Levantamento feito pelo Instituto DARYUS de Ensino Superior Paulista – IDESP, escola de negócios referência em continuidade de negócios e cibersegurança, mostra que para 34% dos profissionais que executam pentest, o conhecimento técnico é o maior desafio na carreira, pois novas tecnologias surgem o tempo todo. Já para 28%, realizar apresentações dos resultados para os executivos é complexo e moroso, outros 22%, apontaram a falta de uma metodologia prática e eficiente para desenvolver as atividades mais técnicas, e para apenas 16%, escrever relatórios técnicos para o cliente de forma clara e objetiva é o desafio principal.
A carreira de pentester (penetration tester), testador de penetração/invasão, ou mais conhecido como "hacker do bem", tem como objetivo conduzir testes de segurança em infraestruturas tecnológicas, cibersegurança e softwares, para prevenir invasões, exposições de dados ou interrupções de negócio. O foco é identificar as vulnerabilidades técnicas e brechas que poderiam permitir à um hacker invadir, acessar, furtar ou interromper serviços tecnológicos que suportam o negócio. Equipes de gestão de segurança da informação ou de cibersegurança atualmente contam com alguns desses profissionais para poder diagnosticar, antecipar e apoiar na estratégia de proteção adequada.
Segundo a pesquisa, cerca de 38% dos profissionais levam mais de 20 horas, em média, para executar os testes primários de invasão. Para 27%, são necessárias mais de 60 horas para realização do trabalho. Os dados também revelam que quase a metade dos entrevistados não tem uma prática de recorrência para realizar pentests nas suas empresas e/ou clientes (44%), enquanto 28% dos profissionais realizam, ao menos, uma vez ao ano.
"Se não fazem este tipo de teste de forma cíclica e sistêmica como parte da gestão da segurança da informação, ou cibersegurança, as empresas perdem a oportunidade de identificar, classificar e tratar os riscos, ficando vulneráveis à ramsonware, ataques direcionados e alguns tipos de golpes e perdas", explica Jeferson D'Addario, Coordenador e professor no IDESP e CEO do Grupo DARYUS, consultoria especializada no tema.
A metodologia para condução das análises mais utilizadas pelos profissionais que participaram da pesquisa é o OWASP Testing Guide (55%). Esse padrão de testes aborda as principais vulnerabilidades que afetam aplicações web e orienta o profissional com uma listagem de ferramentas a serem utilizadas durante cada etapa do pentest. Ademais, o formato em checklist desse documento evita que o pentester esqueça de realizar alguma análise importante (como a busca pelas vulnerabilidades de SQL Injection ou XSS).
A pesquisa também identificou que maioria dos profissionais prefere realizar testes do tipo white-box (60%), onde são fornecidas informações detalhadas sobre a arquitetura e os ativos que serão avaliados. Diferentemente dos testes black-box e gray-box, os testes do tipo white-box costumam ser mais direcionados e com escopo bem definido. Em todos os casos a intenção é a mesma: identificar vulnerabilidades antecipadamente e corrigi-las antes que um atacante realize uma exploração bem-sucedida.
Por fim, para 37% dos profissionais o mais importante numa solução para pentest é a classificação das vulnerabilidades. 27% dizem que a gestão das atividades de mitigação é parte fundamental do trabalho e o alerta de novas vulnerabilidades ficou com 23%.
"Segundo (ISC)², o Brasil tem um déficit de 441 mil profissionais em cibersegurança. Com isso, o IDESP tem como missão contribuir para que esse número diminua com a formação de novos profissionais para o mercado de trabalho e já formou mais de 90 turmas de pós-graduação e MBA. A pesquisa realizada pela instituição tem como objetivo identificar o perfil dos profissionais para sermos mais assertivos também na hora da contratação. É fundamental entendemos as ferramentas e carga horária que eles necessitam para realização de um trabalho com excelência", finaliza D'Addario.
O levantamento foi realizado pelo IDESP em maio de 2022 e foi respondido por mais de 30 profissionais atuantes no mercado de trabalho.