Dados pessoais valem ouro e precisam ser muito bem protegidos. Nunca se falou tanto em segurança da informação quanto agora. Notícias sobre vazamento de dados em empresas, ameaça de posterior falência ou perda considerável do nível de confiança no mercado têm tirado o sono de muitos empresários.
Portanto, investir em segurança da informação nunca foi tão necessário quanto agora. Além de um vazamento de dados causar perdas imensuráveis, há a Lei Geral de Proteção de Dados Pessoais, que vai punir com multa pesada as empresas que intencionalmente ou não, vazarem dados de seus clientes.
Para blindar uma empresa e evitar que ela seja invadida, os empresários podem optar por realizar uma Análise de Vulnerabilidades e um Pentest. As duas possibilidades são utilizadas para detectar riscos e possíveis falhas em sistemas e processos. E, a partir delas, o empresário poderá tomar as providências necessárias o mais rápido possível.
Análise de Vulnerabilidades x Pentest: aplicação nas empresas
A Análise de Vulnerabilidades e o Pentest são ações pró-ativas para prevenção, conscientização, detecção e tratamento de riscos. Elas precisam fazer parte da rotina de equipes de segurança da informação para garantir a CID (Confidencialidade, Integridade e Disponibilidade) dos sistemas.
Essas duas ações são usadas para detectar riscos e possíveis falhas em sistemas e processos. Tais riscos podem ser gerados, por exemplo, por má configuração, falta de updates, processos e procedimentos mal desenhados e por falha humana intencional ou não, como por exemplo a execução de arquivos maliciosos, vírus e ou ransomwares.
Portanto, uma Análise de Vulnerabilidades e um Pentest ajudam a garantir a detecção de vulnerabilidades de todo ecossistema de informática. Eles devem ser realizados periodicamente para que os profissionais de TI da empresa possam elaborar soluções para os potenciais riscos detectados.
Efetividade das ações: abrangência da Análise de Vulnerabilidades e a profundidade do Pentest
Uma das grandes diferenças entre a Análise de Vulnerabilidades e o Pentest está na relação entre abrangência e profundidade. A AV há uma abrangência em detectar o maior número possível de riscos, sem necessariamente analisar a fundo cada um deles.
Já o Pentest concentra-se em um número menor de vulnerabilidades, mas tenta exaustivamente levantar o máximo de informações sobre cada uma delas, verificando se são genuínas e como podem ser exploradas e combatidas. Logo, o Pentest é um teste mais profundo.
Durante a AV executa-se a identificação de possíveis vulnerabilidades em uma rede ou sistemas de forma automatizada. Podem ocorrer alguns falsos positivos e negativos. Como resultado é gerada uma lista com as principais ameaças, que posteriormente são categorizadas pelo nível de criticidade em relação ao negócio.
O Pentest literalmente simula um ataque real. Ele é focado em testar os mecanismos de defesa e mapear os possíveis caminhos que poderão levar um invasor a obter sucesso em sua investida.
A Análise de Vulnerabilidades é praticamente 100% automatizada. Já o Pentest é uma combinação de ações automatizadas e manuais. Naturalmente, o Pentest exige profissionais mais habilidosos para sua execução. O ideal é que uma empresa contrate os dois tipos de teste para garantir segurança a nível de abrangência e profundidade.
Análise de Vulnerabilidades: utilização de scanners de segurança
A Análise de Vulnerabilidades geralmente utiliza scanners de segurança como ferramenta. Como exemplos de scanners:
- Port scanner: ajuda a verificar quais portas TCP/UPD estão abertas e quais serviços estão ativos;
- Analisadores de Protocolo ou Sniffers: facilitam a visualização do tráfego e análise do conteúdo;
- Scanner de vulnerabilidades: detectam ameaças de softwares desatualizados, má configuração,etc.
Pentest: tipos e aplicação no negócio
O Pentest geralmente inicia buscando as vulnerabilidades, porém com uma etapa adicional de exploração das falhas. Dependendo da necessidade do negócio e da rede, ele pode ser de três tipos: White Box, Black Box e Grey Box.
White Box
Nesse tipo, todas as informações da rede, servidores, sistemas e bancos de dados da empresa são passadas ao executor do teste. Entre elas, estão endereços de IP, configurações e credenciais de acesso.
O objetivo é simular um ataque vindo de alguém que atua na empresa e tem altos níveis de permissões. É muito usado ainda para analisar aplicações web em que o servidor e o código-fonte são abertamente analisados.
Black Box
Nenhuma informação sobre os sistemas é passada ao analista de teste. Ou seja, é uma simulação de ataque hacker real, onde os invasores não têm qualquer relação com a empresa.
Grey Box
É uma espécie de mistura White Box com Black Box. Algumas informações são fornecidas ao profissional ou empresa que vai realizar o teste, mas as configurações do sistema não são completamente compartilhadas com esse profissional. Pode-se testar, por exemplo, como se fosse um usuário comum que, apesar de credenciado à rede, tem permissões limitadas.