Quantas vezes você já assistiu impotente enquanto um suposto especialista em segurança executava uma daquelas ferramentas de vulnerabilidade prontas em uma rede de cliente, imprimia os resultados, trocava o logotipo no relatório e entregava ao cliente como se fosse seu próprio trabalho? Não é apenas frustrante, é um golpe. O cliente precisa saber não apenas quais vulnerabilidades existem em seu ambiente, mas como essas vulnerabilidades os afetam, sua informação e a informação sensível da empresa.
Provedores de segurança ao redor do mundo têm tentado há anos desenvolver um meio eficaz de conduzir avaliações técnicas que sejam significativas para o cliente. Por muito tempo, vimos empresas de consultoria de operação rápida entrar em uma organização cliente, executar um scanner de vulnerabilidade de segurança, imprimir o relatório padrão do aplicativo (após substituir o logotipo) e apresentá-lo ao cliente como o produto final. Embora o impacto inicial desse tipo de trabalho possa ser impressionante para o cliente não especializado, uma vez que começam a investigar o conteúdo real do relatório e tentar entender como ele se aplica à sua organização, eles normalmente descobrem que esse nível de serviço é insuficiente.
A Metodologia de Avaliação INFOSEC (IEM) apresenta uma solução viável para esse problema. É oferecida pela Agência de Segurança Nacional (NSA) como um conjuntode critérios básicos para conduzir avaliações técnicas para qualquer organização.
Os produtos finais desta metodologia são destinados a ter significado para todos os clientes. E embora o formato e os componentes centrais dos produtos finais permaneçam os mesmos nas avaliações, nenhum dos dois relatórios finais será o mesmo. Uma série de variáveis em cada organização cliente afeta diretamente a maneira como a avaliação e a análise devem ser conduzidas. Por exemplo, supondo que temos dois clientes bancários semelhantes que exigem avaliações técnicas de sua infraestrutura de rede, eles ainda terão diferenças. Estas incluem a arquitetura e o layout da rede; a gestão e visão da organização; softwares e aplicações que são utilizados; e as políticas e procedimentos estabelecidos pela gestão da organização.
Quando cada um desses bancos receber seu relatório final, ele deve parecer familiar, ser interpretável e aplicar-se especificamente à organização. Isso significa que, mesmo que os relatórios pareçam semelhantes, os resultados de um não podem ser aplicados ao outro.
Admitir que temos um problema é o primeiro passo no processo de cura, e não há dúvida de que a maioria dos profissionais de INFOSEC experientes na indústria se viu em busca de uma solução. O IEM da NSA é uma das soluções que está encontrando ampla aceitação na comunidade.
Na FikreSekhel, utilizamos metodologias rigorosas para garantir a segurança da informação de nossos clientes, e uma dessas metodologias é o IEM (Metodologia de Avaliação INFOSEC). O IEM é uma evolução do IAM (Metodologia de Avaliação de Informações), desenvolvido pela NSA, e é especialmente projetado para interagir ativamente com o ambiente técnico dos nossos clientes. Combinamos esses dois processos para oferecer uma visão abrangente e detalhada da postura de segurança de informações.
O IAM nos fornece um entendimento profundo das políticas e procedimentos de segurança organizacional, enquanto o IEM foca na segurança técnica real dentro da organização. Juntos, eles permitem que nossa equipe identifique e avalie os riscos de segurança de forma mais precisa. Nossas avaliações são informadas pela criticidade das informações, conforme definido pelo cliente, e reforçadas por classificações de segurança aceitas pela indústria e nossa experiência especializada.
O desenvolvimento do IEM foi um esforço colaborativo de três anos, recebendo contribuições de entidades governamentais e comerciais. Isso resultou em uma metodologia aplicável a uma ampla gama de organizações e indústrias, refletindo o sucesso do IAM no setor comercial.
Um aspecto central do nosso processo de avaliação é a entrada do cliente. Ao definir a missão da organização e os tipos de informações críticas para seus objetivos, o cliente estabelece a base para nossa análise. Com essa orientação, também criamos definições de impacto que nos ajudam a medir as possíveis consequências da perda de confidencialidade, integridade ou disponibilidade dessas informações.
Na FikreSekhel, reconhecemos que, enquanto somos especialistas em segurança, nossos clientes são os verdadeiros especialistas em seus próprios campos. Por exemplo, se um cliente tem décadas de experiência na produção de fertilizantes, ele entenderá profundamente o que é necessário para manter a qualidade e competitividade nesse mercado. Nosso papel é complementar essa expertise com orientações e recomendações de segurança robustas, garantindo que o resultado final de qualquer avaliação ou análise de segurança seja de alto valor e impacto.
Ao aplicar as metodologias IAM e IEM, a FikreSekhel não apenas ajusta os processos de segurança às necessidades específicas de cada cliente, mas também promove um ambiente de colaboração que maximiza tanto a segurança quanto a eficiência operacional. Isso nos permite não só proteger informações críticas, mas também fortalecer a posição de mercado de nossos clientes através de uma segurança de informações mais eficaz e adaptada.
Parece Red Team, Tem Cheiro de Red Team, Mas não é Red Team! O que realmente é IEM?
O IEM é apenas uma parte do panorama geral da segurança da informação apresentado pela NSA. Três níveis de análise de segurança devem ocorrer, de acordo com a NSA. O processo de nível 1 é a avaliação INFOSEC, na qual o IAM é baseado. Esta é uma metodologia cooperativa com forte envolvimento do cliente. É o início do triângulo de segurança da informação e mede a segurança organizacional em um nível de política e procedimento. O IAM é um processo sem intervenção direta. Isso significa que não vamos realmente sentar em um computador do cliente ou executar ferramentas de segurança contra sua tecnologia. O processo de nível 2 consiste nas avaliações INFOSEC, nas quais o IEM é baseado. Para este nível, testamos ativamente a segurança técnica da organização. Este é um processo prático. Usamos softwares e métodos de última geração para detalhar falhas de configuração, exposições do sistema e vulnerabilidades potenciais. Embora o cliente ainda esteja envolvido no IEM, não é tão profundo como vimos no IAM. Queremos obter uma visão abrangente de todas as áreas problemáticas possíveis que podemos no tempo que temos disponível. O objetivo não é “invadir” ou “obter acesso root”. Isso não é um teste de penetração, nem é adversarial. As atividades são realizadas interna e externamente, conforme apropriado. O nível 3 é onde o processo se torna adversarial. Atualmente, não há uma metodologia patrocinada pela NSA para conduzir atividades de Red Team, então não existe um curso de treinamento ou processo oficialmente endossado. Mas a NSA define essas atividades de Red Team como a Metodologia de Red Team, ou RTM. Simulando o adversário apropriado, o Red Team testa cada cenário de segurança possível até conseguir invadir a rede do cliente. As atividades do Red Team não são abrangentes. Estamos tentando encontrar um caminho para as informações do cliente, por qualquer caminho possível. Na maioria dos casos do mundo real, isso significa que nos sentamos fora da rede e organização do cliente, tentando encontrar um caminho que não tenha sido bloqueado. Para entender melhor a diferença entre o IEM e um Red Team, vamos olhar o que acontece em uma situação de Red Teaming. A maioria das equipes desse tipo começa no escuro, ou seja, recebe muito pouca informação para começar os testes. Essa informação pode ser limitada a pouco mais que um nome de domínio na Internet. A equipe de testes é então deixada por conta própria para descobrir informações que poderiam auxiliar suas tentativas de invadir a rede do cliente. Isso é frequentemente referido como uma avaliação de caixa preta. À medida que os membros da equipe começam, eles procuram especificamente pelos alvos mais fáceis na rede do cliente—aqueles que poderiam fornecer o caminho mais fácil para a rede. À medida que progridem, apenas as vulnerabilidades ao longo desse caminho são analisadas, deixando vulnerabilidades potenciais em outros caminhos não testadas, inalteradas e intactas. No final do processo, o cliente recebe um relatório detalhando como ocorreu a intrusão e quais vulnerabilidades foram aproveitadas, mas todas as outras vulnerabilidades potenciais permanecem escondidas na rede. O IEM não é uma atividade de Red Team. O IEM é abrangente no sentido de que queremos encontrar todas as possíveis falhas de segurança que podemos, para que o cliente possa bloqueá-las. O Red Team simplesmente tenta chegar às informações usando qualquer meio possível. O IEM é cooperativo com o cliente; o Red Team é adversarial baseado na indústria em questão. Se estamos olhando para um cliente militar, talvez estejamos simulando uma organização terrorista. Se o cliente é uma empresa de pesquisa e desenvolvimento, talvez estejamos simulando um concorrente e tentando chegar às “joias da coroa” da organização. O IEM visa encontrar as vulnerabilidades sem explorar ou comprometer a rede do cliente. O objetivo principal de um Red Team é comprometer a rede, especialmente por exploração.
Proteja sua empresa com Cibersegurança
No ambiente digital de hoje, não se proteger contra ataques cibernéticos é um risco que sua empresa não pode se permitir. Investir em cibersegurança não só garante a segurança de seus dados e a continuidade do seu negócio, como também preserva a confiança de seus clientes e parceiros.
Sua empresa está preparada para enfrentar as ameaças cibernéticas de amanhã?
Entre em contato conosco hoje mesmo e descubra como nossos serviços de cibersegurança podem proteger sua organização de maneira eficaz e proativa.