Aula 3 - Gestão de Riscos, Ameaças e Vulnerabilidades - Estácio

Prévia do material em texto

Gerenciamento de Vulnerabilidades
Aula 3: Ciclo de detecção de vulnerabilidades
Apresentação
O nosso próximo enfoque no processo de gerenciamento de vulnerabilidades será a identi�cação e veri�cação das
vulnerabilidades das redes e sistemas. Essa fase pode ser entendida como um ciclo de detecção ou execução da
veri�cação de vulnerabilidades, no qual varreduras (escaneamento) no escopo de�nido serão executadas com as
ferramentas apropriadas. A fonte ou banco dados de vulnerabilidades é um ponto-chave nessa fase, pois pode ser
decisivo na abrangência da varredura.
Objetivo
• De�nir o escopo de um teste de vulnerabilidades;
• Descrever as principais ferramentas de veri�cação de vulnerabilidades.
Escopo do teste de vulnerabilidades
Vamos relembrar: o que são ameaças?
Para termos o pleno entendimento da de�nição do escopo que serve de base para a fase execução da veri�cação de
vulnerabilidades (escaneamento), a qual já vimos em aula anterior, é necessário nos lembrarmos dos requisitos mínimos para
começar um processo de gerenciamento de vulnerabilidades.
Nesses requisitos mínimos, alguns dos itens essenciais citados foram a classi�cação dos dados e o Inventário de bens ou
ativos. Com base nisso, e focando a de�nição de escopo, que faz parte da fase de preparação, aprofundaremos o
conhecimento nesses itens e depois de�niremos quais são as ações necessárias para �nalizar o escopo.
Classi�cação dos dados
No mundo atual, os dados de uma organização passaram a ter uma importância muito grande no cenário em que os
criminosos cibernéticos os utilizam de diversas formas para obter vantagens.
Exemplo
Um exemplo seria um ataque de engenharia social no qual o atacante consegue credenciais de um usuário da recepção da
empresa e, com estas, consegue uma invasão virtual por meio de uma aplicação vulnerável que o funcionário detentor das
credenciais utilizava.
 Fonte: Adaptado de pixabay.
Em suma, qualquer ação criminosa de um hacker começa
com a coleta de dados de diversas fontes sobre o alvo, por
meio de variadas técnicas para obtenção. Com isso, torna-
se imperativo implementar formas de proteção e
classi�cação desses dados para prevenir uma violação que
pode custar uma boa parte do capital de uma organização.
A classi�cação dos dados faz parte dos pré-requisitos
exigíveis para se começar a planejar um gerenciamento de
risco em qualquer instituição, seja pública ou privada, e
indica o nível de criticidade ou impacto que se atribui à
informação caso haja uma violação.
Os dados em uma organização têm um início e um �m, o qual chamamos de ciclo de vida do dado, e que deve possuir uma
classi�cação, a qual vai determinar as medidas de segurança a serem tomadas para cada uma dessas classi�cações.
Os tipos de classi�cação dos dados são as seguintes[DYOGENES, 2017]:
Pública (não classi�cada)
São informações que não oferecem risco à organização. Elas podem ser públicas e coletadas em
fontes abertas sem comprometer a segurança da informação. Como exemplo podemos citar a
quantidade de funcionários de uma empresa.;
Classi�cada (privada ou de uso restrito para pessoal interno
São informações que possuem restrição de acesso, o qual somente usuários autorizados podem
obter,e mediante termo de compromisso �rmado para não revelar o seu conteúdo. Podemos citar a
sanção disciplinar a um funcionário público que descumpriu as normas da organização.
Con�dencial (também chamadade “classi�cação baixa/low”)
São informações sensíveis que só podem ser acessadas mediante autorização da gerência da
organização e podem causar danos nos ativos caso sejam obtidas e divulgadas por um criminoso
cibernético, como, por exemplo, o mapa completo da estrutura da rede operacional de uma
distribuidora de energia elétrica.
Secreto (também chamada de “classi�cação média/medium”)
Essa informação é totalmente restrita e pode ter um impacto muito grave para os ativos de uma
organização caso seja violada. Como exemplo podemos citar o vazamento de dados de todos os
clientes de uma empresa de vendas online.
Top secret (também chamada de “classi�cação alta/high”)
 Essa informação é altamente restrita e somente alguns integrantes da organização podem ter acesso.
Podemos usar como exemplo o projeto completo de um carro, em detalhes, que será lançado em
alguns meses.
Podemos inferir que é muito importante classi�carmos os dados, tendo em vista que na fase de execução e veri�cação das
vulnerabilidades apontaremos o nível de criticidade delas.1
Atenção
Além disso, não podemos esquecer que essa classi�cação dos dados pode ser bastante mutável e requer avaliação frequente
para acompanhamento do ciclo de vida de cada dado classi�cado.
Inventário de bens ou ativos
Já tivemos contato com esse termo em aulas anteriores e sua de�nição é o levantamento de todos os ativos críticos e não
críticos, tangíveis e intangíveis de uma organização.
Veremos agora a importância do inventário de bens para podermos de�nir o escopo de uma veri�cação de vulnerabilidades,
pois, se não conhecermos todos os ativos de uma organização, será difícil decidirmos pelo melhor escopo para levantar quais
as fraquezas que podem estar contidas nesses ativos.
Clique nos botões para ver as informações.
Segundo o Centro para Internet Segura (CIS) [CIS CONTROLS, 2020], entre as 20 melhores práticas para elevar a
segurança cibernética, o inventário de bens e ativos está na primeira posição. Portanto, torna-se fundamental começar a
planejar o gerenciamento de vulnerabilidades após o inventário.
É a melhor prática de segurança cibernética 
Para começar o inventário de ativos é necessário entender, como já foi de�nido, que ativo é tudo que tem valor para a
organização. Pode ser hardware, software, informação, infraestrutura, serviços e tudo que agrega valor.
Requer conhecimento sobre os ativos da organização 
Faz parte do processo de Gestão de riscos 
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-01
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-01
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-01
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-02
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-02
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-02
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-03
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-03
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-03
O inventário de ativos faz parte, também, do processo de Gestão de Riscos, o qual é conduzido pelo Gestor de Segurança
da Informação, porém, caso não haja inventário, existem diversas formas de fazer isso, mais complexas e menos
complexas. A escolha dependerá da disponibilidade de tempo e pessoal disponível para sua confecção. Como exemplo,
podemos citar que para realização do inventário de software e hardware existem diversas ferramentas automatizadas que
podem ajudar nessa tarefa tão importante.
Os bens podem ser avaliados segundo o valor de mercado, entretanto, para o contexto de segurança da informação, os
bens são avaliados de acordo com a responsabilidade (liability) e leva-se em consideração a continuidade do negócio em
caso de comprometimento desse bem, ou seja, devemos ter em conta quais são críticos e quais não são [DYOGENES,
2017].
Atua no controle sobre os bens 
Ações para a de�nição do escopo da veri�cação de vulnerabilidades
Como visto na seção anterior, o levantamento de bens é essencial para a de�nição do escopo na fase de veri�cação de
vulnerabilidades ou escaneamento, ou seja, temos que de�nir qual o tamanhoda varredura que será feita e em quais ativos.
A de�nição de escopo está contida na fase de preparação do
gerenciamento de vulnerabilidades, como visto anteriormente.
Com isso, vamos particularizar os ativos naqueles em que poderemos utilizar ferramentas para o seu escaneamento, ou seja,
dentre os levantados no inventário de bens, nos ateremos aos deredes internas e externas, de softwares, de equipamentos, de
estrutura de comunicações, de hardwares e tudo que possa ser escaneado por essas ferramentas. No entanto, devemos nos
lembrar dos ativos da informação que já foram classi�cados e que contribuirão sobremaneira para a de�nição da criticidade
das vulnerabilidades após a varredura e para a sua priorização na mitigação ou correção, na fase de remediação.
Para de�nirmos o escopo é necessário:
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Identi�car a capacidade de varredura das
ferramentas, o efetivo da equipe de
varredura — ou seja, qual a quantidade de
ativos que se pode varrer no período
estipulado.
Observar o inventário de bens e a
classi�cação dos dados. Esses devem
estar integrados com a gestão de riscos,
se houver. eles ajudarão a de�nir os ativos
prioritários para a realização da veri�cação
de vulnerabilidades.
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-04
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-04
https://stecine.azureedge.net/webaula/estacio/go0694/aula3.html#collapse01-04
Ao �nal da de�nição de escopo saberemos o que realmente será veri�cado no escaneamento ou qual o tamanho dessa
varredura, a qual deve ser contínua por meio de um processo constante e amplo. En�m, há que se pensar, além de tudo que já
foi dito, como ampliar a varredura da rede e de sistema de uma forma que todos os ativos possíveis sejam atendidos, mas isso
dependerá de uma série de fatores que a própria organização e seus responsáveis devem decidir, pois isso envolve uma maior
complexidade para implementação.
A de�nição de escopo só pode ser bem conduzida caso tenhamos implementados pré-requisitos imprescindíveis, tais como a
classi�cação de dados e o inventário de bens. Se não for dessa forma, a chance de o escaneamento ser parcial e ine�caz
aumenta consideravelmente.
Veri�cação ou teste de vulnerabilidades
Conforme a ABNT NBR ISO/IEC 27005, os métodos para avaliação de vulnerabilidades podem ser utilizados para testar e
identi�car essas fragilidades dos ativos de redes e sistemas de informação. Esses testes vão estar associados à sua
criticidade e aos recursos disponíveis (verba, pessoal e tecnologia). Os métodos para isso são os seguintes: 
1
Ferramentas automatizadas de procura por
vulnerabilidades
2
Avaliação e testes da segurança
3
Teste de invasão
4
Análise crítica de código
Focaremos a explicação dos testes de veri�cação de vulnerabilidades, que é o objetivo de nosso estudo. Portanto:
Ferramentas automatizadas de procura por vulnerabilidades
são utilizadas para varrer um grupo de computadores ou uma
rede em busca de serviços reconhecidamente vulneráveis.
(ISO 27005)
(ISO 27005)
Atenção
Nem todas as vulnerabilidades encontradas podem ser realmente aceitas como uma fragilidade dos sistemas ou redes, pois
todas devem ser avaliadas ou analisadas no ambiente em que o ativo está inserido e se elas realmente apresentam risco de
serem exploradas. Esse assunto ainda será tratado na próxima aula na veri�cação dos resultados do teste de vulnerabilidades.
Por exemplo, algumas dessas ferramentas de varredura avaliam as vulnerabilidades potenciais sem levar em consideração o
ambiente da instalação e os seus requisitos.
Caso uma vulnerabilidade não seja avaliada como real, isso pode ser considerado um falso positivo e que não traz risco para o
ativo em que foi encontrada, não necessitando a remediação, porém constando do relatório para evitar o retrabalho nas
próximas varreduras. Com base nisso, também é importante documentar tudo que acontecer durante o teste de
vulnerabilidades e suas decisões, tendo em vista a geração dos relatórios.
Comentário
Além dos testes automatizados, como recomendação prática, em sua organização, o work�ow previsto também pode cobrir
testes manuais combinados (Pentestes ou testes de intrusão) com as ferramentas automatizadas, porém não nos ateremos a
esse item, pois não é o foco da nossa disciplina.
A equipe que vai realizar os testes de vulnerabilidades e
veri�cação dos resultados deve conhecer de forma
aprofundada as estruturas dos sistemas e redes que foram
de�nidas no escopo. Isso é fundamental, pois ao �nal da
varredura serão gerados relatórios da ferramenta com
inúmeras informações para serem analisadas, sendo que
uma interpretação errada pode colocar em risco a qualidade
do teste.
 Fonte: Adaptado do autor.
En�m, a veri�cação automatizada de vulnerabilidades é uma atividade imprescindível em um processo de gerenciamento de
vulnerabilidades e a utilização de ferramentas para isso é uma necessidade real. Essas ferramentas existentes podem oferecer
uma série de funcionalidades e con�gurações para sua aplicabilidade em uma rede ou sistema. Portanto, veremos algumas
dessas, as quais foram consideradas as mais importantes para o andamento de nossos estudos e baseadas na experiência de
pro�ssionais que trabalham diretamente com essa atividade.
As principais ferramentas para escaneamento de vulnerabilidades
Os scanners de vulnerabilidades existentes são dos mais diversos tipos e, para utilizá-los em uma organização, poderemos
levar alguns fatores em consideração durante o processo de escolha dos que melhor se adequam ao contexto de cada
instituição.
Recursos e ferramentas
Primeiramente, é preciso saber se há recursos para investir em uma ferramenta proprietária, pois, se não for o caso, existem
ferramentas open source que podem se adequar aos testes de veri�cação de vulnerabilidades, combinando ferramentas com
algumas limitações, mas que podem atender ao objetivo proposto.
Nenhuma ferramenta automatizada existente pode veri�car um sistema ou
rede e apontar 100% das vulnerabilidades, como já vimos antes. Portanto,
combinar outras técnicas pode ser interessante durante a implementação de
um gerenciamento de vulnerabilidades. Podemos lembrar do que foi dito
sobre as vulnerabilidades TOP 10 do OWASP, elas não são as mais
complexas existentes, mas são portas para outras que podem causar sérios
danos aos ativos.
1
As ferramentas de veri�cação de vulnerabilidades podem atender a diversas características de redes e sistemas de uma
organização, como, por exemplo, elas podem varrer apenas servidores que não possuam aplicações web e outras
podem varrer somente aplicações web. Outra ferramenta pode fazer ambas as veri�cações, mas só pode ser aplicada a
servidores com o sistema Windows. Portanto, saber qual(is) ferramenta(s) devemos utilizar se torna essencial para a
e�cácia da varredura dos sistemas e redes de uma instituição. 
2
Essa otimização também deve levar em conta os tipos de scanners de vulnerabilidades, os quais podem ser
autenticados ou não autenticados. Os autenticados (ativos) podem realizar um teste mais aprofundado, pois será
realizado de dentro da rede e com autenticação, ou seja, �ca mais fácil realizar testes já fazendo parte da rede ou
aplicação. Os testes não autenticados(passivos) são realizados sem autenticação e realizados de fora pra dentro da
rede, por exemplo, em uma aplicação web sem estar autenticado nessa aplicação. O ideal é que a ferramenta escolhida
permita os dois tipos.
Protocolo SCAP
As diversas ferramentas do mercado podem fazer uso do protocolo SCAP (Protocolo de automação de conteúdo de
segurança) para interagir entre suas equipes e compartilhar informações valiosas sobre vulnerabilidades existentes por meio
de uma linguagem comum para todos e com a devida taxonomia dos dados.
O SCAP faz uso de diversos identi�cadores, tais como [DYOGENES, 2017]:
 Fonte: O autor.
Além disso, oSCAP poderá fazer uso de outros componentes que são padrões de mercado, tais como:
 Fonte: O autor.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
En�m, veremos as ferramentas propriamente ditas, nas quais o nosso estudo vai procurar mostrar ao aluno não só a
apresentação, mas também diversos pontos que podem ser usados para a tomada de decisão no processo de escolha de qual
se amolda melhor ao contexto da organização da qual faz, ou fará, parte.
Comentário
A instalação, con�gurações e escaneamento, e suas atividades práticas, com as ferramentas que escolhermos, dentre as
apresentadas a seguir, serão detalhadas na próxima aula, quandoteremosa oportunidade de realizar uma veri�cação de
vulnerabilidades básica.
Ferramentas de escaneamento
Veja a seguir algumas ferramentas de escaneamento.
• OpenVAS
É um scanner de vulnerabilidades para redes e sistemas que é muito utilizado por pro�ssionais da área de segurança
cibernética e da informação. Embora seja open source, e isso pode causar uma certa dúvida na sua e�cácia, essa
ferramenta é bastante conhecida no universo hacker ético, pois já fez parte do sistema Kali Linux, o qual é um sistema
próprio para penteste e veri�cação de vulnerabilidades.
Veja algumas características dessa ferramenta.
1
Possui um banco de dados de vulnerabilidades bastante extenso e que é atualizado frequentemente, por isso é
importante ressaltar essa funcionalidade que faz a diferença na hora do escaneamento em que checaremos as
vulnerabilidades conhecidas.
2
A sua usabilidade é simples, basta inserir os IPs (Internet Protocol) do alvo ou ativo que desejamos veri�car, claro que
com algumas con�gurações básicas que veremos na próxima aula, e aguardar os resultados da varredura, a qual coleta
informações sobre as portas com serviços disponíveis ou operativos, con�gurações inapropriadas, e todas as
vulnerabilidades conhecidas que ainda serão validadas por meio da sua veri�cação e testagem para checar se é um
falso positivo.
3
Possui diversas funcionalidades como a possibilidade de utilizar para varreduras periódicas ou contínuas, trazendo uma
série de alertas que podem facilitar a tomada de decisão rápida, dependendo do nível de criticidade dessa
vulnerabilidade.
4
Pode ser usado de forma autenticada e não autenticada, o que é importante para fazer um escaneamento mais
aprofundado ou não, dependendo do tempo que se precisa para realizar essa tarefa.Gerando, assim, relatórios bastante
importantes sobre cada vulnerabilidade, sua classi�cação e a possibilidade de sugestão de correções ou mitigações
para o sistema que foi escaneado.
5
Uma característica importante do OpenVas é que o seu escaneamento é em tempo real e suporta vários ativos
simultaneamente, além de possuir o protocolo SSL de criptogra�a, o qual aumenta a sua segurança no tráfego de dados,
evitando a exposição de informações importantes das vulnerabilidades da organização.
6
Uma de suas limitações é só poder ser instalado em plataforma Linux, porém a sua usabilidade é multiplataformas, ou
seja, podemos escanear tanto servidores Linux quanto Windows.
7
Pode ser usado para protocolos industriais, ou seja, para infraestruturas críticas que utilizam sistemas industriais,
proporcionando uma ótima amplitude para varredura no espaço cibernético atual.
Essa ferramenta possui, nos seus bastidores de desenvolvimento, uma comunidade com diversos especialistas em
escaneamento de vulnerabilidades que empenham grande esforço para atualizações frequentes. Um desses serviços de
atualização é chamado de Plugin ou NVT (Network Vulnerability Tests), isso é, são procedimentos-padrão de testes de
vulnerabilidades conhecidos ou potenciais nos diversos sistemas existentes.
Esses plugins podem ser con�gurados conforme a necessidade de cada escopo de uma organização. Isso tudo com a
�nalidade de otimizar a usabilidade da ferramenta e não testar uma in�nidade de plugins que não interessam à organização, o
que levaria muito mais tempo na varredura. A atualização dessas NVT pode ser feita de forma automatizada e sincronizada
para realização dos testes.
O dashboard do OpenVas possui algumas informações sobre as NVTs e CVEs e a sua criticidade ou severidade. Ver Figura 1.
Figura 1 – Dashboard do OpenVas
 Fonte: OpenVas.
Comentário
Para avançarmos nos estudos, utilizaremos o OpenVas juntamente com o sistema Kali Linux em uma máquina virtual instalada
no VirtualBox, portanto, são necessários esses pré-requisitos para a próxima aula, a qual será bastante prática e terá a instalação
do OpenVas e a execução do escaneamento em um servidor de rede com várias vulnerabilidades. Por isso, indicamos instalar o
VirtualBox e o Kali Linux.
Deixaremos ao �nal desta aula na seção Explore+ uma sugestão de vídeo para instalação do Kali Linux no virtualBox.
• OWASP ZAP
Como já vimos anteriormente, existe o projeto OWASP TOP 10, que possui diversas vulnerabilidades que podem ser exploradas.
A ferramenta OWASP ZAP (Zed Attack Proxy) foi criada para facilitar a identi�cação dessas vulnerabilidades em um servidor
com aplicação web.
Essa ferramenta também é Open Source e pode ser instalada tanto no Linux como no Windows e no OSX. A documentação é
excelente e explica muito bem como realizar a instalação a partir de diversos tutoriais. [Aviso] utilizaremos o OWASP ZAP na
próxima aula com o sistema Kali Linux que já possui essa ferramenta de escaneamento instalada por padrão.
Comentário
Utilizaremos o OWASP ZAP na próxima aula com o sistema Kali Linux que já possui essa ferramenta de escaneamento instalada
por padrão.
Veja algumas características dessa ferramenta.
1
O escaneamento pode ser autenticado ou não autenticado e,
ao �nal do escaneamento, são gerados relatórios em HTML,
XML ou texto puro.
2
utiliza plugins, assim como o OpenVas, e pode ser um
complemento desse, pois o OpenVas não realiza
escaneamento em aplicações web.
3
É de fácil manuseio para o usuário, seja ele especialista ou não
em segurança cibernética. Além disso, podem ser realizados
testes automatizados.
Atenção
Não utilize o OWASP ZAP em servidores web sem autorização. Para as nossas aulas utilizaremos máquinas virtuais que serão
instaladas no Kali Linux.
Assim como o OpenVas, uma comunidade extremamente dedicada ao projeto realiza atualizações constantes para melhorar
as suas funcionalidades e banco de dados de vulnerabilidades. Como forma ilustrativa inicial, podemos ver na Figura 2 a tela
inicial do OWASP ZAP e na Figura 3 um relatório gerado.
Figura 2 – Tela inicial do OWASP ZAP
 Fonte: OpenZap.
Figura 3 – Relatório OWASP ZAP
 Fonte: OpenZap.
Assim como o OpenVas, uma comunidade extremamente dedicada ao projeto realiza atualizações constantes para melhorar
as suas funcionalidades e banco de dados de vulnerabilidades. Como forma ilustrativa inicial, podemos ver na Figura 2 a tela
inicial do OWASP ZAP e na Figura 3 um relatório gerado.
• Nessus
É uma das mais completas ferramentas de veri�cação de vulnerabilidades que existe, com uma quantidade imensa de
plugins e atualizações constantes de seu banco de dados e pode ser utilizado para escaneamento em várias
plataformas, inclusive Mac OSX.
Veja algumas características da ferramenta Nessus.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
1
Diferentemente do OpenVas, o Nessus faz uma varredura de portas inicialmente nos sistemas à procura de serviços
ativos, utilizando para isso ferramentas muito importantes, como NMAP, e integrando-as a outros tipos de varredura. Ele
pode realizar escaneamento em aplicações web, além dos sistemas das redes interna e externa.
2
A versão free do Nessus é muito limitada e não atende aos interesses da varredura proposta para nossa aula, portanto,
não a utilizaremos para os testes práticos. Outra característica do Nessus é o tráfego entre o cliente e o servidor que
também é criptografado e o escaneamento pode ser realizado na forma passiva ou ativa, sendo similar ao OpenVasnesse ponto.
3
Outro diferencial do Nessus é a exportação de relatórios em diversos formatos, sendo que até no formato LaTeXé
possível ter os relatórios após o escaneamento. Uma observação é que o Nessus possui uma quantidade muito pequena
de falsos positivos nas suas varreduras e isso se deve ao seu imenso banco de dados atualizado frequentemente com
novas vulnerabilidades que surgem a cada instante.
4
Assim como o OpenVas, o Nessus possui plugins para escolher em suas varreduras e otimizar a ferramenta, evitando
usar vulnerabilidades que não são indicadas para os ativos que desejamos escanear. Os plugins são redigidos de uma
forma muto objetiva e inteligível para os diversos tipos de usuários.
5
Os Plugins do Nessus são chamados de NASL (Nessus Attack Scripting Language), os quais são usados para
veri�cações de vulnerabilidades. Os NASL são utilizados um para cada tipo de vulnerabilidade, ou seja, divididos por
famílias e facilitando o escaneamento. Também é possível criar plugins customizados especi�camente para o contexto
dos ativos de informação de cada organização.
Em suma, o Nessus, embora seja uma solução proprietária, é uma das mais importantes ferramentas de veri�cação de
vulnerabilidades e é um caso a ser analisado para aquisição por uma organização, pois o custo benefício é compensador em
relação a um possível incidente nos ativos da informação.
A seguir, a tela inicial com o Dashboard do Nessus na Figura 4:
Figura 4 – Dashboard do Nessus
 Fonte: Nessus.
Conclusão
Conhecer as principais ferramentas de veri�cação de vulnerabilidades é imprescindível para a implementação do processo de
gestão de vulnerabilidades. Com foco nisso, abordaremos de forma prática o OpenVas e o OWASP ZAP na próxima aula, na
qualveremos a execução do teste e suas características.
Atividade
1. A de�nição do escopo de uma varredura de vulnerabilidades é fundamental no processo de gestão de vulnerabilidades e faz
parte de sua fase de preparação. Com base nisso, existem pré-requisitos essenciais para de�nirmos o escopo da veri�cação de
vulnerabilidades.Nesse sentido, selecione a única opção CORRETA que indicaesses pré-requisitos:
a) Gestão de riscos e plano de segurança da informação.
b) Análise de vulnerabilidades e inventário computacional.
c) Classificação dos bens e gestão de riscos.
d) Inventário de ativos e classificação dos dados.
e) Ciclo de vida dos dados e inventário de bens.
2. Um teste de vulnerabilidades pode ser ativo ou passivo. Selecione a única opção CORRETA que de�ne o que representa um
teste de vulnerabilidade passivo:
a) Aquele que pode ser feito a partir de ativos que não possuem IPs públicos.
b) O que verifica vulnerabilidades em uma aplicação web já autenticadano servidor.
c) Aquele que pode encontrar uma vulnerabilidade e não estava previsto no agendamento de escaneamento.
d) Aquele que é feito por uma empresa terceirizada.
e) Aquele que verifica vulnerabilidades em uma aplicação web sem ser autenticado.
3. Na fase de veri�cação de vulnerabilidades ou varredura são realizados escaneamentos automatizados para encontrar falhas
nos sistemas e redes. Uma atividade que envolve trabalho manual e que busca encontrar e explorar vulnerabilidades nos sistemas
e redes pode também ser utilizada além desses testes de vulnerabilidades automatizados. Nesse sentido, selecione a única
opção CORRETA que indica essa atividade:
a) Análise crítica de código.
b) Análise de vulnerabilidades.
c) Gestão de riscos.
d) Pentestes.
e) Análise de risco.
Notas
nível de criticidade1
O nível de criticidade pode estar diretamente relacionado com os ativos que contêm dados classi�cados e isso vai contribuir
para sabermos por onde começar a remediação dessas vulnerabilidades mais críticas e a frequência com que serão realizados
escaneamentos, por exemplo.
Referências
[DYOGENES, Y.:  Certi�cação de analista em segurança cibernética CSA + guia preparatório para o exame COMPTIA
CS0-001. Rio de Janeiro: Novaterra, 2017.
CIS CONTROLS 2020. Disponível em: https://www.cisecurity.org/controls/. Acesso em: 31/08/2020
Próxima aula
Na próxima aula, daremos continuidade aos estudos vistos aqui, abordando os seguintes conteúdos: 
• Executar testes de vulnerabilidades; e 
• De�nir o processo de veri�cação dos resultados dos testes de vulnerabilidades.
javascript:void(0);
javascript:void(0);
Leia:
• Lista de Scanners de Vulnerabilidades e suas características
• Instalação do Kali Linux no VBox
javascript:void(0);
javascript:void(0);
javascript:void(0);
javascript:void(0);