Escolar Documentos
Profissional Documentos
Cultura Documentos
1
Institute for Security and Open Technologies – organização de pesquisa de segurança científica, colaborativa, aberta e sem fins lucrativos registrada na
Catalunha, Espanha, e em NY, EUA.
uma análise imparcial e lógica, bem como procura
1 Introdução apresentar um padrão para certificação dos relatórios de
O termo “Teste de Segurança” quando aplicado no auditoria de segurança [1].
escopo da Segurança de TI pode assumir vários significados Baseando-se na estrutura de um Projeto de Gestão de
isoladamente ou então “embarcar” alguns deles em uma Segurança da Informação – PGSI, mostrada na Figura 1,
espécie de pacote. Sua definição semântica – quais tipos e pode-se situar o Teste de Segurança nas fases de Execução
formas de testes a serem usados – depende dos objetivos e (5ª etapa) e de Verificação/Ação em um momento inicial, e
requisitos escolhidos pela organização. como suporte para as fases de Concepção, de Planejamento
Entretanto, é pacífica a importância desse processo (3ª etapa) e de Execução (4ª etapa) em um momento
dentro da Gestão da Segurança da Informação, na medida posterior, quando o ciclo é realimentado.
em que proporciona um mapeamento da postura de
segurança quanto às vulnerabilidades, ameaças e riscos, e
em conseqüência, possibilita a efetiva conformidade e
adequação às melhores práticas, quando e no que for
aplicável.
Porém, para quê o uso de uma metodologia? Um Teste
de Segurança que não segue metodologia científica não
possui direcionamento nem apresenta resultados claros e de
valor mensurável [1].
Neste sentido, em 2000, foi criada por Pete Herzog a
metodologia de Teste de Segurança OSSTMM – Open
Source Security Testing Methodology Manual. Atualmente,
o desenvolvimento do documento, em sua versão estável
2.2, conta com a colaboração de diversos profissionais da
comunidade de segurança.
O OSSTMM é um documento de pesquisa cujo
conteúdo pode ser aplicado e distribuído livremente, desde
que sem fins lucrativos, sob a OML – Open Methodology
License; o caso de uso comercial é sujeito a restrições de
licença e deve ser solicitado ao ISECOM. Esta metodologia
não se preocupa com o tipo de teste efetivamente escolhido,
tampouco com o porte da organização ou de suas
tecnologias e proteções em uso. Seu objetivo primordial é
apresentar um padrão metodológico prático e consistente de Figura 1: Ciclo PGSI
verificação e avaliação (com uso de métricas) da presença
Considerando o ciclo de qualidade do PDCA – Figura
de segurança2 operacional da empresa, além da proposição
2, normatizado na ISO 9001 e usado também para a Gestão
de controles apropriados depois dos resultados encontrados.
de Segurança da Informação pela NBR/ISO 17799:2005, o
Ainda se compromete a listar regras de compromisso para
processo do Teste de Segurança deve abordar elementos da
garantir aos aplicadores do teste – doravante auditores –
fase de Planejamento (Pré-Teste), de Execução (Teste) e
2
Ambiente de um Teste de Segurança (pontos de risco)
Verificação (Pós-Teste). A fase de Ação fica a cargo da
organização que solicitou o teste, que julgará a
1
aplicabilidade das recomendações resultantes e expressas no tempo e custo, como mostra a Figura 4. As formas de teste
Pós-Teste, de acordo com suas diretrizes estratégicas. são independentes dos tipos de teste, apresentados na Figura
Este artigo abordará essas três fases do Teste de 3. A princípio, quando escolhida uma forma de teste, pode-
Segurança na visão da metodologia OSSTMM, ou seja: se adotar qualquer abordagem (tipo) para o teste, a depender
- FASE I: Pré-Teste (Planejamento) também dos requisitos adotados pela organização-alvo.
- FASE II: Teste (Execução) Vale observar que os termos apresentados no gráfico
- FASE III: Pós-Teste (Verificação) geram controvérsias inclusive entre os profissionais de
segurança especializados. Um Teste de Segurança metódico
difere-se de um PenTest – Teste de Intrusão. No primeiro, o
auditor tem uma base de dados com os ataques atuais
conhecidos e tenta explorar falhas no ambiente da empresa-
alvo até conseguir sucesso. No segundo, o auditor combina
criatividade, base de conhecimento das melhores práticas e
das ameaças conhecidas, e a amplitude da presença de
segurança da empresa-alvo. Neste caso, há a tentativa de
exploração das falhas previsíveis – em seus extremos – e
das imprevisíveis – com o uso das melhores práticas contra
os cenários de pior caso.
2
6. Hacking Ético PenTest cujo objetivo é Em casos de legislação e regulação sem concretude
descobrir diversos “troféus” por toda a rede dentro prévia, não se pode saber se a letra da lei triunfará o espírito
de um limite de tempo predeterminado no projeto; da lei. Portanto, o OSSTMM também foi desenvolvido para
7. Teste de Segurança, e o equivalente militar descobrir onde elementos de serviços e produtos especiais
Avaliação de Postura avaliação de riscos de podem ser determinados, como saber se uma outra auditoria
sistemas e redes, orientada a projetos, que usa obrigatória mostrará conformidade. Nesse sentido, pode-se
como meio análise profissional de uma varredura aplicar a letra e o espírito da lei sempre que possível e os
de segurança em que a intrusão é freqüentemente dois não conflitarão.
usada para confirmar falsos positivos e falsos Alguns exemplos de leis respeitadas pelo OSSTMM
negativos dentro do prazo do projeto. são a GLBA4, SOX e a HIPAA5 (EUA), e a “UK Data
Assim como o tipo de teste, a escolha da forma do Protection Act 1998” (Reino Unido). Aquelas ainda não
Teste de Segurança depende das necessidades e dos analisadas também devem ser seguidas por esta
requisitos de segurança da organização-alvo, principalmente metodologia, ao menos no espírito da lei. Já referente às
os relacionados a tempo e custo de sua aplicação. políticas, o OSSTMM adequa-se à ISO 17799:2000
(BS7799), a algumas normas do NIST6 e à “IT Information
2 FASE I: Pré-Teste Library” (Reino Unido), entre outras.
6
Apesar de a certificação não ser obrigatória para [4] SECURITY METRICS – RAVs (Risk Assessment Values).
realizar uma auditoria OSSTMM, existem alguns benefícios Disponível em:
se ela estiver em conformidade com os requisitos, quais http://www.isecom.org/securitymetrics.shtml. Acessado em:
sejam [1]: out/2007.
- Serve como prova para um teste efetivo;
- Torna o(s) auditor(es) responsável(is) pelo teste; [5] NBR ISO/IEC 17799 – Tecnologia da informação —
- Mostra uma declaração aberta ao cliente; Técnicas de segurança — Código de prática para a gestão
- Provê uma abordagem mais conveniente que um da segurança da informação. 2ª ed. ABNT, 2005.
sumário executivo;
- Provê um checklist válido para o auditor; [6] FULLERTON, Chuck. The need for Security Testing An
- Provê métricas claramente calculadas e Introduction to the OSSTMM 3.0. Disponível em:
compreensíveis. http://www.securitydocs.com/library/2694. Acessado em:
Para a certificação da organização auditada, é out/2007.
necessário que ela mantenha o nível RAV no mínimo em
95% e valide com uma auditoria anual OSSTMM realizada [7] MELO, Sandro. Executando PENTEST utilizando
por um auditor terceiro. Essas validações precisam da Ferramentas Open Source e OSSTMM (Open Source
verificação por parte do ISECOM para garantir a Security Testing Methodology Manual). Disponível em:
consistência e a integridade. http://www.4linux.com.br/pdf/pentest20061221.pdf.
Acessado em: out/2007.
5 Conclusão
A decisão de realizar um Teste de Segurança deve ser [8] INTRUDERS. Por que realizar um PenTest em minha
considerada e “comprada” pela organização na fase de empresa? Disponível em:
planejamento de um PGSI ou da Gestão de Segurança de http://www.intruders.org.br/index.html. Acessado em:
Informação, preconizada pela ISO 17799. É uma solução out/2007.
que provê os indicadores para a avaliação da postura de
segurança operacional da empresa, identificando e [9] NEVES, Eduardo Jorge F. S. OSSTMM v2.1.
analisando as vulnerabilidades e ameaças do negócio, e Disponível em: http://h2hc.org.br/repositorio/2004/osstmm-
conseqüentemente, tratando os riscos de forma mais efetiva. pt.pdf. Acessado em: out/2007.
Os relatórios de teste com as melhorias propostas podem ser
usados pelo gestor como base para a fase de Ação (PDCA), [10] ROGER, Denny. Teste de Invasão. Disponível em:
ou seja, de revisão das políticas de segurança e da análise de http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna
riscos. .2006-12-11.7946072081/. Acessado em: out/2007.
O uso de uma metodologia científica como o OSSTMM
agrega mais valor a um Teste de Segurança. Proporciona [11] FEDERAL TRADE COMISSION. U.S. Gramm-
que este seja melhor planejado, executado seguindo padrões Leach-Bliley Act. Disponível em:
e melhores práticas, e com resultados expressos em http://www.ftc.gov/privacy/privacyinitiatives/glbact.html.
relatórios que podem ser certificados pelo ISECOM. A Acessado em: out/2007.
metodologia livre OSSTMM garante maior acurácia no
planejamento e execução dos testes, além de resultados mais [12] CENTERS FOR MEDICARE & MEDICAID
apropriados, pois se baseia em métricas de segurança SERVICES. Health Insurance Portability and
objetivas e em um mapa de segurança que abrange todas as Accountability Act of 1996. Disponível em:
áreas afetadas pela Segurança da Informação. Com isso, a http://www.cms.hss.gov/HIPAAGenInfo/. Acessado em:
visão que a organização tem da sua presença de segurança é out/2007.
mais realista e consistente.
[13] National Institute of Standards and Technology.
6 Referências Bibliográficas Disponível em: http://www.nist.gov. Acessado em:
out/2007.
[1] HERZOG, Pete. OSSTMM 2.2 – Open Source Security
Testing Methodology Manual. Disponível em:
http://www.isecom.org/osstmm/. Acessado em: out/2007.