oficiais de tecnologia da informação conduzir avaliações de vulnerabilidade de segurança para encontrar falhas ou vulnerabilidades específicas em computação e sistemas de rede . Auditorias de penetração são especialmente formatado avaliações de vulnerabilidade projetados para simular um ataque externo , enquanto " caixa-branca " teste pressupõe o conhecimento dos sistemas internos e software para encontrar mais vulnerabilidades . Vulnerabilidade descoberta é um passo crítico na segurança geral do sistema , uma vez que fornece orientação e foco específico para o pessoal de segurança. História
ajustes simples por pesquisadores curiosos na década de 1970 marcou o início informal das avaliações de vulnerabilidade de segurança. Desde então , as equipes especializadas de agentes de segurança de informação, como o carro do FBI ( Análise Computer and Response Team ) , têm trabalhado para investigar e corrigir falhas de segurança em sistemas de computadores modernos. Praticamente todas as grandes empresas de software e desenvolvimento de hardware emprega pessoal de segurança que regularmente produtos veterinário para bugs e projeto inadequado. Avaliações de vulnerabilidade de segurança descobrir e corrigir o máximo de falhas possível antes que os hackers podem usá-los para fins maliciosos.
Significado
Como o primeiro e mais importante passo da resposta de segurança ciclo de vida, a avaliação de vulnerabilidade ou teste de penetração dá o pessoal de segurança de tarefas específicas para proteger a organização de ataques. A avaliação de vulnerabilidade que não consegue descobrir falhas é um convite para um ataque bem sucedido . Avaliações de vulnerabilidade de sucesso pavimentar o caminho para uma redução drástica no potencial de ataque.
Tipos
As empresas muitas vezes utilizam empresas de teste fora para simular um ataque de fora, chamado de " caixa-preta " de testes. Testes caixa-preta são formas rápidas e eficazes para encontrar vulnerabilidades comuns em sistemas de rede , especialmente para sites e bancos de dados. Empresas de desenvolvimento de software optar por intensivo de testes mais completa e tempo "white- box" , que envolve uma inspeção cuidadosa do sistema - tanto de hardware e software. Na indústria de defesa , a divisão de segurança da informação da Agência Nacional de Segurança realiza tanto caixa-preta e teste de caixa-branca para prestadores de serviços em larga escala.
Equívocos
O objetivo avaliações de vulnerabilidade é encontrar o maior número de falhas de segurança quanto possível , reduzindo o potencial de um ataque bem sucedido . No entanto, é impossível encontrar todos os vulnerabilidade individual num sistema como algo tão inócuo como uma variável do tipo errado ou uma porta aberta pode ser explorada por um atacante inteligente . Auditorias vulnerabilidade de segurança não são a , em vez de um ponto de início - fim , de programa de segurança para controles de segurança. Como os sistemas de evoluir e crescer as exigências de segurança , avaliações de vulnerabilidade continuam a ser importantes , mas as peças não infalíveis de um programa de segurança bem-arredondado .
Prazo
administradores de tecnologia da informação procederá periodicamente testes de penetração e avaliações de vulnerabilidade para ficar à frente de vulnerabilidades recém-descobertas . As avaliações de vulnerabilidade deve ser realizada antes da integração e atualização de qualquer grande sistema de computador e , em seguida, em intervalos regulares - pelo menos anualmente. Como parte de uma cultura contínua de segurança, administradores de sistemas devem estar atentos aos resultados de cada avaliação de vulnerabilidade. Desde avaliações de vulnerabilidade rápidas descobrir vulnerabilidades importantes ou já publicados , cada vez que um aviso de segurança ou patch vem de fora, o pessoal de tecnologia da informação deve realizar uma nova auditoria .
