Escolar Documentos
Profissional Documentos
Cultura Documentos
Institute for Security and Open Technologies organizao de pesquisa de segurana cientfica, colaborativa, aberta e sem fins lucrativos registrada na
Catalunha, Espanha, e em NY, EUA.
1
Introduo
O termo Teste de Segurana quando aplicado no
escopo da Segurana de TI pode assumir vrios significados
isoladamente ou ento embarcar alguns deles em uma
espcie de pacote. Sua definio semntica quais tipos e
formas de testes a serem usados depende dos objetivos e
requisitos escolhidos pela organizao.
Entretanto, pacfica a importncia desse processo
dentro da Gesto da Segurana da Informao, na medida
em que proporciona um mapeamento da postura de
segurana quanto s vulnerabilidades, ameaas e riscos, e
em conseqncia, possibilita a efetiva conformidade e
adequao s melhores prticas, quando e no que for
aplicvel.
Porm, para qu o uso de uma metodologia? Um Teste
de Segurana que no segue metodologia cientfica no
possui direcionamento nem apresenta resultados claros e de
valor mensurvel [1].
Neste sentido, em 2000, foi criada por Pete Herzog a
metodologia de Teste de Segurana OSSTMM Open
Source Security Testing Methodology Manual. Atualmente,
o desenvolvimento do documento, em sua verso estvel
2.2, conta com a colaborao de diversos profissionais da
comunidade de segurana.
O OSSTMM um documento de pesquisa cujo
contedo pode ser aplicado e distribudo livremente, desde
que sem fins lucrativos, sob a OML Open Methodology
License; o caso de uso comercial sujeito a restries de
licena e deve ser solicitado ao ISECOM. Esta metodologia
no se preocupa com o tipo de teste efetivamente escolhido,
tampouco com o porte da organizao ou de suas
tecnologias e protees em uso. Seu objetivo primordial
apresentar um padro metodolgico prtico e consistente de
verificao e avaliao (com uso de mtricas) da presena
de segurana2 operacional da empresa, alm da proposio
de controles apropriados depois dos resultados encontrados.
Ainda se compromete a listar regras de compromisso para
garantir aos aplicadores do teste doravante auditores
2
3
Trofu: Snapshot ou retrato da segurana de um ativo da organizao
(tecnologia, pessoas ou processos).
FASE I: Pr-Teste
2.1
Conformidade
Conformidade o alinhamento com um conjunto de
polticas e normas gerais, cujo tipo depende da localidade
(pas, estado, cidade), do tipo de negcio, do setor
regulamentador e/ou regulatrio, e das polticas da
organizao. Apesar de ser teoricamente obrigatrio, o
investimento em certo tipo de conformidade, como qualquer
outra ameaa, deve ter sua viabilidade estudada na avaliao
dos riscos.
O OSSTMM trabalha com trs tipos de conformidade
[1]:
- Legislao: conformidade com a legislao de
acordo com a regio de sua aplicabilidade. A fora e
o cumprimento das leis originam-se na sua
popularidade e em argumentos legais bem-sucedidos
e medidas executrias apropriadas. Seu nocumprimento pode ocasionar ao infrator penas
criminais.
- Regulao: conformidade com normas industriais,
comerciais ou do setor de atuao da empresa. Seu
no-cumprimento pode acarretar ao infrator: sada do
setor, perda de privilgios, multas, penas civis, e em
alguns casos, onde a legislao existe para suportar o
corpo regulador, penas criminais.
- Poltica: conformidade com o negcio da
organizao e suas polticas. Pode incluir tambm as
melhores prticas do mercado, principalmente as de
Segurana da Informao. Seu no-cumprimento
pode provocar ao infrator: sada da organizao,
perda de privilgios, multas, penas civis, e em alguns
casos, onde a legislao existe para suportar o corpo
regulador, penas criminais.
O desenvolvimento do OSSTMM pauta-se na
preocupao com legislao e regulao, principalmente as
da Europa e EUA. Como nem toda conformidade criada
igualmente, o foco principal do OSSTMM a Segurana da
Informao.
Como a legislao e a regulao podem ser auditadas
tanto sob a letra quanto sob o esprito da lei, dependendo do
corpo de auditoria, a prova da aplicao de proteo e de
controles operacionais adequados, como os que podem ser
provados por um teste OSSTMM, pode ou no ser
satisfatria.
Mtricas de Segurana
As mtricas de segurana so indicadores importantes
do real estado da segurana (presena de segurana) da
organizao. Uma auditoria de segurana minuciosa resulta
Operaes
S
E
G
U
R
A
N
A
R
E
A
L
Classe
A
(interativo)
Controles
Classe
B
(processo)
Limitaes
Visibilidade
Confiana
Acesso
Autenticao
Identificao
Subjugao
Continuidade
Resilincia
No-repdio
Confidencialidade
Privacidade
Integridade
Alarme
Vulnerabilidade
Fraqueza
Preocupao
Exposio
Anomalia
3.1
Mapa de Segurana
O Mapa de Segurana uma visualizao da presena
de segurana da organizao e divide-se em seis sees de
teste, que so as sees do manual e cujas inter-relaes so
mostradas na Figura 5.
Metodologia
A metodologia de testes OSSTMM divide-se em
sees, mdulos e tarefas. As sees so os pontos da
segurana abordados no Mapa de Segurana. Os mdulos
so o fluxo da metodologia de um ponto de presena para
outro, e possuem uma entrada e uma sada de dados. A
entrada usada para processar uma tarefa daquele ou de
outro mdulo, e a sada o resultado obtido desta tarefa
completada, que servir para outro(s) mdulo(s) ou outra(s)
seo(es). Cada seo tem relao com outras sees e
com alguns dos respectivos mdulos.
A Figura 6 abaixo ilustra a metodologia.
Relatrios
Esta fase, de apresentao dos resultados por
intermdio dos relatrios de teste, de fundamental
importncia na realimentao dos ciclos do PDCA e do
PGSI. Os relatrios mostram a realidade da postura de
segurana da organizao-alvo dentro do escopo elaborado.
A partir disso, pode-se reavaliar os trabalhos feitos nas
etapas de Avaliao de Risco e de Seleo dos Controles a
fim de verificar a viabilidade e a conformidade dos
resultados encontrados nos testes com os riscos previamente
endereados. De fato, uma fase essencial na Gesto do
Risco, pois apontar os acertos e erros das avaliaes
anteriores e propor as possveis melhorias nos controles.
Nesta fase, o OSSTMM aponta alguns requisitos a
serem seguidos para garantir a efetividade e a certificao
dos testes.
importante estender aqui as recomendaes expostas
nas Regras de Compromisso, alm do respectivo exemplo
colocado no item 2.2, no que se refere postura do
profissional na elaborao dos relatrios e aos itens formais
e de contedo tidos como premissa. So elas:
O auditor deve respeitar a privacidade de todos os
indivduos e manter a privacidade deles para todos
os resultados;
Resultados envolvendo pessoas no-treinadas em
segurana ou no-pertencentes rea de segurana
somente devem ser reportados por meios noidentificativos ou estatsticos;
O auditor e o analista no podem assinar resultados
de testes e relatrios de auditoria nos quais no
tiveram diretamente envolvidos;
Os relatrios devem se ater ao objeto sem quaisquer
falsidades e maldades direcionadas a pessoas;
Notificaes ao cliente so requeridas sempre que o
auditor alterar o plano de testes ou o local fsico de
origem do teste, descobrir riscos altos antes de
realizar novos testes com alto risco ou trfego,
ocorrerem problemas nos testes, e houver
atualizaes de progresso;
Certificao
Alm dos requisitos mencionados no item 4.1 para
certificao dos relatrios e dos testes, o manual apresenta
ainda outros que devem ser seguidos se o auditor pretende
certificar em qualidade e credibilidade seu teste pelo
OSSTMM. Ao executar os testes, ele deve verificar se:
O teste tem sido conduzido minuciosamente,
atentando para todos os detalhes;
O teste inclui todos os canais necessrios;
A postura para o teste inclui a conformidade com
os direitos civis vigentes;
Os resultados so mensurveis em meios
quantitativos;
Os resultados recebidos so consistentes e
repetveis;
Os resultados contm somente fatos derivados dos
prprios testes.
Aps realizar essas anlises e concluir o cumprimento
de todos os requisitos exigidos, o auditor e o analista devem
assinar o Relatrio de Auditoria OSSTMM. Este relatrio,
com uma verso annima do relatrio de auditoria de
segurana, submetido ao ISECOM para reviso, que
prover a certificao oficial OSSTMM.
No necessrio seguir completamente o manual ou
alguma subseo especfica para garantir o teste certificado
e o relatrio credenciado. Precisa apenas mostrar o que foi e
o que no foi testado para ser passvel de certificao [1].