Efetividade e Importância dos Testes de Intrusão (Pentest) e avaliações de Vulnerabilidades para as Organizações
Por Andrey Guedes Oliveira
Os testes de intrusão comumente denominados Pentest, com estudos indicando que ações proativas sobre a identificação de vulnerabilidades reduz significativamente incidentes de segurança e perdas financeiras, especialmente quando integrada a programas contínuos de gestão de risco (SCARFONE; MELL, 2007; BEHL; BEHL, 2017), assim como as avaliações de vulnerabilidades são instrumentos fundamentais para o entendimento e também por ações que venham remediar falhas de segurança, desde: arquiteturas de redes de computadores, perímetros de proteção, ausências de atualizações advindas de fabricantes, serviços abertos que não fazem parte do ecossistema sistêmico, SQL Injections, backdoors, falhas em aplicações etc.
Já os primeiros testes de segurança surgiram ainda nas décadas de 1970 e 1980, ligados à segurança militar e governamental. Entretanto, com a popularização da internet, tornaram-se práticas corporativas essenciais como: automação baseada em inteligência de ameaças, simulação contínua de ataques e integração com pipelines DevSecOps. Essas transformações refletem a mudança de um modelo reativo para um modelo proativo e contínuo de segurança (SHOSTACK, 2014).
Não obstante, estes instrumentos são fundamentais as empresas em geral, assim como aos fabricantes de soluções em segurança da informação para que executam atualizações em seus produtos, com o objetivo de proteger aos seus clientes, sem contar com as competições de “cyber invasores” que tentam descobrir eventuais falhas em suas novas soluções.
Os processos de avaliação de falhas de por meio de identificações de vulnerabilidade, via de regra, ocorriam ou ocorrem por meio de projetos pontuais para entendimento dos riscos dados por ferramentas de código aberto ou por fabricantes especializados, como a Rapid7, que possuem tecnologias para entendimento de vulnerabilidades, com templates regulatórios como o exemplo do PCIDSS (Payment Card Industry Data Security Standard – Padrão de segurança de dados da indústria de cartões de pagamento), bases de conhecimento e parcerias com os principais players no tocante a possíveis brechas de segurança.
Dentro deste contexto, o projeto executa as validações e entendimento do ambiente em questão (avaliando infraestrutura de tecnologia, banco de dados e/ou aplicações), dando-o ao cliente um relatório acerca das ações mitigatórias, sugestões tecnológicas e procedimentos que venham diminuir o risco ao seu ambiente. Os clientes em posse das informações poderiam realizar imediatamente ou criar planos de ações para atendimento aos requisitos apontados, sendo este o desafio póstumo ao Teste de Intrusão ou Avaliação de Vulnerabilidade.
O processo de gerenciamento de vulnerabilidades, introduzido por boas práticas de segurança da informação, proporciona rotinas que realizam varreduras em diversos níveis que vão da infraestrutura aos sistemas de códigos em aplicações, traz uma modelo coleta de vulnerabilidades conhecidas, conforme Holm (2011) evidenciou que programas estruturados de gestão de vulnerabilidades reduzem significativamente superfícies de ataque exploráveis. Adicionalmente, estudos posteriores reforçam que testes ofensivos periódicos estão diretamente associados à diminuição de violações de dados (EDWARDS et al., 2016).
Mesmo que um processo seja realizado periodicamente, há desafios que levam o gerenciamento vulnerabilidade a ter um comportamento de mitigação e/ou identificação (geração de backlog), entretanto possui limites frente à velocidade das ameaças modernas (ALLEN; CHRISTOPHER, 2020). Destacam-se outros aspectos como com sistemas legados, modelos de gerenciamento de mudanças (e suas janelas de manutenção, “competição interna” com outros projetos, não entendimento dos riscos ou de seus possíveis impactos, em algumas vezes, ausência de cópias de segurança ou testes de restauração ou demais aspectos operacionais; que via de regra levam ou já levaram a um hiato bem “elástico” para ações apontadas no relatório de Assessment.
Este tempo para a execução alongado gera uma nova carga de vulnerabilidades que sequer é notada ou entendida dada a dinâmica da operação e novos volumes de ameaças, destacada na figura 01.
Figura 01 – Quantidade de Vulnerabilidades
O cenário é ainda mais comprometido com a diminuição do ciclo de vida de novas ameaças, havendo quase diariamente novos tipos de softwares maliciosos, ou seja, os testes pontuais ficaram em “Xeque” devido a velocidade dos ataques e a capacidade de reação das empresas para resolução de seus problemas. Por obvio, os testes por projeto (temporários) continuam sendo um instrumento importante para o entendimento de vulnerabilidades ou mesmo antecipação de ações mal-intencionadas. Contudo, as tecnologias de monitoramento constante de Vulnerabilidade são instrumentos fundamentais para todas as operações de Tecnologia da Informação, agregando aos modelos tradicionais de avaliação de Infraestrutura ou Desempenho de Aplicações e o uso de Indicadores de Riscos – KPI (Key Performance Indicator) nos ambientes monitorados, dando as equipes de Segurança possibilidades de ações em conjunto com outras para resolução ou planos de abrandamento – exemplo o uso de sandbox – ou meios automatizados (DevOps – aplicação de correções) nas janelas de manutenção programadas.
Os testes de intrusão são ações que levam as organizações identificar vulnerabilidades desconhecidas e não relatadas pelos fabricantes e suas cadeias de suprimentos, sendo-o um instrumento fundamental para qualquer instituição, no limite a validação dos sistemas defensivos ou mesmo “bugs” que nunca foram avaliados e poderiam ser explorados por um ator malicioso.
Por fim, este novo conceito de Monitoramento de Vulnerabilidade retira o modelo em “xeque” com ações que orquestram tecnologias para bloqueios e diminuição dos riscos das empresas que o adotarem fazendo parte dos novos desafios das Operações de Tecnologia da Informação, proporcionando inteligência e maior visibilidade dos riscos existentes.
Andrey Guedes Oliveira
