Suas aplicações são seguras?

Conheça a Conviso!

Entenda a relação do Penetration Test com PCI-DSS

Entre os requerimentos do PCI-DSS, está a obrigação das organizações que armazenam e processam qualquer tipo de informações de um dono de cartão de crédito efetuarem testes regulares nos seus sistemas de segurança. Isso inclui os testes de penetração (também conhecidos como PenTest ou Penetration test). Eles devem estar incluídos nas rotinas de busca por vulnerabilidades, uma vez que são uma importante ferramenta para identificar falhas de segurança que levam a ataques e vazamentos de dados. 

Para um gerente de TI, é importante entender não só a importância do PenTest, mas também todos os seus componentes, como ele se diferencia de uma busca tradicional por vulnerabilidades, as suas aplicações e quais as suas etapas de aplicação.

O que é um Penetration Test? 

Verificar as ferramentas internas de uma companhia em busca de brechas de segurança é uma rotina comum a vários gestores de TI. Entretanto, o rastreamento dos sistemas de e-commerce, de pagamento e de banco de dados de uma companhia em busca de “portas de acesso” para pessoas que buscam capturar dados ilegalmente não é algo que todos os profissionais envolvidos com segurança da informação estão acostumados a fazer corretamente. 

Um Penetration test é uma importante ferramenta para gestores que buscam cobrir a necessidade de análises mais profundas dos seus sistemas. Ele consiste em uma série de ataques programados aos servidores da companhia com os mesmos métodos utilizados por criminosos cibernéticos. Assim, é possível verificar a capacidade dos sistemas de resistir a uma busca não autorizada por dados sensíveis tais como informações de pagamento de clientes, itens que envolvem propriedade intelectual e dados de terceiros. 

Os testes de penetração são a maneira mais importante para verificar se todos os controles de segurança implementados pelo PCI-DSS estão funcionando corretamente. A maioria das vulnerabilidades encontradas são fruto da má implementação das políticas de PCI-DSS, seja por meio de uma má configuração de servidores ou pela falta de um protocolo de segurança. Assim, é importante para gestores de TI saber como e quando os PenTests devem ser executados. 

Como um Penetration test deve ser feito 

O Penetration test padrão verificará, fundamentalmente, a capacidade da rede e dos sistemas de resistirem a tentativas de invasão. Verificações externas e internas devem ser feitas anualmente ou sempre que alguma grande alteração em recursos de rede ou de software forem feitas (tais como a inclusão de novos servidores, atualizações, upgrades e mudanças na estrutura de rede). Elas incluirão itens como:

  • Falhas por meio de algoritmo de força bruta (envolvendo uso de linhas de comando, ataques a bancos de dados e quebras de senha);

  • Vulnerabilidades causadas por estouro de buffer;

  • Falhas de criptografia envolvendo armazenamento de dados;

  • Busca por falhas de comunicação em trocas de dados mal criptografadas ou por meio de envio de informações sensíveis em canais não protegidos;

  • Vazamento de dados por meio de mensagens de erro;

  • Cross-site scripting (XSS);

  • Falhas de restrição de acesso a servidores;

  • Vulnerabilidades em diretórios de rede e de dados;

  • CSRF (cross-site request forgery);

  • Outras possíveis vulnerabilidades identificadas pelo gestor de TI em função da estrutura de rede da empresa. 

O escopo dos testes de penetração 

Um dos pontos mais importantes dos PenTests é o seu escopo. Para garantir que todas as vulnerabilidades sejam rastreadas, o teste deve incluir todos os ambientes que lidam com dados de usuários de cartão de crédito. Também conhecido como CDE (cardholder data environment, em inglês), a área a ser analisada inclui qualquer estrutura de hardware e de software que processa, armazena, verifica ou transmite dados de cartões de crédito e outras informações sensíveis. Isso também inclui todos os pontos de rede externos e internos, corporativos ou públicos. O Penetration test possui o escopo dividido em duas áreas principais, são elas:

Sistemas críticos

Envolve todos os sistemas que processam ou transmitem informações de cartões de créditos e que estão envolvidos nessa comunicação, além daqueles sistemas externos que podem afetar a segurança interna da corporação. 

Testes de sistemas e rede

Os testes que envolvem os softwares envolvidos nas transações com cartões de crédito (tais como falhas de código ou lógicas de programação inseguras). Já os testes de rede devem verificar como a estrutura é implementada e mantida. 

Garantindo a segurança da empresa e dos dados de consumidores 

PenTests podem ser conduzidos tanto por profissionais internos como empresas de segurança terceirizadas (desde que elas não estejam diretamente envolvidas com a implementação, suporte ou manutenção dos sistemas que serão testados). Eles devem documentar todas as metodologias de teste utilizadas, assim como os resultados e as descobertas feitas. Além disso, a documentação do teste de penetração deve conter o registro de todos os profissionais envolvidos nos testes, as informações e estruturas analisadas e todas as ações feitas para remover as vulnerabilidades encontradas. 

A melhor maneira de identificar um momento em que um PenTest é necessário é aquele em que a resposta para a pergunta “essa alteração gera algum impacto na segurança dos dados dos meus clientes?” é positiva. Com boas políticas de segurança, a sua companhia conseguirá a confiança dos seus parceiros comerciais e clientes cada vez mais fiéis. 

E você, o que faz para reforçar o uso do PIC-DSS na sua empresa? Compartilhe conosco!

 Veja também: 

Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+

Tags

Deixe um comentário

topo
%d blogueiros gostam disto: