O teste de penetração da rede, mais conhecido como Pentest, é uma forma de testar os mecanismos de segurança atuais presentes na rede corporativa. Há cerca de apenas 5 anos, havia o questionamento se o Pentest seria realmente necessário. A verdade é que muito mudou dentro desse pouco tempo. A realização do procedimento mudou para se adequar a ataques cada vez mais sofisticados e dirigidos por motivação financeira.

O Pentest moderno é diferente de um scan de vulnerabilidades e verificação de conformidade com os compliances requeridos. Hoje, o procedimento demanda equipe capacitada e treinada, que irá identificar vulnerabilidades em pontos específicos da rede em busca de brechas para realizar o ataque. Uma equipe qualificada poderá fornecer uma boa noção de como os criminosos enxergam a empresa, quais os pontos vulneráveis, quais as informações valiosas estão expostas e disponíveis mais facilmente para roubo.

Outra aplicação do Pentest é auxiliar na justificativa da modernização das ferramentas de rede e segurança. Pode ser que um firewall, por exemplo, esteja operacional, contudo, ele não está mais adequado para deter as ameaças modernas. O Pentest pode mostrar esses problemas, auxiliando na justificativa dor orçamento para modernização com o C-Level.

Pentest vs Análise de Segurança

Não é incomum ver Análises de Segurança ou Análises de Vulnerabilidade sendo vendidas como Pentest, o que não significa que o Pentest é um serviço que dispensa a realização de análises de segurança. Eles são na verdade serviços que se complementam. A análise de segurança vai apresentar um relatório abrangente, com vulnerabilidades identificadas na infraestrutura, falhas em processos e possíveis ataques em andamento. Essas informações são ordenadas em função do risco para o negócio, de forma a facilitar a priorização nas atividades. O Pentest por sua vez irá identificar e tentar explorar eventuais vulnerabilidades, mostrando até que ponto um hacker poderia de fato ter sucesso em seu ataque.

Mas, como definir quando um teste é necessário?

Essa é uma excelente pergunta. O desafio é que não existe uma única resposta correta. Existem muitas variáveis quando o assunto é Pentest, como, por exemplo, complexidade da rede, a frequência de troca de sistemas e aplicações, orçamento, entre outros.

De acordo com o PCI, a frequência do Pentest deve ser anual, contudo, o PCI também recomenda que um novo Pentest deve ser realizado a cada mudança substancial na infraestrutura de TI.

O ponto que você deve partir é: Qual objetivo você possui com o Pentest? Pode ser para satisfazer um termo de compliance, ou atingir o requerimento de um cliente ou parceiro. No final, podemos dizer que se trata de minimizar os riscos para o negócio. Posto isso, você precisa realizar o Pentest quantas vezes forem necessárias para manter os riscos de segurança em níveis administráveis e de acordo com as necessidades do negócio.

Esse é o ponto principal, conhecendo em profundidade os riscos que a sua infraestrutura está exposta e os objetivos do negócio, você consegue definir o planejamento de segurança e consequentemente como mitigar os riscos envolvidos. Com um planejamento robusto, que leve em consideração os objetivos do negócio é possível estabelecer um padrão correto de frequência para a realização dos testes de penetração, tanto para que não sejam excessivos quanto para que sejam realizados numa frequência adequada para demonstrar as vulnerabilidades da rede.

wall-arrows