Avaliação de Comprometimento: Quando Procurar por Comprometimento e Como Não Fazer Estragos
Este artigo explora a importância da Avaliação de Comprometimento (CA) na cibersegurança, diferenciando-a de testes de penetração e destacando situações críticas que exigem essa avaliação. O texto também oferece dicas sobre como se preparar para uma CA e o que fazer com os resultados para evitar futuras invasões.
MundiX News·19 de maio de 2026·10 min de leitura·👁 9 views
32K+
Alcance em 30 dias
Solar
72,88
Classificação
76.103
Assinantes
Assinar
SolarSecurity
Há 9 minutos
Avaliação de Comprometimento: Quando Procurar por Comprometimento e Como Não Fazer Estragos
Simples
7 min
5
Blog da Empresa Solar
Segurança da Informação
*
Tutorial
Não existe proteção 100%: um invasor que se propõe a isso e é experiente o suficiente encontrará uma brecha. Você pode viver com um hacker na rede por anos e não suspeitar disso, especialmente se a empresa não tiver uma defesa em camadas em todos os segmentos da rede. O risco de comprometimento aumenta se funcionários com acesso privilegiado à infraestrutura saíram recentemente ou se você adquiriu uma nova empresa (juntou-se à sua rede ou está prestes a fazê-lo).
A única maneira de saber se alguém está na sua rede agora é por meio de uma Avaliação de Comprometimento (CA), ou avaliação de comprometimento. Para sua infraestrutura, é o mesmo que um exame preventivo no dentista. Aquele caso em que você não espera uma dor aguda para verificar se a cárie começou. No entanto, a CA não cura nem coloca obturações, mas mostra honestamente quem já se estabeleceu em sua rede e há quanto tempo. Falando francamente, a CA coleta artefatos e procura por vestígios de presença - aqueles que, por exemplo, EDR e SIEM não veem. E essa verificação também mostrará se os invasores já estiveram em sua infraestrutura antes e se conseguiram apagar seus rastros. Além disso, a Avaliação de Comprometimento é geralmente realizada pelos mesmos métodos, tecnologias e pessoas que são usadas em investigações e respostas a incidentes em larga escala.
Neste artigo, analisaremos em quais situações a Avaliação de Comprometimento é necessária, como ela difere do teste de penetração usual, como se preparar adequadamente para a verificação e o que fazer com seus resultados para evitar uma nova invasão.
Cinco sinais de alerta: quando a CA é necessária
O principal marcador para a realização da CA é a ausência ou perda de controle sobre o estado da infraestrutura ou parte dela. Em outras palavras, quando não há certeza de que não há "estranhos" dentro dela agora. Vamos considerar cinco situações típicas em que a verificação de comprometimento de "bem, talvez faça" se transforma em "vamos lá!"
Fornecedores ou funcionários com acesso privilegiado foram alterados.
Pessoas que conheciam a infraestrutura em detalhes saíram. Se fosse um fornecedor externo, ele poderia ter contas, túneis de acesso ou suas próprias ferramentas de administração que você não conhece. Se um administrador interno saiu, então a mesma história: os novos especialistas veem os serviços funcionando, mas o que está dentro e quem tem acesso - é desconhecido. Além disso, a Avaliação de Comprometimento é uma oportunidade para a empresa realizar uma auditoria, que geralmente é necessária antes do início do processo: destacar contas ativas, pontos de acesso remoto, processos ocultos e vestígios de possível comprometimento. Na prática, esta é uma auditoria da infraestrutura herdada, que permite entender com o que trabalhar a seguir.
Fusões e aquisições (M&A).
Você está conectando a infraestrutura de outra pessoa à sua rede com toda a sua história. Se os invasores já estiverem estabelecidos lá, eles provavelmente terão acesso aos seus sistemas. Detectar isso a posteriori é extremamente difícil. Portanto, a CA antes da integração é um item altamente desejável.
"Zonas cegas" de monitoramento.
Se parte da infraestrutura não for monitorada, você não verá o que está acontecendo lá. A CA não substituirá o monitoramento constante, mas mostrará: os atacantes estiveram nesta "zona cega" nos últimos 6 a 12 meses (e às vezes muito mais) - e se eles estão lá agora.
Antes de implementar SIEM ou EDR.
Conectar um sistema de monitoramento a uma rede já comprometida é uma má ideia. Você corre o risco de legalizar a presença de invasores, inserindo sua atividade no perfil "normal". A Avaliação de Comprometimento fornece uma seção inicial da qual você pode começar.
Sintomas suspeitos sem uma razão clara.
Contas estranhas, atividade de rede anormal, processos inexplicáveis na memória - nem sempre é um sinal de comprometimento. Mas se você não consegue explicar o que está acontecendo por meio de atividades legítimas (atualizações, migrações, trabalho de fornecedores) - não adivinhe. Chame os especialistas. Cada dia de atraso pode resultar na perda de artefatos durante o ataque.
Escolha incorreta de sistemas para verificação.
Às vezes, o cliente quer verificar apenas o que considera importante - por exemplo, um servidor ou DMZ. Mas isso nem sempre aumenta a segurança real. Recomendamos determinar os sistemas críticos para os negócios, levar em consideração seus sistemas operacionais e oferecer um plano que seja racional em termos de custos de mão de obra e eficaz em termos de profundidade de verificação.
CA vs. teste de penetração: por que um não substitui o outro
Frequentemente, as empresas que já realizam testes de penetração acreditam que controlam totalmente sua infraestrutura. Este é um engano perigoso. O teste de penetração mostra onde um invasor pode entrar hoje. A Avaliação de Comprometimento responde à pergunta se ele entrou na infraestrutura ontem. Estas são tarefas fundamentalmente diferentes. Os testadores de penetração procuram vulnerabilidades: serviços não corrigidos, senhas fracas, erros de configuração. Eles modelam um ataque de fora ou uma maneira de entrar ou se mover na infraestrutura. Os especialistas em CA procuram vestígios de comprometimento que já ocorreram - mesmo que tenham ocorrido há vários anos.
Texto oculto
Em um de nossos casos, um teste de penetração revelou uma maneira de entrar por meio de uma vulnerabilidade de serviço da web. E a CA detectou um grupo APT que estava na infraestrutura por três anos, usou credenciais legítimas e deixou artefatos apenas em variáveis de ambiente e arquivos temporários - locais onde os testadores de penetração nem sequer olham.
Não cause danos: como se preparar para uma Avaliação de Comprometimento
A preparação para a Avaliação de Comprometimento começa antes da chegada dos especialistas. Primeiro, você será solicitado a preencher um questionário: descrever a infraestrutura, os segmentos de rede, os métodos de acesso remoto e os serviços na DMZ. Prepare um mapa de rede com antecedência e designe um ou dois funcionários de TI que interagirão com a equipe da CA. Caso contrário, os prazos podem mudar, especialmente se o departamento de TI estiver ocupado com migração ou outras tarefas críticas.
A regra principal é não interferir. Não reinicie sistemas suspeitos, não os reinstale e não execute "outro antivírus" na esperança de limpar rapidamente a infraestrutura. Cada uma dessas ações destrói os artefatos pelos quais a cadeia de comprometimento pode ser restaurada. E não substitua os utilitários que a equipe da CA fornece por "similares da Internet" - isso quebra a coleta de dados e confunde a investigação.
Além disso, ao contrário do teste de penetração, a Avaliação de Comprometimento não tem um impacto ativo na infraestrutura - os especialistas apenas executam utilitários para coletar artefatos e analisam o que já existe. Todo o trabalho é realizado sob um NDA, e os especialistas não coletam documentos ou bancos de dados - apenas vestígios técnicos de comprometimento.
Amadorismo interfere: como lidar com o relatório da CA
Se a CA confirmou o comprometimento, o principal é não parar no relatório. Nossa prática mostra que 80% das reinfecções ocorrem precisamente porque as recomendações dos especialistas não são cumpridas. Não basta apenas remover o malware - você precisa limpar todos os artefatos (inclusive por meio de regras YARA e verificação manual), atualizar sistemas vulneráveis (30% dos ataques direcionados em 2025 usaram T1190 - vulnerabilidades de serviços da web), revisar contas privilegiadas e fortalecer o controle sobre os fornecedores.
Texto oculto
Em 2023–2024, os especialistas da Solar 4RAYS
investigaram
um ataque do grupo asiático Obstinate Mogwai a uma operadora de telecomunicações. Os invasores entraram pelo ProxyLogon e, em seguida, usaram a vulnerabilidade ViewState para se fixar e executar comandos, e permaneceram despercebidos por cerca de um ano. Eles retornaram repetidamente à infraestrutura - mesmo após uma limpeza parcial.
Somente uma resposta completa ao ataque permitiu identificar todos os pontos de presença, restaurar a cadeia de comprometimento e finalmente expulsar os atacantes. Sem a CA, o cliente continuaria a tratar os sintomas, e não a causa.
Se a Avaliação de Comprometimento não revelou vestígios de comprometimento - sim, mostra que, por enquanto, tudo está bem, mas isso não é motivo para relaxar. O relatório mostrará algumas vulnerabilidades críticas que, cedo ou tarde, levarão a um incidente - e é melhor fechá-las antes que os hackers as usem contra você.
Observe que nem sempre é importante entender quem está por trás do ataque. Se for uma campanha em massa (mineradores, criptografadores), então esse conhecimento não é crítico - é importante fechar a vulnerabilidade. Mas se um grupo APT estiver por trás do ataque, entender o perfil do invasor ajuda a restaurar o vetor de entrada e evitar um retorno.
Especialmente quando os atacantes usam credenciais legítimas e permanecem despercebidos por anos.
Fornecedores - um caso especial
Atenção especial deve ser dada aos fornecedores. De acordo com o centro de pesquisa de ameaças cibernéticas Solar 4RAYS da GK "Solar", 24% dos ataques direcionados em 2025
foram cometidos
por meio de relacionamentos de confiança. Estruturas de terceiros geralmente têm acesso direto à sua infraestrutura - via RDP, VPN ou painéis administrativos - mas, ao mesmo tempo, não estão sob seu controle total. Se a rede do fornecedor for comprometida, os invasores receberão uma chave de "entrada" de todos os seus clientes.
Para se proteger:
Realize a Avaliação de Comprometimento com os principais fornecedores antes de conectá-los à sua rede;
Segmente seu acesso;
Inclua o monitoramento RDP/SSH de IPs externos;
Aplique LAPS + MFA sem SMS.
Texto oculto
Em 2025, os especialistas da Solar 4RAYS
investigaram
um incidente na infraestrutura de uma empresa russa e revelaram que os invasores estavam na rede de seu fornecedor de TI por mais de 10 meses. Usando acesso legítimo ao cluster PostgreSQL, os invasores penetraram livremente na infraestrutura do cliente e receberam dados de assinantes. A razão era que o fornecedor não foi verificado antes de se conectar à sua própria infraestrutura.
Cronograma da CA: uma vez por ano, uma vez por trimestre ou por segmentos
Se você já tem uma equipe de segurança da informação madura e monitoramento 24 horas por dia, 7 dias por semana, a CA regular pode ser redundante - você já vê a maior parte das atividades. Mas mesmo neste caso, o procedimento deve ser realizado nos gatilhos do primeiro ponto deste blog.
Em todos os outros casos, siga o seguinte esquema:
Empresas médias (até 250 funcionários e receita de até 2 bilhões de rublos por ano) - uma vez por ano com uma retrospectiva de 12 meses. Isso é suficiente para não perder vestígios de ataques não direcionados e notar atividade suspeita em tempo hábil.
Grandes organizações (250+ funcionários com receita superior a 2 bilhões de rublos) - por segmentos. Por exemplo, primeiro a DMZ, depois os clusters de serviços críticos, depois as estruturas subsidiárias. Nem sempre é racional verificar tudo de uma vez.
Instalações de infraestrutura crítica (KII) - trimestralmente. O preço do comprometimento perdido aqui é muito alto: as consequências podem incluir não apenas perdas financeiras e de reputação, mas também a paralisação da produção, ameaça à vida e à saúde das pessoas ou danos ambientais.
Após infecção confirmada - verificação repetida em 3 a 6 meses, independentemente do tamanho da empresa. Isso é necessário para garantir que os invasores não retornem por meio de possíveis lacunas deixadas.
Quanto à escolha da equipe: concentre-se não apenas no custo do serviço. Reputação, relatórios públicos, apresentações em conferências - marcadores de experiência real. Em licitações, empresas de um dia com preços de dumping às vezes vencem, mas a qualidade de seu trabalho pode reduzir o benefício da CA a zero.
Em vez de uma conclusão
Como observamos no início do artigo, a Avaliação de Comprometimento é semelhante a um exame preventivo no dentista. Nem sempre é agradável, mas necessário. É melhor saber a verdade agora do que remover urgentemente um nervo no meio da noite - quando os hackers já roubaram os dados, e você nem entendeu o que causou a dor. A avaliação de comprometimento não garante que você nunca será hackeado, mas responde à pergunta sobre o que está acontecendo no sistema aqui e agora ou aconteceu há algum tempo. E se você não controlar pelo menos parte da infraestrutura - a resposta pode surpreendê-lo.
Autor: Ivan Sukhin, chefe do grupo de investigação de incidentes do centro de pesquisa Solar 4RAYS da GK "Solar"
Tags:
segurança da informação
avaliação de comprometimento
comprometimento
teste de penetração
ciberataques
ciberataque
cibersegurança
Hubs:
Blog da Empresa Solar
Segurança da Informação
0
0
0
32K+
Alcance em 30 dias
Solar
Site
16K+
Alcance em 30 dias
33
Karma
@SolarSecurity
Usuário
Assinar
Comentar
Melhor do dia
Semelhante
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
32K+
Alcance em 30 dias
Solar
72,88
Classificação
76.103
Assinantes
Assinar
SolarSecurity
Há 9 minutos
Avaliação de Comprometimento: Quando Procurar por Comprometimento e Como Não Fazer Estragos
Simples
7 min
5
Blog da Empresa Solar
Segurança da Informação
*
Tutorial
Não existe proteção 100%: um invasor que se propõe a isso e é experiente o suficiente encontrará uma brecha. Você pode viver com um hacker na rede por anos e não suspeitar disso, especialmente se a empresa não tiver uma defesa em camadas em todos os segmentos da rede. O risco de comprometimento aumenta se funcionários com acesso privilegiado à infraestrutura saíram recentemente ou se você adquiriu uma nova empresa (juntou-se à sua rede ou está prestes a fazê-lo).
A única maneira de saber se alguém está na sua rede agora é por meio de uma Avaliação de Comprometimento (CA), ou avaliação de comprometimento. Para sua infraestrutura, é o mesmo que um exame preventivo no dentista. Aquele caso em que você não espera uma dor aguda para verificar se a cárie começou. No entanto, a CA não cura nem coloca obturações, mas mostra honestamente quem já se estabeleceu em sua rede e há quanto tempo. Falando francamente, a CA coleta artefatos e procura por vestígios de presença - aqueles que, por exemplo, EDR e SIEM não veem. E essa verificação também mostrará se os invasores já estiveram em sua infraestrutura antes e se conseguiram apagar seus rastros. Além disso, a Avaliação de Comprometimento é geralmente realizada pelos mesmos métodos, tecnologias e pessoas que são usadas em investigações e respostas a incidentes em larga escala.
Neste artigo, analisaremos em quais situações a Avaliação de Comprometimento é necessária, como ela difere do teste de penetração usual, como se preparar adequadamente para a verificação e o que fazer com seus resultados para evitar uma nova invasão.
Cinco sinais de alerta: quando a CA é necessária
O principal marcador para a realização da CA é a ausência ou perda de controle sobre o estado da infraestrutura ou parte dela. Em outras palavras, quando não há certeza de que não há "estranhos" dentro dela agora. Vamos considerar cinco situações típicas em que a verificação de comprometimento de "bem, talvez faça" se transforma em "vamos lá!"
Fornecedores ou funcionários com acesso privilegiado foram alterados.
Pessoas que conheciam a infraestrutura em detalhes saíram. Se fosse um fornecedor externo, ele poderia ter contas, túneis de acesso ou suas próprias ferramentas de administração que você não conhece. Se um administrador interno saiu, então a mesma história: os novos especialistas veem os serviços funcionando, mas o que está dentro e quem tem acesso - é desconhecido. Além disso, a Avaliação de Comprometimento é uma oportunidade para a empresa realizar uma auditoria, que geralmente é necessária antes do início do processo: destacar contas ativas, pontos de acesso remoto, processos ocultos e vestígios de possível comprometimento. Na prática, esta é uma auditoria da infraestrutura herdada, que permite entender com o que trabalhar a seguir.
Fusões e aquisições (M&A).
Você está conectando a infraestrutura de outra pessoa à sua rede com toda a sua história. Se os invasores já estiverem estabelecidos lá, eles provavelmente terão acesso aos seus sistemas. Detectar isso a posteriori é extremamente difícil. Portanto, a CA antes da integração é um item altamente desejável.
"Zonas cegas" de monitoramento.
Se parte da infraestrutura não for monitorada, você não verá o que está acontecendo lá. A CA não substituirá o monitoramento constante, mas mostrará: os atacantes estiveram nesta "zona cega" nos últimos 6 a 12 meses (e às vezes muito mais) - e se eles estão lá agora.
Antes de implementar SIEM ou EDR.
Conectar um sistema de monitoramento a uma rede já comprometida é uma má ideia. Você corre o risco de legalizar a presença de invasores, inserindo sua atividade no perfil "normal". A Avaliação de Comprometimento fornece uma seção inicial da qual você pode começar.
Sintomas suspeitos sem uma razão clara.
Contas estranhas, atividade de rede anormal, processos inexplicáveis na memória - nem sempre é um sinal de comprometimento. Mas se você não consegue explicar o que está acontecendo por meio de atividades legítimas (atualizações, migrações, trabalho de fornecedores) - não adivinhe. Chame os especialistas. Cada dia de atraso pode resultar na perda de artefatos durante o ataque.
Escolha incorreta de sistemas para verificação.
Às vezes, o cliente quer verificar apenas o que considera importante - por exemplo, um servidor ou DMZ. Mas isso nem sempre aumenta a segurança real. Recomendamos determinar os sistemas críticos para os negócios, levar em consideração seus sistemas operacionais e oferecer um plano que seja racional em termos de custos de mão de obra e eficaz em termos de profundidade de verificação.
CA vs. teste de penetração: por que um não substitui o outro
Frequentemente, as empresas que já realizam testes de penetração acreditam que controlam totalmente sua infraestrutura. Este é um engano perigoso. O teste de penetração mostra onde um invasor pode entrar hoje. A Avaliação de Comprometimento responde à pergunta se ele entrou na infraestrutura ontem. Estas são tarefas fundamentalmente diferentes. Os testadores de penetração procuram vulnerabilidades: serviços não corrigidos, senhas fracas, erros de configuração. Eles modelam um ataque de fora ou uma maneira de entrar ou se mover na infraestrutura. Os especialistas em CA procuram vestígios de comprometimento que já ocorreram - mesmo que tenham ocorrido há vários anos.
Texto oculto
Em um de nossos casos, um teste de penetração revelou uma maneira de entrar por meio de uma vulnerabilidade de serviço da web. E a CA detectou um grupo APT que estava na infraestrutura por três anos, usou credenciais legítimas e deixou artefatos apenas em variáveis de ambiente e arquivos temporários - locais onde os testadores de penetração nem sequer olham.
Não cause danos: como se preparar para uma Avaliação de Comprometimento
A preparação para a Avaliação de Comprometimento começa antes da chegada dos especialistas. Primeiro, você será solicitado a preencher um questionário: descrever a infraestrutura, os segmentos de rede, os métodos de acesso remoto e os serviços na DMZ. Prepare um mapa de rede com antecedência e designe um ou dois funcionários de TI que interagirão com a equipe da CA. Caso contrário, os prazos podem mudar, especialmente se o departamento de TI estiver ocupado com migração ou outras tarefas críticas.
A regra principal é não interferir. Não reinicie sistemas suspeitos, não os reinstale e não execute "outro antivírus" na esperança de limpar rapidamente a infraestrutura. Cada uma dessas ações destrói os artefatos pelos quais a cadeia de comprometimento pode ser restaurada. E não substitua os utilitários que a equipe da CA fornece por "similares da Internet" - isso quebra a coleta de dados e confunde a investigação.
Além disso, ao contrário do teste de penetração, a Avaliação de Comprometimento não tem um impacto ativo na infraestrutura - os especialistas apenas executam utilitários para coletar artefatos e analisam o que já existe. Todo o trabalho é realizado sob um NDA, e os especialistas não coletam documentos ou bancos de dados - apenas vestígios técnicos de comprometimento.
Amadorismo interfere: como lidar com o relatório da CA
Se a CA confirmou o comprometimento, o principal é não parar no relatório. Nossa prática mostra que 80% das reinfecções ocorrem precisamente porque as recomendações dos especialistas não são cumpridas. Não basta apenas remover o malware - você precisa limpar todos os artefatos (inclusive por meio de regras YARA e verificação manual), atualizar sistemas vulneráveis (30% dos ataques direcionados em 2025 usaram T1190 - vulnerabilidades de serviços da web), revisar contas privilegiadas e fortalecer o controle sobre os fornecedores.
Texto oculto
Em 2023–2024, os especialistas da Solar 4RAYS
investigaram
um ataque do grupo asiático Obstinate Mogwai a uma operadora de telecomunicações. Os invasores entraram pelo ProxyLogon e, em seguida, usaram a vulnerabilidade ViewState para se fixar e executar comandos, e permaneceram despercebidos por cerca de um ano. Eles retornaram repetidamente à infraestrutura - mesmo após uma limpeza parcial.
Somente uma resposta completa ao ataque permitiu identificar todos os pontos de presença, restaurar a cadeia de comprometimento e finalmente expulsar os atacantes. Sem a CA, o cliente continuaria a tratar os sintomas, e não a causa.
Se a Avaliação de Comprometimento não revelou vestígios de comprometimento - sim, mostra que, por enquanto, tudo está bem, mas isso não é motivo para relaxar. O relatório mostrará algumas vulnerabilidades críticas que, cedo ou tarde, levarão a um incidente - e é melhor fechá-las antes que os hackers as usem contra você.
Observe que nem sempre é importante entender quem está por trás do ataque. Se for uma campanha em massa (mineradores, criptografadores), então esse conhecimento não é crítico - é importante fechar a vulnerabilidade. Mas se um grupo APT estiver por trás do ataque, entender o perfil do invasor ajuda a restaurar o vetor de entrada e evitar um retorno.
Especialmente quando os atacantes usam credenciais legítimas e permanecem despercebidos por anos.
Fornecedores - um caso especial
Atenção especial deve ser dada aos fornecedores. De acordo com o centro de pesquisa de ameaças cibernéticas Solar 4RAYS da GK "Solar", 24% dos ataques direcionados em 2025
foram cometidos
por meio de relacionamentos de confiança. Estruturas de terceiros geralmente têm acesso direto à sua infraestrutura - via RDP, VPN ou painéis administrativos - mas, ao mesmo tempo, não estão sob seu controle total. Se a rede do fornecedor for comprometida, os invasores receberão uma chave de "entrada" de todos os seus clientes.
Para se proteger:
Realize a Avaliação de Comprometimento com os principais fornecedores antes de conectá-los à sua rede;
Segmente seu acesso;
Inclua o monitoramento RDP/SSH de IPs externos;
Aplique LAPS + MFA sem SMS.
Texto oculto
Em 2025, os especialistas da Solar 4RAYS
investigaram
um incidente na infraestrutura de uma empresa russa e revelaram que os invasores estavam na rede de seu fornecedor de TI por mais de 10 meses. Usando acesso legítimo ao cluster PostgreSQL, os invasores penetraram livremente na infraestrutura do cliente e receberam dados de assinantes. A razão era que o fornecedor não foi verificado antes de se conectar à sua própria infraestrutura.
Cronograma da CA: uma vez por ano, uma vez por trimestre ou por segmentos
Se você já tem uma equipe de segurança da informação madura e monitoramento 24 horas por dia, 7 dias por semana, a CA regular pode ser redundante - você já vê a maior parte das atividades. Mas mesmo neste caso, o procedimento deve ser realizado nos gatilhos do primeiro ponto deste blog.
Em todos os outros casos, siga o seguinte esquema:
Empresas médias (até 250 funcionários e receita de até 2 bilhões de rublos por ano) - uma vez por ano com uma retrospectiva de 12 meses. Isso é suficiente para não perder vestígios de ataques não direcionados e notar atividade suspeita em tempo hábil.
Grandes organizações (250+ funcionários com receita superior a 2 bilhões de rublos) - por segmentos. Por exemplo, primeiro a DMZ, depois os clusters de serviços críticos, depois as estruturas subsidiárias. Nem sempre é racional verificar tudo de uma vez.
Instalações de infraestrutura crítica (KII) - trimestralmente. O preço do comprometimento perdido aqui é muito alto: as consequências podem incluir não apenas perdas financeiras e de reputação, mas também a paralisação da produção, ameaça à vida e à saúde das pessoas ou danos ambientais.
Após infecção confirmada - verificação repetida em 3 a 6 meses, independentemente do tamanho da empresa. Isso é necessário para garantir que os invasores não retornem por meio de possíveis lacunas deixadas.
Quanto à escolha da equipe: concentre-se não apenas no custo do serviço. Reputação, relatórios públicos, apresentações em conferências - marcadores de experiência real. Em licitações, empresas de um dia com preços de dumping às vezes vencem, mas a qualidade de seu trabalho pode reduzir o benefício da CA a zero.
Em vez de uma conclusão
Como observamos no início do artigo, a Avaliação de Comprometimento é semelhante a um exame preventivo no dentista. Nem sempre é agradável, mas necessário. É melhor saber a verdade agora do que remover urgentemente um nervo no meio da noite - quando os hackers já roubaram os dados, e você nem entendeu o que causou a dor. A avaliação de comprometimento não garante que você nunca será hackeado, mas responde à pergunta sobre o que está acontecendo no sistema aqui e agora ou aconteceu há algum tempo. E se você não controlar pelo menos parte da infraestrutura - a resposta pode surpreendê-lo.
Autor: Ivan Sukhin, chefe do grupo de investigação de incidentes do centro de pesquisa Solar 4RAYS da GK "Solar"
Tags:
segurança da informação
avaliação de comprometimento
comprometimento
teste de penetração
ciberataques
ciberataque
cibersegurança
Hubs:
Blog da Empresa Solar
Segurança da Informação
0
0
0
32K+
Alcance em 30 dias
Solar
Site
16K+
Alcance em 30 dias
33
Karma
@SolarSecurity
Usuário
Assinar
Comentar
Melhor do dia
Semelhante
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
