O processo de risk assessment consiste na busca por vulnerabilidades nos seus sistemas, as possibilidades dessas vulnerabilidades serem usadas e seu potencial impacto para o negócio.
O risk assessment ajuda a identificar recursos valiosos e as ameaças a eles, quantifica potenciais perdas com base na frequência estimada e no custo da ocorrência e, opcionalmente, recomenda como alocar esses recursos em contramedidas para minimizar a vulnerabilidade total.
A implementação do risk assessment, porém, é muito mais que apenas um item de uma lista a ser checado depois de uma conversa com profissionais de TI.
Existem algumas metodologias formais que podem ajudá-lo a desenvolver seu próprio plano de assessment. Isso envolve, por exemplo, fazer um inventário de seus ativos digitais, descobrir quais são as ameaças ou “agentes de ameaça” aos seus ativos e testar seus sistemas contra vulnerabilidades e fraquezas que podem ser exploradas, incluindo senhas fracas, softwares inseguros e políticas de BYOD fracas.
A implementação de um risk assessment precisa de um profissional capaz de enxergar a rede como um hacker, ele será o responsável pela aplicação dos testes de penetração.
Que entrem os testes de penetração
Profissionais responsáveis por aplicar os testes de penetração precisam ser indivíduos completamente focados em invadir sistemas.
Os testes de penetração, em geral, são divididos em quatro fases: planejamento, descoberta de informações, ataque e relatório. Os profissionais, inclusive, vão muito além de apenas buscar vulnerabilidades em softwares. Eles pensam como hackers: depois de invadir o sistema, o trabalho real começa. Eles vão continuar a explorar a rede e basear novos ataques com o que aprendem sobre a hierarquia encontrada.
Os hackers de hoje são muito bons em contornar as defesas do perímetro por meio de ataques de phishing e outras técnicas de engenharia social.
Isso é o que torna os profissionais responsáveis pelos testes de penetração diferentes de um profissional contratado apenas para encontrar vulnerabilidades usando softwares específicos.
Com Varonis