Como qualquer outro assunto razoavelmente novo para os executivos leigos, a cibersegurança ainda é um terreno cheio de "pegadinhas".
Mas não é por isso que esses executivos devem se afastar do assunto. Na verdade, muito pelo contrário!
Não importa se você tem conhecimento técnico sobre segurança cibernética. Cedo ou tarde, terá que tomar uma decisão que envolve esse tema.
Portanto, o melhor a fazer é abraçar a novidade e aproveitar as oportunidades para aprender.
Hoje, vamos falar de uma das confusões mais comuns: a diferença entre um scan de vulnerabilidades e um teste de intrusão (o famoso pentest).
Vamos aos conceitos:
Scans de vulnerabilidade: São varreduras realizadas por ferramentas especializadas. Elas procuram por vulnerabilidades (ou brechas de segurança) previamente conhecidas, e que já foram exploradas por cibercriminosos.
Os scans de vulnerabilidades são capazes de identificar milhares de falhas de segurança cibernética como bugs em softwares, falta de patches em sistemas operacionais, serviços vulneráveis, configurações padrão inseguras, e vulnerabilidades de aplicações web.
Seus benefícios são: automação, praticidade, identificação rápida de falhas conhecidas no mercado e menor custo. Scans também não exigem grande capacidade técnica para serem executados.
No entanto, há desvantagens: produzem apenas uma "fotografia", não identificam vulnerabilidades novas, comumente apresentam falsos positivos, e não são adequados para sistemas críticos.
Testes manuais de intrusão (pentestes)
Os testes manuais de intrusão são executados por analistas de segurança (pentesters ou hackers éticos), treinados para explorar COM SEGURANÇA vulnerabilidades presentes em sistemas, serviços e aplicações de seus clientes.
Portanto, em um teste de intrusão, alvos são atacados com o intuito de checar se um cibercriminoso seria capaz de invadir a organização. Esses testes também revelam até onde um invasor conseguiria chegar e qual o estrago que ele poderia causar.
Os principais benefícios do pentest são: identificam vulnerabilidades que os scans não detectam, dão atenção especial às brechas mais críticas para cada organização, simulam o comportamento real de um cibercriminoso, geram relatórios completos apontando o passo a passo de cada invasão e as suas evidências, e estimulam o aumento da maturidade de segurança do cliente.
Por outro lado, as desvantagens também existem: o sucesso depende da habilidade do pentester, a cobertura dos testes é limitada pela atuação manual dos analistas, o trabalho leva mais tempo para ser concluído, também apresentam uma fotografia — embora mais nítida —, e seus custos são mais altos do que os de uma varredura automática.
Entenda bem o que a sua organização precisa
Tanto os scans de vulnerabilidades quanto os pentestes são soluções supervaliosas. Mas, como vimos acima, são coisas diferentes.
Eu já me cansei de ver empresas comprando scans achando que são pentestes. Fique atento.
Scans são (bem) mais baratos do que pentestes, mas, não se engane: o resultado de um penteste sempre será muito melhor para validar a sua segurança.
Como ambos trazem uma fotografia do seu ambiente de segurança, lembre-se que é preciso tratá-los como ações recorrentes, em especial se as suas aplicações recebem modificações frequentes.
Mas, antes de tudo, saiba distinguir o gato e a lebre!
Fernando Cosenza, PhD, é CEO da Resh Cyber Defense.