Com o crescimento das operações em cloud computing, os pentestes (testes de penetração) ganharam importância nas estratégias de proteção de dados das corporações, para detectar intrusões em um ambiente cada vez mais veloz, escalável e descentralizado. Estudos da consultoria internacional Gartner apontam que, até 2025, mais da metade dos gastos corporativos de TI estarão na nuvem, exigindo novos skills de especialização dos times de cibersegurança.
Essa evolução no modelo de armazenamento e transmissão de dados oferece mais mobilidade e performance no uso de aplicações conectadas, proporcionando melhores experiências ao usuário. No entanto, controlar a integridade dessas informações e garantir que não caiam em mãos erradas é uma tarefa que desafia os profissionais mais preparados.
As regras e regulamentações para a realização de pentestes variam de acordo com o país (no Brasil, por exemplo, estamos submetidos à LGPD – Lei Geral de Proteção de Dados) e entre os diversos setores da economia. Além disso, as regras para esse tipo de teste são diferentes para cada provedor de serviços de nuvem (cloud service provider – CSP), num mercado que inclui gigantes como AWS (Amazon), Azure (Microsoft) e Google (empresas que dominam mais de 65% do mercado mundial, segundo dados do Synergy Research Group).
Isso significa que a maioria dos CSPs têm políticas internas próprias, baseadas nas arquiteturas e tecnologias utilizadas. E, como profissional de cibersegurança, posso afirmar que conhecer as políticas de segurança e as diretrizes de diferentes CSPs é o caminho para o sucesso de um teste de intrusão.
Definição clara do escopo de trabalho
Na prática, o penteste é um procedimento utilizado para identificar vulnerabilidades em um sistema ou rede de computadores por meio da simulação de ataques cibernéticos capazes de antecipar riscos, prevenir invasões e gerar relatórios com recomendações para mitigação dos problemas.
O primeiro passo antes de se realizar o teste de penetração é definir claramente o escopo, identificando os ativos e serviços autorizados e quais devem ser excluídos do procedimento. Outro aspecto fundamental é conhecer – e dominar – as ferramentas e processos específicos, bem como as possíveis restrições de cada provedor para testes de penetração.
Especialização e atualização
Num cenário dinâmico e em rápida evolução, acelerado pelo 5G e pela computação de borda, os CSPs precisam constantemente atualizar sistemas e aprimorar suas políticas de segurança para enfrentar as ameaças que se modernizam na mesma proporção e velocidade. A mesma regra vale para os pentestes na nuvem que tendem a mudar à medida em que novas tecnologias são adotadas e melhores práticas de segurança são desenvolvidas.
É por isso que reforço a importância de se contar com especialistas em segurança cibernética alinhados com esse movimento tecnológico. Vale acrescentar que a ética e a integridade são valores essenciais para profissionais de pentestes, já que lidam com dados sensíveis, têm acesso a sistemas críticos e precisam garantir a proteção dos dados sem impactar na continuidade da operação.
Alexandre Armellini, gerente de Red Team da Cipher.
