De acordo a consultoria Gartner, os gastos mundiais com segurança cibernética e gerenciamento de riscos devem atingir US$ 215 bilhões em 2024. Um importante aumento de 14,3% em relação a 2023, quando os gastos estimados eram de US$ 188,1 bilhões. Ainda, a consultoria IDC espera um crescimento de 12% de ataques cibernéticos no mercado de TI em 2024, indicando uma tendência ascendente na frequência e complexidade dos ataques.
Uma forma de garantir uma avaliação de segurança eficaz numa organização é implementar as defesas diante das mesmas técnicas e procedimentos utilizados pelos atacantes no mundo real, por meio de exercícios simulados. O teste de invasão (ou pentest) é um exercício de segurança ofensiva em que um especialista tenta encontrar e explorar vulnerabilidades em sistemas computacionais. É a segurança cibernética na prática.
Os analistas que avaliam os sistemas de uma organização devem ser curiosos e criativos. Pensar como os cibercriminosos, ter a capacidade de encontrar vulnerabilidades desconhecidas (também chamadas de "Zero Day"), além da necessidade de terem um aguçado faro por parte dos pesquisadores, faz com que estes necessitem de uma alta capacidade técnica, trabalhando sempre com uma cultura de alto desempenho.
Quando o pentest deixa de ser uma ferramenta apenas para cumprir uma norma ou requisito regulatório, ele pode auxiliar a dar a real visibilidade da superfície de ataque, identificação das brechas em nossas defesas e auxilia fechando os caminhos para os atacantes, tudo isto de forma coerente com o apetite ao risco do negócio. A segurança ofensiva deve sempre atuar de forma antecipada e ética, entregando insights operacionais do que está realmente funcionando ou não, auxiliando na definição de prioridades e contribuindo para os ajustes necessários, de maneira coesa e assertiva.
Em um mundo de alta complexidade, como multicloud por exemplo, o trabalho pode ser executado de qualquer lugar e uma variedade de ferramentas de software são utilizadas. O pentest ajuda a definir o que realmente é importante, auxiliando no entendimento desde vulnerabilidades mais simples, que possuem uma correção disponível, até vulnerabilidades desconhecidas, sem correção, que podem paralisar um negócio caso não seja identificada e corrigida. Somente por meio de exercícios de intrusão podemos atestar que a teoria está funcionando na prática.
Desta forma, o que começou como um ajuste na segurança cibernética pode auxiliar na transformação da cultura de segurança cibernética de uma empresa. A cibersegurança, por meio do pentest, deve estar no centro do negócio e balizar as estratégias das companhias. É importante salientar que atualmente, mesmo os usuários finais já possuem uma conscientização e cuidados em relação à segurança cibernética, estando mais familiarizados com tentativas de roubo de dados ou de identidade.
Tornar a segurança cibernética um hábito preventivo é uma necessidade e assim como fazemos exercícios de treinamento em caso de incêndio ou projeção de riscos de mercado, precisamos treinar nossas defesas com testes práticos de invasão.
Rodolfo Almeida, COO da ViperX.