Entendendo um pouco mais sobre segurança.

Com a chegada dos computadores pessoais e das redes de computadores que se conectam ao mundo inteiro, os aspectos de segurança atingiram tamanha complexidade que há a necessidade do desenvolvimento de equipes cada vez mais especializadas para sua implementação e gerência. Paralelamente, os sistemas de informação também adquiriram uma importância vital para a sobrevivência da maioria das organizações modernas, já que, sem computadores e redes de comunicação, a prestação de serviços com qualidade pode se tornar inviável.
Logo depois que os usuários começaram a utilizar intensamente os ambientes de computação em rede para aprimorar sua capacidade de criar, armazenar, comunicar e usar informações, a preocupação em relação à proteção destes contra o acesso não autorizado e possível destruição cresceu de forma acentuada. Como ocorreu na evolução de vários outros produtos, a indústria de segurança de rede inicialmente concentrou seus esforços em proteger os pontos fracos mais óbvios, partindo, em seguida, para identificar outras áreas vulneráveis que necessitavam de atenção.
A variedade e a complexidade das redes levaram ao desenvolvimento de mecanismos mais sofisticados para identificar áreas vulneráveis que exigiam atenção constante. Diante da nova situação surgiu uma nova categoria de produtos que consistia em sistemas de “verificação e teste”. Estes produtos tinham como principal objetivo identificar pontos fracos na rede através da aplicação de uma variedade de cenários de invasão.
Em um primeiro momento, o conceito de verificação e teste surgiu em produtos direcionados ao mercado de invasores potenciais e, por fim, deram origem a vários produtos comerciais. O principal objetivo da verificação era identificar o maior número possível de vulnerabilidades no sistema, simulando invasões em vários pontos diferentes. Embora a maioria dos produtos comerciais de verificação fizessem um trabalho confiável de identificação das vulnerabilidades e das medidas de segurança que podiam ser utilizadas para solucioná-las, seus mecanismos de classificação não iam muito além de graduações relativamente grosseiras, como o tradicional sistema de prioridades: Alta, Média e Baixa. Para oferecer suporte à decisão, estes sistemas de segunda geração também raramente incluíam recursos para simular diferentes cenários de proteção e/ou realizar uma análise de custo/benefício das medidas de segurança propostas.