Tech

Como planejar e se preparar para testes de penetração

Photo of LifeTechWeb LifeTechWebSeptember 27, 2024
0 16 minutos lidos
Como planejar e se preparar para testes de penetração
Teste de penetração

À medida que a tecnologia de segurança e a conscientização sobre ameaças entre as organizações melhoram, o mesmo acontece com os adversários que estão adotando e contando com novas técnicas para maximizar a velocidade e o impacto, evitando a detecção.

O ransomware e o malware continuam a ser o método preferido pelos criminosos cibernéticos de caça aos grandes animais (BGH), e o aumento do uso de técnicas práticas ou de “intrusão interativa” é especialmente alarmante. Ao contrário dos ataques de malware que dependem de ferramentas e scripts maliciosos automatizados, as intrusões conduzidas por humanos utilizam a criatividade e a capacidade de resolução de problemas dos atacantes. Esses indivíduos podem imitar comportamentos normais de usuário ou administrativos, tornando difícil distinguir entre atividades legítimas e ataques cibernéticos.

O objetivo da maioria dos profissionais de segurança hoje é gerenciar riscos em escala. Ganhar visibilidade, reduzir o ruído e proteger a superfície de ataque em toda a empresa exige as pessoas, os processos e as soluções de segurança certas.

Com o uso de serviços de testes de penetração, as organizações podem combater proativamente essas ameaças novas e em evolução, ajudando os profissionais de segurança a identificar e validar o que é regular e o que é atividade potencialmente maliciosa. Os testes de penetração consistem em tecnologias variadas, tanto conduzidas por humanos quanto automatizadas, e no uso de especialistas certificados em pentesting, ou hackers éticos, para emular um ataque cibernético contra uma rede e seu(s) ativo(s). Os pentesters usarão táticas e técnicas do mundo actual, como as dos invasores, com o objetivo de descobrir e explorar uma vulnerabilidade conhecida ou desconhecida antes que ocorra uma violação.

Esse tipo de abordagem proativa de segurança ofensiva requer planejamento e preparação por parte dos líderes de segurança para maximizar a eficácia dos testes de penetração, incluindo a escolha do provedor de segurança certo para atender aos seus objetivos de segurança e de negócios.

As etapas para um teste de penetração bem-sucedido

As etapas a seguir são necessárias para preparar e planejar adequadamente os testes de penetração, todas as quais serão descritas em mais detalhes:

  1. Estabelecer equipe: Decide os líderes de segurança que estarão envolvidos na iniciativa de testes de penetração, incluindo o estabelecimento de um POC principal ou organizador central. Descreva funções e responsabilidades e forneça objetivos claros.
  2. Partes interessadas: Identifique as principais partes interessadas e tomadores de decisão. Quais são suas funções e quando serão necessárias suas aprovações e em que estágio do teste de penetração.
  3. Crie um plano de projeto: Certifique-se de que seja criado um plano de projeto claro que descreva o escopo dos testes, sistemas e ativos específicos a serem testados, cronograma, objetivos e resultados esperados.
  4. Escolha uma metodologia de teste: Selecione a metodologia de teste correta para se adequar ao escopo. Metodologias comuns incluem testes de caixa preta, caixa branca e caixa cinza. Considere também as técnicas específicas que sua organização gostaria de implantar, seja engenharia social, API Fuzzing, testes de aplicativos da net externos, and so on.
  5. Suporte para a equipe de segurança: Considere que suporte a equipe de segurança precisará e se a organização possui o conhecimento, os recursos e o orçamento adequados. Decide se o projeto será tratado internamente ou se é necessário um provedor de serviços de pentesting externo. Ao selecionar um provedor de serviços externo, pergunte sobre o tipo de suporte e experiência que ele oferece.
  6. Envolvendo-se com o fornecedor: Depois de fazer algumas investigações, certifique-se de fazer as perguntas certas ao escolher um fornecedor. As perguntas podem incluir, mas não estão limitadas a:
    • Os testes de penetração fazem parte do seu negócio principal?
    • Você possui seguro de responsabilidade civil profissional?
    • Você pode fornecer referências ou depoimentos?
    • Você possui as certificações de pentesting corretas, como ISO 9001 ou CREST?
    • Quais são as qualificações dos seus pentesters?
    • Como você se mantém atualizado com as vulnerabilidades e explorações mais recentes?
    • Qual é a sua metodologia de pentesting e estruturas de preços?
  7. Resumo do relatório: Será importante preparar um relatório abrangente das descobertas do pentesting e recomendações para remediação. Converse com sua equipe e com o provedor de serviços de pentesting, se estiver usando um, para analisar as descobertas e o risco potencial associado a elas. Colaborar estreitamente com as partes interessadas para garantir que os resultados sejam devidamente compreendidos e que um cronograma seja acordado para a correção oportuna.
  8. Etapas da ação de correção: Put together um relatório com descobertas detalhadas e forneça orientações claras sobre a priorização de vulnerabilidades com base na gravidade, identificando etapas de ação para mitigar esses riscos. Mantenha comunicação eficaz, responsabilidade e resolução rápida.
  9. Teste novamente e valide: Podem ser necessários novos testes adicionais para validar a eficácia dos esforços de remediação, e eles foram abordados com sucesso. Certifique-se de que nenhum novo problema tenha surgido durante o processo de pentesting.

Preparando-se para serviços de teste de penetração

Entenda sua superfície de ataque

Para compreender a superfície de ataque, é importante ter visibilidade completa dos seus ativos cibernéticos. Existem três considerações principais para compreender sua superfície de ataque:

1. Visibilidade da sua superfície de ataque: Identifique ativos cibernéticos ocultos e não gerenciados

Os invasores aproveitam cada vez mais a superfície de ataque à medida que a pegada digital de uma organização aumenta. Essa superfície de ataque expandida torna mais fácil para os malfeitores encontrar pontos fracos, ao mesmo tempo que torna mais difícil para os profissionais de segurança protegerem seu ecossistema de TI. Identificar todos os ativos cibernéticos e vulnerabilidades potenciais pode ser um desafio difícil. Sem visibilidade complete de todos os possíveis vetores de ataque, avaliar e comunicar a exposição de uma organização ao risco torna-se quase impossível.

2. Priorizando Riscos: Tomar decisões com base no risco

Acompanhar e avaliar riscos sem avaliações contínuas deixa as organizações vulneráveis. Os líderes de segurança precisam de uma visibilidade clara dos principais fatores que influenciam o risco para orientar as decisões estratégicas e manter as partes interessadas informadas. Ao avaliar os riscos regularmente, as equipes de DevSecOps obtêm insights acionáveis ​​que ajudam a fortalecer as defesas, corrigir vulnerabilidades e prevenir violações de segurança.

3. Mitigação de riscos: Reduzindo o risco de superfície de ataque

Os profissionais de segurança muitas vezes reagem às ameaças, prejudicados pelo tempo e pela visibilidade limitados e sem a orientação necessária para antecipar os riscos. Uma grande superfície de ataque exige mais do que apenas otimizar a defesa contra ameaças – exige medidas proativas para descobrir, avaliar e abordar o risco cibernético antes que um invasor ataque.

Decide o escopo

Ao determinar o escopo de um teste de penetração, considere o seguinte antes de iniciar o teste:

1. Identifique o que testar: Quais áreas e ativos as organizações gostariam de testar? Isso envolve a identificação de sistemas, aplicativos, redes ou dados críticos que podem estar vulneráveis ​​a ataques.

2. Estabeleça metas: As equipes de segurança também vão querer considerar os objetivos de negócios dos testes de penetração, seja para focar nos níveis de segurança humana por meio de técnicas de phishing ou para testar endpoints que podem ser contornados. áreas ou para testar toda a infraestrutura.

3. Requisitos de Conformidade: Alguns setores têm regulamentações específicas que podem ditar o que precisa ser incluído nos seus testes de penetração. Ter conhecimento sobre quais regulamentações as organizações precisam cumprir, juntamente com os requisitos de teste, pode ajudar a restringir o escopo dos testes.

Os profissionais de segurança devem estar munidos dessas informações, bem como de detalhes essenciais, como infraestrutura organizacional, domínios, servidores, dispositivos com endereços IP ou credenciais de usuário autorizado (dependendo do método de pentesting) e quaisquer exclusões.

Quais são alguns dos ativos comuns a serem testados?

Ativos Externos

Aplicativos da Net: O(s) ativo(s) externo(s) mais comum(s) que se beneficia(m) dos serviços de teste de penetração são os aplicativos da net. O pentesting externo de aplicativos da net identifica possíveis caminhos de ataque e mitiga vulnerabilidades específicas, dependendo da arquitetura e da tecnologia dos aplicativos usados. Freqüentemente, são chamados de aplicativos voltados para a Web ou para o público, acessíveis pela Web. As vulnerabilidades mais comuns encontradas são injeções de SQL, XSS, falhas de autenticação e/ou lógica de negócios, preenchimento de credenciais e muito mais.

Além disso, os serviços de teste de penetração para ativos externos podem incluir, mas não estão limitados a, aplicativos móveis, APIs, nuvem, redes externas, IoT e revisão segura de código.

Ativos Internos

Infraestrutura de rede: O teste de penetração mais comum para ativos internos são redes e sistemas internos. A maioria dos profissionais e organizações de segurança presumem que as redes internas são mais seguras do que os sistemas externos, mas isso não é mais verdade. O objetivo dos invasores que obtêm acesso a uma rede interna é mover-se lateralmente pelos sistemas, aumentando os privilégios e abrangendo dados confidenciais e confidenciais. As vulnerabilidades mais comuns encontradas são diretórios ativos (ADs) configurados incorretamente, senhas fracas ou autenticação inadequada e software program e sistemas desatualizados ou sem correção.

Os serviços de teste de penetração para ativos internos podem incluir, entre outros, aplicativos internos, APIs e endpoints de API, estações de trabalho e laptops, aplicativos Thick Consumer e testes em todas as fases do ciclo de vida de desenvolvimento de software program (SDLC).

Que tipo de teste de penetração é ultimate para você?

Existem vários tipos de metodologias de teste de penetração e encontrar a abordagem correta será ditado pelo que foi descrito em seu escopo. Os métodos de teste de penetração evoluíram e as empresas não estão mais sujeitas aos testes de penetração tradicionais oferecidos pelas grandes empresas de consultoria. Abaixo estão os diferentes métodos de pentesting disponíveis e como eles são comumente usados ​​para fornecer os melhores resultados.

1. Pentesting Tradicional: Essa estrutura, abordagem tradicional e baseada em projetos é oferecida por grandes consultorias globais. Este pentesting é muito prático e envolve escopo e cronograma definidos, onde especialistas externos em segurança realizam testes em sistemas, redes ou aplicativos específicos. Este tipo de pentesting tradicional pode parecer mais credível ao oferecer uma sensação de segurança às partes interessadas e aos auditores, mas também pode ser muito dispendioso, uma vez que estas empresas cobram frequentemente um prémio pelos seus serviços, tornando-os menos acessíveis para pequenas e médias empresas.

O pentesting tradicional geralmente ocorre anualmente ou semestralmente e pode, portanto, deixar lacunas na visibilidade da segurança entre as avaliações. As superfícies de ataque mudam rapidamente, o que significa que novas vulnerabilidades podem passar despercebidas durante este período.

Por último, estes compromissos tradicionais normalmente demoram algum tempo a arrancar e os ciclos de suggestions podem parecer lentos. Os resultados podem levar semanas ou meses para serem entregues e, nessa altura, algumas vulnerabilidades podem já não ser relevantes.

2. Pentesting autônomo: Os testes de penetração automatizados usam ferramentas automatizadas, scripts e IA para realizar avaliações de segurança sem a necessidade constante de intervenção humana. Como outros métodos de pentesting, ele pode simular diversos cenários de ataque, identificar vulnerabilidades e fornecer recomendações de correção. O pentesting automatizado pode executar as mesmas tarefas que exigiriam testes manuais, mas é realizado de forma contínua ou programada.

O pentesting automatizado concentra-se principalmente em redes e serviços de rede e pode verificar com eficácia grandes infraestruturas de rede. Esse tipo de pentesting também pode realizar varreduras estáticas e dinâmicas de aplicativos da net para encontrar vulnerabilidades comuns, bem como APIs e endpoints de API, nuvem e ativos externos, como websites públicos, bancos de dados e redes, uma vez que pode ser agendado regularmente e é menos propenso a erros humanos.

O pentesting automatizado oferece velocidade, escalabilidade e eficiência de custos. Ferramentas autônomas podem ser implantadas para executar testes de penetração regularmente, fornecendo monitoramento constante e permitindo a identificação de vulnerabilidades à medida que surgem. No entanto, as ferramentas automatizadas muitas vezes se concentram em vulnerabilidades comuns e bem conhecidas e podem não revelar pontos fracos complexos ou mais sofisticados que um testador humano poderia identificar.

3. Teste de penetração como serviço (PTaaS): PTaaS é uma abordagem mista ou híbrida para testes de penetração usando pentesting autônomo e liderado por humanos, gerando benefícios de ambos, como velocidade, escala e repetibilidade. O pentesting handbook é realizado por hackers éticos certificados e altamente qualificados que procurarão vulnerabilidades em um sistema, aplicativo ou rede. É uma abordagem profunda e orientada por humanos e, diferentemente das ferramentas automatizadas, o pentesting handbook permite mais experiência, intuição e flexibilidade na detecção de vulnerabilidades complexas.

O PTaaS cobre toda a infraestrutura de TI, tanto interna quanto externa, e pode ser adaptado para uma exploração mais profunda de áreas específicas de preocupação. Durante o pentesting handbook, os especialistas podem pensar como invasores, usando técnicas como as usadas por agentes mal-intencionados, e personalizar casos de uso específicos ou configurações incomuns para testes, a fim de se alinharem ao ambiente de TI da organização. Os testadores manuais também podem adaptar sua abordagem caso encontrem cenários ou defesas inesperadas.

O uso de uma abordagem híbrida para testes de penetração combina a eficiência, escalabilidade e economia de testes automatizados contínuos com a criatividade e adaptabilidade de testes manuais, o que é essencial para descobrir vulnerabilidades complexas e avançadas, como falhas de lógica de negócios. A combinação dos dois métodos proporciona a velocidade e a amplitude das ferramentas automatizadas com a profundidade dos testadores manuais para garantir uma cobertura mais abrangente e completa da superfície de ataque.

Planejando seu teste de penetração

Escolhendo os serviços e provedores de pentesting certos

Fazer uma escolha entre recursos de pentesting internos e externos é uma decisão importante e muitas vezes ditada pelo escopo e pelos objetivos. Distinguir entre a equipe interna de pentesting de uma organização, um provedor externo de pentesting que tem seus próprios especialistas internos em pentesting e recursos externos, como crowdsourcing, todos têm suas próprias vantagens e desvantagens.

Testes de penetração interna nas organizações

  • Perspectiva interna: Simula um ataque de dentro da organização e fornece uma perspectiva interna.
  • Sistemas Internos: Pode fornecer uma avaliação completa dos sistemas internos, incluindo movimentação lateral e escalação de privilégios.
  • Custo-benefício: Se o conhecimento e os recursos estiverem intactos na organização, o pentesting pode muitas vezes ser mais econômico, reduzindo a necessidade de taxas externas desnecessárias.
  • Melhoria Contínua: As equipes internas podem realizar testes e monitoramento contínuos, levando a atualizações e melhorias mais frequentes.

Quando usar: Os testes de penetração internos são melhores para identificar e mitigar ameaças internas, testar políticas internas e garantir que os sistemas internos estejam seguros.

Pentesting externo com provedor de serviços e especialistas certificados internos

  • Especialização em Experiência: Os especialistas internos em pentesting contratados por um provedor de serviços de testes de penetração são hackers éticos certificados e altamente treinados e mantêm as certificações mais relevantes do setor, como CREST, OSCP, OSCE, CEH, CISA, CISM, SANS e outras.
  • Visão imparcial: Os pentesters externos podem fornecer uma visão imparcial, muitas vezes identificando vulnerabilidades que as equipes internas podem não perceber.
  • Padronização: Use práticas e diretrizes padronizadas alinhadas com as metodologias NIST, OWASP, CREST e MITRE ATT&CK.
  • Suporte e Personalização: Os provedores de pentesting também fornecem a orientação necessária para escolher o método de pentesting correto, oferecendo suporte durante todo o processo de teste, com a capacidade de adaptar e personalizar os testes de segurança para atender aos requisitos do seu negócio.

Quando usar: O pentesting externo é melhor utilizado quando os recursos e a experiência são limitados. É ultimate para avaliar ativos internos e externos usando metodologias padronizadas para obter resultados mais precisos e consistentes. Também é melhor utilizado para garantir a conformidade regulatória e obter uma avaliação imparcial de sua postura de segurança.

Pentesters externos ou crowdsourcing

  • Recursos Externos: Isso envolve recursos externos de pentesting, seja por meio de um provedor de serviços de segurança que usa crowdsourcing ou por meio de especialistas externos em pentesting.
  • Falta de padronização e consistência Esta metodologia carecerá de padronização e consistência no uso de ferramentas de pentesting, o que muitas vezes resulta em resultados variados para medir o progresso
  • Aumento de custo: Pentesters externos podem ser mais caros devido às taxas de consultoria e à necessidade de serviços especializados
  • Frequência Limitada: O pentesting externo normalmente é realizado periodicamente, em vez de continuamente, deixando lacunas entre os testes.

Quando usar: Pentesters externos ou crowdsourcing são úteis para validar resultados de pentesting interno para validação. No entanto, a falta de padronização e consistência dos resultados continua a ser uma preocupação.

Qual é a metodologia correta de teste de penetração?

Existem três métodos principais usados ​​para fornecer serviços de teste de penetração. Dependendo dos seus requisitos, do tipo de ativos que estão sendo testados e da abordagem que produzirá os resultados que você procura, os especialistas podem orientá-lo sobre qual método é melhor para atender aos objetivos da organização.

Caixa Preta: Este tipo de teste de penetração não requer conhecimento prévio relacionado aos sistemas alvo que estão sendo testados. Os especialistas em Pentesting irão emular um ataque do mundo actual que um invasor pode usar sem nenhuma informação interna sobre o sistema que está sendo hackeado. O objetivo é avaliar a eficácia das medidas de segurança e se esses controles podem resistir a um ataque externo.

Caixa Cinza: Este método de pentesting mantém conhecimento parcial do(s) sistema(s) alvo. É fornecido mais contexto do que a Black Field, permitindo uma avaliação mais eficiente do(s) ativo(s) explorado(s). Os testes de Caixa Cinza podem equilibrar a perspectiva externa da Caixa Preta e a perspectiva interna dos testes de Caixa Branca.

Caixa Branca: É necessário conhecimento completo dos alvos para este tipo de teste, incluindo sistemas internos e externos. Este método emula um ataque de alguém interno da organização ou de alguém com conhecimento detalhado do(s) sistema(s). Os testes de caixa branca permitem uma avaliação abrangente dos controles internos para identificar vulnerabilidades que podem não ser facilmente visíveis de uma perspectiva externa.

Por que a padronização é importante no Pentesting

Várias diretrizes padronizadas importantes são comumente usadas em testes de penetração para garantir precisão, consistência, rigor e conformidade com as práticas do setor. Aqui estão algumas das práticas mais comuns:

1.NIST (Instituto Nacional de Padrões e Tecnologia)

Estas diretrizes fornecem recomendações práticas para projetar, implementar e manter testes e processos de segurança. Ele foi projetado para indústria, governo e organizações para ajudar a reduzir os riscos de segurança cibernética. Abrange vários aspectos dos testes de segurança, incluindo testes de penetração, verificação de vulnerabilidades e avaliações de risco. As diretrizes do NIST são amplamente respeitadas e utilizadas por agências e organizações federais para garantir uma abordagem padronizada aos testes de segurança.

2. OWASP (Projeto aberto de segurança de aplicativos da Net)

OWASP fornece uma estrutura abrangente para testar aplicações net, incluindo metodologias para identificar e mitigar vulnerabilidades comuns de aplicações net. OWASP é altamente considerado por seu foco em aplicações net – mas inclui estruturas para aplicativos móveis, APIs, nuvem e muito mais – e as diretrizes são de código aberto e atualizadas regularmente para refletir as ameaças e melhores práticas mais recentes.

3. CRISTA (Conselho de Testadores de Segurança Ética Registrados)

Um organismo de acreditação sem fins lucrativos que estabelece padrões elevados para testes de segurança, incluindo testes de penetração, para garantir que as organizações membros cumpram rigorosos padrões éticos, legais e técnicos. CREST descreve uma metodologia padronizada para testes de penetração, que inclui planejamento, coleta de informações, análise de vulnerabilidades, exploração e relatórios.

Outras diretrizes notáveis:

  • MITRE AT&CK: Uma base de conhecimento international de táticas e técnicas adversárias baseadas em observações do mundo actual usadas para desenvolver modelos e metodologias de ameaças específicas no setor privado, governo e comunidade cibernética. Ao contrário das estruturas tradicionais de testes de penetração, o MITRE ATT&CK fornece uma matriz abrangente de técnicas usadas pelos invasores durante os vários estágios de um ataque.
  • PCI-DSS (Padrão de segurança de dados da indústria de cartões de pagamento): Fornece requisitos para a realização de testes de penetração para garantir a segurança dos dados do titular do cartão.
  • OSSTMM (Guide de Metodologia de Teste de Segurança de Código Aberto): Oferece métodos detalhados para testes de segurança, cobrindo vários aspectos da segurança operacional.
  • HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde): Inclui diretrizes para testes de penetração para garantir a segurança de informações de saúde protegidas.

Conformidade Regulatória com Testes de Penetração

O cumprimento dos mandatos regulamentares tornou-se cada vez mais rigoroso e novos regulamentos continuam a ser implementados em todo o mundo, afectando vários sectores, incluindo alvos principais como os sectores financeiro, de saúde e de infra-estruturas críticas. Abaixo está uma visão geral dos regulamentos mais notáveis, alguns com diretrizes específicas relacionadas aos testes de penetração:

DORA: Teste de penetração conduzido por ameaças (TLPT)

Confrontados com riscos crescentes colocados pelos sistemas de informação ou pela infraestrutura informática, tanto internos como externos, os reguladores da UE adotaram regras e recomendações para identificar e remediar potenciais vulnerabilidades. Através da DORA, foram direcionados dois tipos de testes distintos às instituições financeiras para reforçar a sua resiliência cibernética, como segue:

  1. Teste de resiliência operacional digital: Obrigatório para todas as entidades reguladas pela DORA e a ser realizado pelo menos uma vez por ano para sistemas e aplicações que suportam funções críticas ou importantes, e
  2. Teste de penetração conduzido por thread (TLPT): Obrigatório para as entidades financeiras mais importantes, designadas pelas autoridades competentes de cada país com TLPT realizado pelo menos a cada três anos.

Estrutura de avaliação cibernética do NCSC (CAF)

O CAF desempenha um papel essential tanto para entidades do setor público quanto para organizações envolvidas no apoio à Infraestrutura Nacional Crítica (CNI), fornecendo um método sistemático para avaliar as práticas de segurança cibernética de uma organização, ajudando a identificar e abordar áreas de melhoria. É especialmente relevante para as organizações abrangidas pelos Regulamentos de Redes e Sistemas de Informação (NIS), que determinam a adoção de medidas adequadas de cibersegurança. Além disso, o quadro serve como um recurso valioso para os setores que gerem riscos para a segurança pública, como os cuidados de saúde e os transportes.

Diretiva NIS2

A Diretiva SRI 2 (Diretiva (UE) 2022/2555) visa estabelecer um elevado nível comum de cibersegurança em toda a UE. Os Estados-Membros devem garantir que as entidades essenciais e importantes implementam medidas adequadas para gerir os riscos das redes e dos sistemas de informação, minimizando os impactos dos incidentes, utilizando uma abordagem que inclua todos os riscos.

TIBER-EU (equipe vermelha ética baseada em inteligência de ameaças)

Este quadro é uma iniciativa da UE destinada a aumentar a resiliência cibernética das entidades do setor financeiro. O TIBER-EU fornece uma abordagem estruturada para a realização de testes de equipa vermelha controlados e orientados pela inteligência. Esses testes simulam ataques cibernéticos reais para avaliar e melhorar a postura de segurança das organizações.

SOC 2 (Controles de Sistema e Organização 2)

Uma estrutura regulatória e procedimentos de auditoria amplamente reconhecidos, desenvolvidos pelo Instituto Americano de Contadores Públicos Certificados (AICPA). Ele foi projetado para avaliar os controles e medidas de segurança das organizações de serviços para proteger os dados dos clientes e garantir a segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade dos dados.

HIPAA (Lei de Responsabilidade e Portabilidade de Seguro Saúde)

Esta lei federal dos EUA rege a privacidade, a segurança e a troca eletrônica de informações médicas. As organizações médicas e de saúde devem realizar validação common do controle de segurança de seus dados e incluir diretrizes para testes de penetração para garantir a segurança das informações de saúde protegidas.

PCI DSS (padrão de segurança de dados da indústria de cartões de pagamento)

Fornece requisitos para a realização de testes de penetração para garantir a segurança dos dados do titular do cartão. O PCI DSS 11.3.1 exige especificamente testes de penetração externos pelo menos uma vez a cada seis meses e após quaisquer alterações ou atualizações significativas na infraestrutura ou aplicativo de TI. O PCI DSS 11.3.2 exige que testes internos sejam realizados pelo menos uma vez a cada seis meses. Outros requisitos do PCI DSS exigem testes de pentes adicionais e podem ser encontrados em seu web site.

Para concluir

Preparar e planejar serviços de teste de penetração não é tarefa fácil e há muitas perguntas que precisarão ser respondidas e preparação e planejamento a serem feitos antes do início do teste. Mas não há dúvida de que os benefícios dos serviços de testes de penetração valem o esforço para manter uma postura de segurança forte agora, amanhã e no futuro.

Tags
Photo of LifeTechWeb LifeTechWebSeptember 27, 2024
0 16 minutos lidos
Photo of LifeTechWeb

LifeTechWeb

Artigos relacionados

Falha crítica do Exchange Server (CVE-2024-21410) sob exploração ativa

Falha crítica do Exchange Server (CVE-2024-21410) sob exploração ativa

February 15, 2024
Considerações éticas ao desenvolver IA para reconhecimento de emoções

Considerações éticas ao desenvolver IA para reconhecimento de emoções

July 11, 2024
Hackers exploram falha do Fortinet, implantam ScreenConnect e Metasploit em nova campanha

Hackers exploram falha do Fortinet, implantam ScreenConnect e Metasploit em nova campanha

April 17, 2024
Uma olhada no novo gerador de vídeo OpenAI Sora

Uma olhada no novo gerador de vídeo OpenAI Sora

February 17, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button