Pentest as a Service “não faz milagres”, mas é um excelente instrumento ao serviço das organizações

À medida que a tecnologia avança e novas soluções tecnológicas emergem, o panorama da cibersegurança torna-se cada vez mais complexo, pelo que a multiplicidade de vetores de ataque expande proporcionalmente (ou até exponencialmente), apresentando desta forma um desafio significativo para as organizações. Neste contexto, é essencial que as empresas identifiquem as vulnerabilidades decorrentes das diversas tecnologias e testem os diferentes vetores de ataque resultantes dessas vulnerabilidades, a fim de se consciencializarem da sua superfície de ataque ou exposição.

No entanto, para organizações que consideram ter sua própria equipa de testes de intrusão é importante reconhecer que tal pode representar um custo substancial, porque a manutenção de uma equipa interna (e multidisciplinar) de testes de intrusão requer a formação (e constante atualização) e aquisição de diferentes talentos especializados em cibersegurança. Com efeito, a externalização de serviços de pentest (Pentest as a Service - PtaaS) surge como uma solução viável e pragmática, pois não apenas garante o acesso a recursos especializados a um custo operacional mais reduzido, como possibilita alguma escalabilidade ao serviço.

Apesar das vantagens do PtaaS, é importante ter em mente que a sua atuação é geralmente limitada – tanto no tempo como no âmbito. A título de exemplo, alguns grupos de cibercriminosos investem consideráveis quantidades de tempo e recursos a estudar os seus alvos, muitas vezes através de métodos de recolha passiva de informação (sobretudo através de técnicas de OSINT - Open Source Intelligence). Este procedimento de recolha de informação pode ser demoroso, dado que o rasto digital de qualquer organização ou indivíduo é dinâmico e continuado no tempo. Esta realidade contrasta com a realidade dos serviços de testes de intrusão externos, que em virtude da sua limitação temporal, na maioria das vezes identifica vulnerabilidades e testa controlos de segurança à luz das vulnerabilidades e técnicas conhecidas à data do serviço e dentro do tempo possível. Face a isto, podemos concluir que um pentest isolado dá uma “fotografia” da segurança de uma organização; “fotografia” esta que se caracteriza por um ângulo específico e numa época específica. Este exemplo é demonstrativo de como o recurso a serviços de PtaaS, aliado a uma fraca gestão de risco e de vulnerabilidades, pode ocasionar uma falsa sensação de segurança, na medida que o foco exclusivo num âmbito limitado pode ocultar vetores de ataque que a organização não esteja ciente, atendendo que a “fotografia” apenas revela uma parte da superfície de ataque.

Mas se é verdade que um pentest isolado pode ser insuficiente para aferir o estado da segurança (geral) de uma organização, também é verdade que um dos maiores constrangimentos de cibersegurança das organizações prende-se com fatores económicos, pois muitas organizações não dispõem dos recursos para recorrer a vários serviços de pentest. Esta realidade obriga as organizações a serem assertivas na hora de priorizar o âmbito destes serviços (de acordo com o risco percecionado). De facto, aquando da escolha do âmbito, a vasta maioria das organizações opta por priorizar os ativos expostos para a Internet, pois naturalmente são aqueles que estão expostos a mais agentes maliciosos.

Contudo, a sofisticação crescente do cibercrime, aliado ao agravamento de condições socioeconómicas (à escala global) e ao aumento da complexidade dos sistemas de informação, propicia não apenas a criatividade dos agentes maliciosos (que resulta na exploração de outros vetores de ataques menos óbvios) como no aumento de agentes maliciosos/ cibe criminosos. Como consequência deste aumento de complexidade e quantidade do cibercrime, é expectável que a real superfície de ataque das organizações esteja sujeita a uma maior pressão, e nem sempre evidente. Facto este que constitui uma premente preocupação.

Como resposta a este problema, assistimos ao surgimento de várias soluções (serviços continuados de Red Team, programas de Bug Bounty, entre outros). Mas talvez a solução mais económica e eficiente seja a consciencialização do risco no domínio da cibersegurança e a consequente adoção de uma postura mais orientada à segurança de informação. É nesta parte que as normas e frameworks de segurança entram em jogo. De facto, a adoção de uma postura de segurança sob a forma de um Sistema de Gestão de Segurança de Informação, constitui um forte contributo para a consciencialização da organização para os perigos da (in)segurança de informação. Esta consciencialização capacita a organização de meios que lhe permitirão gerir os seus riscos e vulnerabilidades de forma mais eficaz, tirando assim mais partido dos serviços de PtaaS.

No final do dia, podemos concluir que o PtaaS por si “não faz milagres”, mas é um excelente instrumento ao serviço das organizações para detetarem as suas próprias vulnerabilidades (antes que outros as descubram). Assim, tudo se resume a uma questão de gestão do risco, e esta é tanto mais eficaz quanto mais informação tivermos ao nosso dispor aquando da tomada de decisões relacionadas que afetem a segurança de informação das nossas organizações, e consequentemente das nossas vidas.

Conteúdo co-produzido pela MediaNext e pela Securnet