O teste de intrusão tem se tornado uma atividade cada vez mais solicitada. As organizações têm descoberto a necessidade de usar serviços de pentesting ou equipes internas para descobrir pontos fracos, avaliar sua postura de segurança e provar a conformidade com os regulamentos ou as melhores práticas do setor. De acordo com o relatório Pen Testing Report de 2021, a maioria dos profissionais de segurança cibernética (39%) realiza um teste de intrusão uma ou duas vezes por ano. Mas realizar os testes de forma anual é suficiente? Vamos entender por que as organizações devem realizar testes de intrusão com mais frequência e como encontrar o equilíbrio certo.
O pentest deveria ser feito diariamente?
Não seria o mais recomendado. Realizar testes de intrusão diariamente pode consumir todos os recursos; tempo, orçamento e talento. Embora existam alguns tipos de teste de intrusão que possam ser automatizados, o processo em si não é automático e um elemento humano ainda é muito necessário. Embora 10% dos entrevistados para o Pen Testing Report de 2021 tenham dito que estavam executando testes diariamente, é mais provável que, com essa frequência, eles estivessem executando apenas varreduras de vulnerabilidade.
As varreduras de vulnerabilidade costumam ser confundidas como sinônimos de testes de intrusão, mas, apesar de serem práticas de segurança importantes, na verdade são bem distintas. As varreduras de vulnerabilidade procuram e relatam se vulnerabilidades conhecidas estão presentes em um ambiente de TI. Embora as varreduras de vulnerabilidade forneçam um entendimento valioso de quais vulnerabilidades estão presentes, os testes de intrusão podem adicionar mais informações ao ver se essas vulnerabilidades podem ser aproveitadas para obter acesso ao seu ambiente. Simplificando, as varreduras de vulnerabilidade oferecem uma visão de alto nível, identificando riscos potenciais, enquanto os testes de intrusão ampliam para investigar esse potencial. Na verdade, algumas ferramentas de teste de intrusão, como o Core Impact, podem se integrar a scanners de vulnerabilidade para validar suas descobertas.
A vantagem das varreduras de vulnerabilidade é que normalmente são completamente automatizadas, tornando-as muito mais fáceis de executar diariamente. Observar com frequência o panorama geral das vulnerabilidades pode alertar sobre quaisquer novas vulnerabilidades junto com uma noção inicial de sua gravidade. No entanto, as varreduras de vulnerabilidade não devem ser substituídas por testes de intrusão regulares, e sim como uma ponte útil para que a realização deles tenha melhores resultados.
A importância de repetir o teste de intrusão
Uma das razões mais críticas para fazer o pen test com mais frequência é a necessidade de repeti-lo. A repetição do teste envolve a execução do mesmo teste exato realizado na sessão anterior de teste de intrusão para verificar se as correções feitas foram bem-sucedidas. Às vezes, mudanças são feitas para resolver os pontos fracos de segurança encontrados nos testes de intrusão, mas é apenas assumido que essas medidas corrigem suficientemente esses problemas. Como saber se essas ações funcionam, a menos que você as teste? Mesmo erros simples, como não reiniciar o sistema após aplicar um patch, podem fazer com que uma fraqueza persista. A repetição de um teste inicial garante que as melhorias implementadas a partir das brechas encontradas tenham sido sucedidas.
Embora possa parecer um grande esforço refazer um teste que já foi concluído uma vez, o processo de reteste deve ser simplificado e mais eficiente. Os serviços de terceiros geralmente fornecem relatórios detalhados de quais ações foram tomadas durante o primeiro teste e essas informações fornecem instruções sobre os próximos passos para o reteste. Algumas ferramentas, como o Core Impact, permitem que sessões de teste de intrusão sejam salvas enquanto são executadas inicialmente, registrando quais caminhos de ataque foram usados. Esses testes podem ser executados de novo automaticamente em um momento posterior para validação da correção. A comparação de relatórios dos dois testes não deve apenas mostrar que os pontos fracos foram resolvidos, mas também deve revelar se novas vulnerabilidades foram descobertas.
Expandindo seu programa de pentest sem esgotar os recursos
Muitas vezes, presume-se que a execução de um pentest deve ser abrangente, avaliando o status de segurança de todo o ambiente de TI e a ideia de que esse esforço precise ser feito duas vezes ou mais por ano pode parecer esmagadora.
No entanto, o teste de intrusão pode ser feito em qualquer escala. Além de realizar anualmente uma avaliação em grande escala, as organizações podem executar testes com escopo estratégico (e retestes) com foco em sistemas críticos. Recursos diferentes também podem ser usados para testes diferentes. Embora os serviços de terceiros possam ser ideais para testes de infraestrutura maiores e completos, as ferramentas de teste automatizado podem ser usadas para executar análises básicas mais rotineiras, como verificação de vulnerabilidades de validação, coleta de informações de rede, escalonamento de privilégios ou simulações de phishing.
A frequência de teste de intrusão certa
Então, com que frequência deve ser feito o pentest? Não existe uma frequência rígida e específica. Dependerá do tamanho da organização, da escala em que você deseja executar seus testes e dos tipos de recursos que deseja usar. A frequência “certa” é simplesmente aquela em que você nunca precisará adivinhar seu status de segurança.
Tradução ao português do conteúdo original da Core Security, parceiro da Alus IT Security.