PCF-3

Questões comentadas, artigos e notícias

top top checklists de segurança

Posted by mike em 17/04/2009

checklist_clipboardVocê não leu errado e eu não escrevi errado.  O título aqui é ‘top top’ mesmo, igual ao do programa da MTV.

Não sei se você já assistiu o filme Piratas do Caribe, mas existe uma passagem bem interessante que eles discutem sobre como ser pirata. No filme é falado sobre o código dos piratas, e todo pirata ‘decente’ deve seguir este código. Porém um dos piratas tem a sábia idéia de frisar que o código deve ser utilizado como um guia para ser um pirata, que não se pode levar tudo o que está escrito ao pé da letra. É exatamente desta forma que temos que utlizar as boas práticas de segurança, como guias e não como uma verdade imutável.

Voltando a vaca fria, o que quero dizer é que existem um monte de checklists de segurança por este planeta adentro e top listas de boas práticas de programação para coisas que devem ser evitadas.

No começo do ano o SANS publicou uma lista bem interessante com os 25 erros de programação mais perigosos. Este ranking é interessante por serem problemas conhecidos a muito, muito tempo. Acredito que entender bem estes conceitos irá ajudar na resolução de cenários e para profissionais de segurança, significa entender melhor a que tipo de exposição ele estará enfrentando.

http://www.sans.org/top25errors/

Outro ranking interessante é do OWASP, que em 2007 fez um levantamento das vulnerabilidades mais comuns para aplicações web. Só para se ter uma idéia, o ranking fui utilizado pelo PCI Security Standards Council, padrão de segurança para tratamento de dados de cartão de crédito.

http://www.owasp.org/index.php/Top_10_2007

Também em 2007, SANS publicou um ranking de riscos de segurança, uma coisa bem interessante neste ranking é a inclusão de ferramentas que são muito utilizadas em casa (ambiente não corporativos). Em empresas de médio e grande porte é possível encontrar todos os tipos de tecnologia listada (é sério, não dúvide disso). Logo podemos ver como é difícil implementar segurança em qualquer tipo de ambiente.

http://www.sans.org/top20/

No começo do ano Jeremiah Grossman, especialista em segurança em aplicações web, realizou uma pesquisa sobre as técnicas mais inovadores de 2008. Se estudarmos cada técnica em detalhe veremos que a técnica em questão é uma variação de alguma técnica já documentada. Novas tecnologias trazem novas vulnerabilidades ou simplesmente criam uma variação dela.

http://jeremiahgrossman.blogspot.com/2009/02/top-ten-web-hacking-techniques-of-2008.html

Além destes rankings, existem alguns checklists que auxiliam na redução de vulnerabilidades e problemas de configuração insegura em várias tecnologias. Duas excelentes fontes destes checklists são o NIST e o CIS. Vale lembrar que estes checklists devem ser utilizados como um guia de referência para o inicio de um programa de segurança ou para serem utilizados como métricas. Não utilize estes checklists como uma prova de conceito contra hackers e malwares, eles ajudam na segurança mas não são os únicos pontos a serem abordados em um programa de Segurança da Informação

http://www.cisecurity.org/benchmarks.html

http://checklists.nist.gov/ncp.cfm?prod_category

O estudo destes ‘top rankings’ e checklists irão ajudar a entender melhor como fazer segurança, porém como eu disse no começo deste post, isso deve ser utilizado como um guia, e este guia irá te ajudar a entender melhor o ambiente que você quer implantar segurança. Nada disso será efetivo se fosse utilizar estes guias de forma cega ou sem objetivo, por exemplo, se você quer começar a realizar um trabalho de segurança para uma empresa com foco em Internet, você deve se preocupar como disponibilizar os serviços da empresa de forma segurança para na Internet, ou se você trabalha para uma empresa de Call Center você deve se preocupar em disponibilizar os serviços de telefonia da melhor (e mais segura) maneira possível. Não adianta, por exemplo, fazer alta segurança para um site institucional estático (só com html), com as boas práticas do OWASP se você não consegue gerenciar o parque de estações de trabalho com uma solução de antivírus (extremamente básico). É este tipo de coisa que um checklist ou um ‘top top’ qualquer não irá te dizer como fazer.

Entenda bem como utilizá-los e tente implementá-los da melhor forma, entenda que existe limitação em toda abordagem de segurança e por este motivo você deve sempre se focar em um escopo. Lembre-se que não existe a solução mágica da segurança para um problema crônico.

2 Respostas to “top top checklists de segurança”

  1. Felipeel said

    Para quem quer material em português, segue o checklist sobre Práticas de Segurança para Administradores de Redes Internet:

    http://www.cert.br/docs/seg-adm-redes/

  2. Muito bom o post, parabéns pelo blog.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: