Por que realizar um Teste de Vulnerabilidades

Por que realizar Testes de Vulnerabilidades?

A tecnologia está em constante evolução e ao passo que desenvolvedores inovam em funcionalidades e otimização, o outro lado da moeda inova quanto a descobrir e explorar vulnerabilidades e nesse sentido é importante para segurança da empresa detectar e resolver problemas de segurança antes de sofrer ataques, uma vez que a segurança de um sistema não possui uma validade determinada, uma aplicação que foi desenvolvida a algum tempo cumprindo os parâmetros de segurança adequados pode não se encontrar mais segura atualmente.

O Teste de Vulnerabilidade, é um processo de avaliação dos riscos de segurança em sistemas e softwares para reduzir a probabilidade de ameaças. O objetivo do teste de vulnerabilidade é mitigar a possibilidade de invasores/hackers obterem acesso não autorizado aos sistemas e apontar as possíveis brechas, versões, erros comuns de configuração e, com o apoio de consultores certificados, a Site Defender também sugere correções de acordo com o escopo relacionado.

Encontrar vulnerabilidades comuns que afetam os websites como SQL Injection, XSS, OS Command Injection, Directory Traversal e outros, vide os listados no Top 10 OWASP, é uma necessidade mínima quando se pensa em estar em conformidade com os padrões de segurança. O teste de Vulnerabilidade realizado pela Site Defender também identifica problemas específicos de configuração do webserver.

O teste de vulnerabilidade não pode substituir a importância do Pentest, e o Pentest, por si só, não pode proteger toda a rede. Ambos são importantes em seus respectivos níveis, necessários na análise de risco cibernético e são exigidos por padrões como:  PCI DSS, HIPAA, ISO 27001, etc.

O teste de vulnerabilidades é pensado para ser realizado rotineiramente, para estar em conformidade com o PCI o mais alto padrão de segurança, por exemplo, são necessários testes trimestrais, visando justamente identificar vulnerabilidades não identificadas anteriormente ou não exploradas na última verificação, partindo do ponto já levantado onde novas vulnerabilidades estão sendo descobertas continuamente.

Mantenha sua aplicação segura realizando testes de vulnerabilidades periodicamente com a Site Defender e receba o report com as vulnerabilidades encontradas, bem como sugestões e fontes confiáveis para correções destas especificamente, em detalhes onde:

• O relatório conta com um rápido resumo das descobertas e classificações de risco;
• Cada descoberta tem uma explicação detalhada em termos de risco e recomendações e evidencias de ocorrência no seu sistema;
• As vulnerabilidades são ordenadas pelo nível de criticidade de acordo com os sistemas de classificação mais adequados, vide Score CVSS;
• Fontes confiáveis são apontadas para tratamento de cada vulnerabilidade especificamente;
• Temos consultores qualificados prontos para atender quaisquer dúvidas durante o processo ou sobre as descobertas dos testes.

A lista a seguir apresenta alguns dos pontos que são analisados quando se busca vulnerabilidades comuns de aplicativos da web e problemas de configuração do servidor.

• Fingerprint do web server;
• Análise dos headers HTTP para erros de configuração de segurança;
• Verificação da segurança dos cookies HTTP;
• Verificação do certificado SSL do servidor;
• Verificação do software do servidor quanto a ser afetado por vulnerabilidades;
• Análise do robots.txt para URLs Interessantes;
• Verificar a existência de um arquivo de acesso do cliente e se ele contêm uma entrada coringa (clientacesspolicy.xml, crossdomain.xml);
• Descoberta de problemas de configuração do servidor, como lista de diretórios;
• Verificação se os métodos HTTP Track/Trace estão ativos;
• Verificação de Injeção de SQL;
• Verificação de XSS;
• Verificação de Inclusão de arquivo local e de inclusão de arquivo remoto;
• Verificação de injeção de comando do sistema operacional;
• Verificação de bibliotecas JavaScript desatualizadas.