpoint e por que é importante?
Os ataques de malware estão aumentando e se tornando mais avançados ultimamente. As organizações enfrentam o desafio de proteger constantemente suas redes de TI contra ameaças cibernéticas.
O TikTok foi banido nos Estados Unidos?
O aplicativo de compartilhamento de vídeo TikTok é um fenômeno. Desde seu início em 2017, a rede social tem quase 90 milhões de usuários ativos nos Estados Unidos, e o aplicativo foi baixado cerca de dois bilhões de vezes.
Norton e Avast Merge: O que isso significa para a segurança online?
Em agosto de 2021, uma fusão foi anunciada entre NortonLifeLock e Avast.
Qual foi o impacto do hack SolarWinds?
Incidentes de hackers sempre dominam as notícias, e com razão. Eles são a prova de que ninguém está seguro, especialmente quando a vítima é uma grande empresa com um sistema sofisticado de segurança cibernética. Um hack que teve um impacto substancial no panorama da segurança cibernética foi o hack SolarWinds.
Quais VPNs suportam o WireGuard?
WireGuard é um protocolo VPN relativamente novo que protege suas atividades online usando criptografia de última geração. Seu objetivo é oferecer mais privacidade, velocidades de conexão mais rápidas e economizar mais energia do que os protocolos existentes.
4 tipos de corretores de dados que você precisa conhecer
Todo mundo parece querer seus dados pessoais. Sempre com a intenção de lhe vender algo, as empresas lutam para que você verifique seus produtos. Mas, com a Internet repleta de um fluxo interminável de opções, oferecer uma experiência individual ao cliente é a única maneira de diferenciá-los.
Microsoft atenuou um dos maiores ataques DDoS já registrados: aqui está o que aconteceu
Em 11 de outubro de 2021, a Microsoft anunciou que, no final de agosto, casualmente se defendeu de um enorme DDoS de 2,4 Tbps em seu serviço Azure, quase sem tempo de inatividade para seus milhões de usuários em todo o mundo.
DNS sobre HTTPS: o DNS criptografado é mais lento?
Ao escolher a conexão de Internet e o protocolo de segurança corretos, muitos fatores podem influenciar sua decisão, desde a facilidade e conveniência de implementação, a segurança com que mantém seus dados e a velocidade geral da conexão.
iOS 15 inclui uma VPN oculta para assinantes do iCloud (mais ou menos)
A Apple pretende mudar a forma como você navega na web em seu iPhone com sua nova atualização de software iOS 15. Seu iPhone agora pode mascarar seu endereço IP e garantir o anonimato completo com um recurso chamado Private Relay. Portanto, se você estava pagando por uma VPN exclusivamente para navegação segura, pode cancelar sua assinatura agora.
O que a unidade de criptografia E2E legislativa da UE significa para aplicativos de mensagens criptografadas
Se você é um dos 1,6 bilhão de usuários do WhatsApp, já está usando criptografia ponta a ponta (E2EE). Essa forma segura de comunicação significa que qualquer mensagem enviada a alguém só pode ser lida pelo destinatário --- essas mensagens de bate-papo não podem ser interceptadas por terceiros, incluindo governos e criminosos.
Bitwarden vs. LastPass: Qual é o melhor gerenciador de senhas para você?
Tanto o LastPass quanto o Bitwarden são excelentes gerenciadores de senhas em termos de segurança, recursos e planos. No entanto, se você tivesse que escolher entre os dois, qual sairia por cima?
Como configurar códigos de autenticação de backup para sua conta do Google
Os códigos de backup fornecem uma maneira fácil de voltar para sua conta do Google. Eles atuam como a última linha de defesa para acessar sua conta do Google se você perdeu seu telefone, não consegue receber mensagens do Google ou não consegue obter um código do aplicativo Google Authenticator.
O seu leitor de código de barras é seguro ou oculta o malware do Android?
Os códigos de barras são uma das melhores maneiras de compartilhar dados em uma superfície física. Tudo o que uma pessoa interessada precisa fazer é escanear o código diretamente em seu smartphone para acessar um site ou aplicativo.
Como se proteger de lojas fraudulentas no Shopify
Shopify, uma plataforma de comércio eletrônico acessível usada por pequenas empresas para vender produtos online, parece ser um terreno fértil para golpistas e lojas fraudulentas.
O que é a estrutura de segurança cibernética do NIST?
Armazenar informações online se tornou a norma. Mais organizações estão rebocando essa parte para permanecerem relevantes nesta era de interconectividade.
NordVPN vs. ExpressVPN: qual VPN você deve usar em 2021?
Se você deseja investir em uma VPN, NordVPN e ExpressVPN são opções óbvias. Ambos oferecem altas velocidades e ambos têm um longo histórico de comentários positivos de clientes.
Psiu! 1Password agora permite que você compartilhe senhas com apenas um link
Um gerenciador de senhas é uma ótima maneira de lidar com a quantidade excessiva de informações de login com que todos nós temos que lidar como parte da vida moderna da Internet.
O que é teste de penetração e como ele melhora a segurança da rede?
Ao configurar um novo sistema de segurança, você precisa se certificar de que funciona corretamente com o mínimo de vulnerabilidades possível. Onde ativos digitais que valem milhares de dólares estão envolvidos, você não pode se dar ao luxo de aprender com seus erros e apenas preencher as lacunas em sua segurança que os hackers exploraram anteriormente.
Revisão do VPN ZenMate: meditando sobre sua privacidade
O ZenMate VPN é uma escolha popular entre os usuários, que anuncia uma política de não registro e funcionalidade adicional por meio de extensões do navegador. Se você quiser descobrir se vale a pena seu tempo, certifique-se de ler a análise completa do VPN do ZenMate para ver nosso veredicto.
O que é segurança de endpoint e por que é importante?
Os ataques de malware estão aumentando e se tornando mais avançados ultimamente. As organizações enfrentam o desafio de proteger constantemente suas redes de TI contra ameaças cibernéticas.
O TikTok foi banido nos Estados Unidos?
O aplicativo de compartilhamento de vídeo TikTok é um fenômeno. Desde seu início em 2017, a rede social tem quase 90 milhões de usuários ativos nos Estados Unidos, e o aplicativo foi baixado cerca de dois bilhões de vezes.
Norton e Avast Merge: O que isso significa para a segurança online?
Em agosto de 2021, uma fusão foi anunciada entre NortonLifeLock e Avast.
Qual foi o impacto do hack SolarWinds?
Incidentes de hackers sempre dominam as notícias, e com razão. Eles são a prova de que ninguém está seguro, especialmente quando a vítima é uma grande empresa com um sistema sofisticado de segurança cibernética. Um hack que teve um impacto substancial no panorama da segurança cibernética foi o hack SolarWinds.
Quais VPNs suportam o WireGuard?
WireGuard é um protocolo VPN relativamente novo que protege suas atividades online usando criptografia de última geração. Seu objetivo é oferecer mais privacidade, velocidades de conexão mais rápidas e economizar mais energia do que os protocolos existentes.