{"id":47,"date":"2024-09-25T14:13:34","date_gmt":"2024-09-25T14:13:34","guid":{"rendered":"https:\/\/fikresekhel.com\/blog\/?p=47"},"modified":"2024-09-25T14:44:04","modified_gmt":"2024-09-25T14:44:04","slug":"integrando-metodologias-de-avaliacao-de-seguranca-a-abordagem-da-fikresekhel-com-iem","status":"publish","type":"post","link":"https:\/\/fikresekhel.com\/blog\/fikresekhel\/integrando-metodologias-de-avaliacao-de-seguranca-a-abordagem-da-fikresekhel-com-iem\/","title":{"rendered":"Integrando Metodologias de Avalia\u00e7\u00e3o de Seguran\u00e7a: A Abordagem da FikreSekhel com IEM, IAM e Ci\u00eancia de Dados"},"content":{"rendered":"\n

Quantas vezes voc\u00ea j\u00e1 assistiu impotente enquanto um suposto especialista em seguran\u00e7a executava uma daquelas ferramentas de vulnerabilidade prontas em uma rede de cliente, imprimia os resultados, trocava o logotipo no relat\u00f3rio e entregava ao cliente como se fosse seu pr\u00f3prio trabalho? N\u00e3o \u00e9 apenas frustrante, \u00e9 um golpe<\/strong>. O cliente precisa saber n\u00e3o apenas quais vulnerabilidades existem em seu ambiente, mas como essas vulnerabilidades os afetam, sua informa\u00e7\u00e3o e a informa\u00e7\u00e3o sens\u00edvel da empresa.<\/p>\n\n\n\n

Provedores de seguran\u00e7a ao redor do mundo t\u00eam tentado h\u00e1 anos desenvolver um meio eficaz de conduzir avalia\u00e7\u00f5es t\u00e9cnicas que sejam significativas para o cliente. Por muito tempo, vimos empresas de consultoria de opera\u00e7\u00e3o r\u00e1pida entrar em uma organiza\u00e7\u00e3o cliente, executar um scanner de vulnerabilidade de seguran\u00e7a, imprimir o relat\u00f3rio padr\u00e3o do aplicativo (ap\u00f3s substituir o logotipo)<\/em><\/strong> e apresent\u00e1-lo ao cliente como o produto final. Embora o impacto inicial desse tipo de trabalho possa ser impressionante para o cliente n\u00e3o especializado, uma vez que come\u00e7am a investigar o conte\u00fado real do relat\u00f3rio e tentar entender como ele se aplica \u00e0 sua organiza\u00e7\u00e3o, eles normalmente descobrem que esse n\u00edvel de servi\u00e7o \u00e9 insuficiente.<\/p>\n\n\n\n

A Metodologia de Avalia\u00e7\u00e3o INFOSEC (IEM)<\/strong> apresenta uma solu\u00e7\u00e3o vi\u00e1vel para esse problema. \u00c9 oferecida pela Ag\u00eancia de Seguran\u00e7a Nacional (NSA)<\/strong> como um conjuntode crit\u00e9rios b\u00e1sicos para conduzir avalia\u00e7\u00f5es t\u00e9cnicas para qualquer organiza\u00e7\u00e3o.<\/p>\n\n\n\n


Os produtos finais desta metodologia s\u00e3o destinados a ter significado para todos os clientes. E embora o formato e os componentes centrais dos produtos finais permane\u00e7am os mesmos nas avalia\u00e7\u00f5es, nenhum dos dois relat\u00f3rios finais ser\u00e1 o mesmo. Uma s\u00e9rie de vari\u00e1veis \u200b\u200bem cada organiza\u00e7\u00e3o cliente afeta diretamente a maneira como a avalia\u00e7\u00e3o e a an\u00e1lise devem ser conduzidas. Por exemplo, supondo que temos dois clientes banc\u00e1rios semelhantes que exigem avalia\u00e7\u00f5es t\u00e9cnicas de sua infraestrutura de rede, eles ainda ter\u00e3o diferen\u00e7as. Estas incluem a arquitetura e o layout da rede; a gest\u00e3o e vis\u00e3o da organiza\u00e7\u00e3o; softwares e aplica\u00e7\u00f5es que s\u00e3o utilizados; e as pol\u00edticas e procedimentos estabelecidos pela gest\u00e3o da organiza\u00e7\u00e3o.<\/p>\n\n\n\n

Quando cada um desses bancos receber seu relat\u00f3rio final, ele deve parecer familiar, ser interpret\u00e1vel e aplicar-se especificamente \u00e0 organiza\u00e7\u00e3o. Isso significa que, mesmo que os relat\u00f3rios pare\u00e7am semelhantes, os resultados de um n\u00e3o podem ser aplicados ao outro.<\/p>\n\n\n\n

Admitir que temos um problema \u00e9 o primeiro passo no processo de cura, e n\u00e3o h\u00e1 d\u00favida de que a maioria dos profissionais de INFOSEC<\/strong> experientes na ind\u00fastria se viu em busca de uma solu\u00e7\u00e3o. O IEM<\/strong> da NSA<\/strong> \u00e9 uma das solu\u00e7\u00f5es que est\u00e1 encontrando ampla aceita\u00e7\u00e3o na comunidade.<\/p>\n\n\n\n

Na FikreSekhel<\/strong>, utilizamos metodologias rigorosas para garantir a seguran\u00e7a da informa\u00e7\u00e3o de nossos clientes, e uma dessas metodologias \u00e9 o IEM (Metodologia de Avalia\u00e7\u00e3o INFOSEC)<\/strong>. O IEM \u00e9 uma evolu\u00e7\u00e3o do IAM (Metodologia de Avalia\u00e7\u00e3o de Informa\u00e7\u00f5es)<\/strong>, desenvolvido pela NSA<\/strong>, e \u00e9 especialmente projetado para interagir ativamente com o ambiente t\u00e9cnico dos nossos clientes. Combinamos esses dois processos para oferecer uma vis\u00e3o abrangente e detalhada da postura de seguran\u00e7a de informa\u00e7\u00f5es.<\/p>\n\n\n\n

O IAM nos fornece um entendimento profundo das pol\u00edticas e procedimentos de seguran\u00e7a organizacional, enquanto o IEM foca na seguran\u00e7a t\u00e9cnica real dentro da organiza\u00e7\u00e3o. Juntos, eles permitem que nossa equipe identifique e avalie os riscos de seguran\u00e7a de forma mais precisa. Nossas avalia\u00e7\u00f5es s\u00e3o informadas pela criticidade das informa\u00e7\u00f5es, conforme definido pelo cliente, e refor\u00e7adas por classifica\u00e7\u00f5es de seguran\u00e7a aceitas pela ind\u00fastria e nossa experi\u00eancia especializada.<\/p>\n\n\n\n

O desenvolvimento do IEM foi um esfor\u00e7o colaborativo de tr\u00eas anos, recebendo contribui\u00e7\u00f5es de entidades governamentais e comerciais. Isso resultou em uma metodologia aplic\u00e1vel a uma ampla gama de organiza\u00e7\u00f5es e ind\u00fastrias, refletindo o sucesso do IAM no setor comercial.<\/p>\n\n\n\n

Um aspecto central do nosso processo de avalia\u00e7\u00e3o \u00e9 a entrada do cliente. Ao definir a miss\u00e3o da organiza\u00e7\u00e3o e os tipos de informa\u00e7\u00f5es cr\u00edticas para seus objetivos, o cliente estabelece a base para nossa an\u00e1lise. Com essa orienta\u00e7\u00e3o, tamb\u00e9m criamos defini\u00e7\u00f5es de impacto que nos ajudam a medir as poss\u00edveis consequ\u00eancias da perda de confidencialidade, integridade ou disponibilidade<\/strong> dessas informa\u00e7\u00f5es<\/strong>.<\/p>\n\n\n\n

Na FikreSekhel, reconhecemos que, enquanto somos especialistas em seguran\u00e7a, nossos clientes s\u00e3o os verdadeiros especialistas em seus pr\u00f3prios campos. Por exemplo, se um cliente tem d\u00e9cadas de experi\u00eancia na produ\u00e7\u00e3o de fertilizantes, ele entender\u00e1 profundamente o que \u00e9 necess\u00e1rio para manter a qualidade e competitividade nesse mercado. Nosso papel \u00e9 complementar essa expertise com orienta\u00e7\u00f5es e recomenda\u00e7\u00f5es de seguran\u00e7a robustas, garantindo que o resultado final de qualquer avalia\u00e7\u00e3o ou an\u00e1lise de seguran\u00e7a seja de alto valor e impacto.<\/p>\n\n\n\n

Ao aplicar as metodologias IAM<\/strong> e IEM<\/strong>, a FikreSekhe<\/strong>l n\u00e3o apenas ajusta os processos de seguran\u00e7a \u00e0s necessidades espec\u00edficas de cada cliente, mas tamb\u00e9m promove um ambiente de colabora\u00e7\u00e3o que maximiza tanto a seguran\u00e7a quanto a efici\u00eancia operacional. Isso nos permite n\u00e3o s\u00f3 proteger informa\u00e7\u00f5es cr\u00edticas, mas tamb\u00e9m fortalecer a posi\u00e7\u00e3o de mercado de nossos clientes atrav\u00e9s de uma seguran\u00e7a de informa\u00e7\u00f5es<\/strong> mais eficaz e adaptada.<\/p>\n\n\n\n

Parece Red Team, Tem Cheiro de Red Team, Mas n\u00e3o \u00e9 Red Team! O que realmente \u00e9 IEM?<\/strong>
O IEM \u00e9 apenas uma parte do panorama geral da seguran\u00e7a da informa\u00e7\u00e3o apresentado pela NSA. Tr\u00eas n\u00edveis de an\u00e1lise de seguran\u00e7a devem ocorrer, de acordo com a NSA. O processo de n\u00edvel 1 \u00e9 a avalia\u00e7\u00e3o INFOSEC, na qual o IAM \u00e9 baseado. Esta \u00e9 uma metodologia cooperativa com forte envolvimento do cliente. \u00c9 o in\u00edcio do tri\u00e2ngulo de seguran\u00e7a da informa\u00e7\u00e3o e mede a seguran\u00e7a organizacional em um n\u00edvel de pol\u00edtica e procedimento. O IAM \u00e9 um processo sem interven\u00e7\u00e3o direta. Isso significa que n\u00e3o vamos realmente sentar em um computador do cliente ou executar ferramentas de seguran\u00e7a contra sua tecnologia. O processo de n\u00edvel 2 consiste nas avalia\u00e7\u00f5es INFOSEC, nas quais o IEM \u00e9 baseado. Para este n\u00edvel, testamos ativamente a seguran\u00e7a t\u00e9cnica da organiza\u00e7\u00e3o. Este \u00e9 um processo pr\u00e1tico. Usamos softwares e m\u00e9todos de \u00faltima gera\u00e7\u00e3o para detalhar falhas de configura\u00e7\u00e3o, exposi\u00e7\u00f5es do sistema e vulnerabilidades potenciais. Embora o cliente ainda esteja envolvido no IEM, n\u00e3o \u00e9 t\u00e3o profundo como vimos no IAM. Queremos obter uma vis\u00e3o abrangente de todas as \u00e1reas problem\u00e1ticas poss\u00edveis que podemos no tempo que temos dispon\u00edvel. O objetivo n\u00e3o \u00e9 “invadir”<\/strong> ou “obter acesso root”<\/strong>. Isso n\u00e3o \u00e9 um teste de penetra\u00e7\u00e3o<\/strong>, nem \u00e9 adversarial. As atividades s\u00e3o realizadas interna e externamente, conforme apropriado. O n\u00edvel 3 \u00e9 onde o processo se torna adversarial. Atualmente, n\u00e3o h\u00e1 uma metodologia patrocinada pela NSA para conduzir atividades de Red Team<\/strong>, ent\u00e3o n\u00e3o existe um curso de treinamento ou processo oficialmente endossado. Mas a NSA define essas atividades de Red Tea<\/strong>m como a Metodologia de Red Team<\/strong>, ou RTM<\/strong>. Simulando o advers\u00e1rio apropriado, o Red Team<\/strong> testa cada cen\u00e1rio de seguran\u00e7a poss\u00edvel at\u00e9 conseguir invadir a rede do cliente. As atividades do Red Team n\u00e3o s\u00e3o abrangentes. Estamos tentando encontrar um caminho para as informa\u00e7\u00f5es do cliente, por qualquer caminho poss\u00edvel. Na maioria dos casos do mundo real, isso significa que nos sentamos fora da rede e organiza\u00e7\u00e3o do cliente, tentando encontrar um caminho que n\u00e3o tenha sido bloqueado. Para entender melhor a diferen\u00e7a entre o IEM e um Red Team, vamos olhar o que acontece em uma situa\u00e7\u00e3o de Red Teaming. A maioria das equipes desse tipo come\u00e7a no escuro, ou seja, recebe muito pouca informa\u00e7\u00e3o para come\u00e7ar os testes. Essa informa\u00e7\u00e3o pode ser limitada a pouco mais que um nome de dom\u00ednio na Internet. A equipe de testes \u00e9 ent\u00e3o deixada por conta pr\u00f3pria para descobrir informa\u00e7\u00f5es que poderiam auxiliar suas tentativas de invadir a rede do cliente. Isso \u00e9 frequentemente referido como uma avalia\u00e7\u00e3o de caixa preta. \u00c0 medida que os membros da equipe come\u00e7am, eles procuram especificamente pelos alvos mais f\u00e1ceis na rede do cliente\u2014aqueles que poderiam fornecer o caminho mais f\u00e1cil para a rede. \u00c0 medida que progridem, apenas as vulnerabilidades ao longo desse caminho s\u00e3o analisadas, deixando vulnerabilidades potenciais em outros caminhos n\u00e3o testadas, inalteradas e intactas. No final do processo, o cliente recebe um relat\u00f3rio detalhando como ocorreu a intrus\u00e3o e quais vulnerabilidades foram aproveitadas, mas todas as outras vulnerabilidades potenciais permanecem escondidas na rede. O IEM n\u00e3o \u00e9 uma atividade de Red Team.<\/strong> O IEM \u00e9 abrangente no sentido de que queremos encontrar todas as poss\u00edveis falhas de seguran\u00e7a que podemos, para que o cliente possa bloque\u00e1-las.<\/strong> O Red Team simplesmente tenta chegar \u00e0s informa\u00e7\u00f5es usando qualquer meio poss\u00edvel. O IEM \u00e9 cooperativo com o cliente; o Red Team \u00e9 adversarial baseado na ind\u00fastria em quest\u00e3o.<\/strong> Se estamos olhando para um cliente militar, talvez estejamos simulando uma organiza\u00e7\u00e3o terrorista. Se o cliente \u00e9 uma empresa de pesquisa e desenvolvimento, talvez estejamos simulando um concorrente e tentando chegar \u00e0s “joias da coroa” da organiza\u00e7\u00e3o. O IEM visa encontrar as vulnerabilidades sem explorar ou comprometer a rede do cliente. O objetivo principal de um Red Team \u00e9 comprometer a rede, especialmente por explora\u00e7\u00e3o.<\/p>\n\n\n\n

Proteja sua empresa com Ciberseguran\u00e7a<\/h4>\n\n\n\n

No ambiente digital de hoje, n\u00e3o se proteger contra ataques cibern\u00e9ticos \u00e9 um risco que sua empresa n\u00e3o pode se permitir. Investir em ciberseguran\u00e7a<\/strong> n\u00e3o s\u00f3 garante a seguran\u00e7a de seus dados e a continuidade do seu neg\u00f3cio, como tamb\u00e9m preserva a confian\u00e7a de seus clientes e parceiros.<\/p>\n\n\n\n

Sua empresa est\u00e1 preparada para enfrentar as amea\u00e7as cibern\u00e9ticas de amanh\u00e3?<\/strong> 
Entre em contato conosco hoje mesmo e descubra como nossos servi\u00e7os de ciberseguran\u00e7a podem proteger sua organiza\u00e7\u00e3o de maneira eficaz e proativa.<\/p>\n","protected":false},"excerpt":{"rendered":"

Quantas vezes voc\u00ea j\u00e1 assistiu impotente enquanto um […]<\/p>\n","protected":false},"author":1,"featured_media":48,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17],"tags":[],"class_list":["post-47","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-fikresekhel"],"_links":{"self":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/47","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/comments?post=47"}],"version-history":[{"count":7,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/47\/revisions"}],"predecessor-version":[{"id":55,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/47\/revisions\/55"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media\/48"}],"wp:attachment":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media?parent=47"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/categories?post=47"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/tags?post=47"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}