Com o objetivo de acompanhar a evolução das tendências e do cibercrime e estar em conformidade com padrões e exigências da indústria, cada vez mais organizações estão buscando testes de invasão para avaliar sua infraestrutura técnica. No entanto, poucas sabem o que isso realmente significa, qual o seu propósito e qual o seu nível de eficiência.
Quando decidem contratar um teste de invasão, poucas empresas já conduziram alguma avaliação de segurança antes. Raramente essas organizações conhecem seus controles de segurança ou implementam algum escaneamento de vulnerabilidades regularmente, pois geralmente esperam que os testes de invasão façam isso, especialmente no caso das empresas de pequeno e médio e porte.
No entanto, não existe um teste de invasão que faça tudo isso, nem que sirva para todas as empresas e seus diferentes objetivos. Existem diversas modalidades de testes, entre as quais cada uma serve a um propósito, exige diferentes níveis de habilidade da equipe de pentest, e testa diferentes elementos da rede, usando diferentes metodologias.
Os pentests são tentativas de derrubar defesas e ganhar acesso aos ativos corporativos por meio da exploração de vulnerabilidades sem mitigação. Em suma, serve para testar a capacidade do hacker de penetrar na defesa do perímetro, ganhar acesso à rede interna e controlar elementos do ambiente de TI e, para isso, pode incluir também o escaneamento de vulnerabilidades e técnicas de engenharia social, mas essa é só uma parte das atividades de exploração.
No entanto, por mais completo que seja o escopo de um teste de invasão, antes de contratar, as empresas precisam ser capazes de responder algumas perguntas sobre sua maturidade em segurança da informação. Por exemplo, você sabe o que está conectado aos seus sistemas e redes o tempo todo?
Você está continuamente gerenciando seus sistemas com boas configurações? Você limita e rastreia as atividades de quem tem privilégios administrativos?
Ao responder essas perguntas, é possível determinar que tipo de teste de invasão a organização precisa e evitar alguns equívocos comuns como, por exemplo, achar que os resultados de um teste de invasão para o ambiente externo comprovam que a rede está completamente segura – é impossível afirmar isso sem testar outros elementos, como os do ambiente interno (que inclui as configurações de permissionamento do usuário, por exemplo).
A verdade é que a contratação de testes de invasão hoje é um desafio principalmente por causa da especificidade do escopo e das várias possibilidades de abordagem e metodologia, que acabam criando uma série de equívocos em relação às expectativas em termos de resultado.
Além disso, a busca por fornecedores ou parceiros com experiência comprovada e uma equipe multidisciplinar também desafia as empresas. Entender como gerir esse relacionamento pode ser o principal diferencial entre um erro caro e um trabalho bem executado. Por isso, é essencial que as empresas tenham um entendimento completo de todo o processo de trabalho com o fornecedor.
Mesmo que a empresa não tenha controles ou conte com um nível baixo de maturidade, os testes de invasão podem ajudar a dar visibilidade para aprovar projetos de segurança, por exemplo. Porém, como seu objetivo maior é validar a eficácia dos controles de segurança, oferecendo uma perspectiva diferente de outras ferramentas de avaliação, é preciso contar com um objetivo claramente definido.
Leonardo Militelli, CEO da iBLISS.