top of page
importância da execução de um Pentest.jpg

Entenda a importância da execução de um Pentest e para que serve cada um dos tipos

Marcos Alves Junior
Redator, Editor de texto, Criador de vídeos. Cursou Gestão Empresarial na anhanguera. Formado pela Uninove – Universidade Nove de Julho em Comunicação Social – Jornalismo. Atualmente trabalha como Assistente de Comunicação e Marketing na Brasiliano INTERISK.

Julho | 2022                                                                                                                                                                       

Com pouco mais de 30 anos no mercado, a Brasiliano INTERISK oferece soluções personalizadas nas áreas de Gestão de Riscos, Governança e Compliance, com o objetivo de acompanhar e auxiliar as empresas a ganhar mais produtividade. Nesta trajetória encontramos parceiros de grande valor, como a Wizlynx Brasil, empresa suíça que está somando esforços conosco para oferecer a melhor avaliação em Segurança de TI e Cibernética. Juntas, as empresas passam a oferecer Testes de Intrusão com padrões globais, acesso a informações e a resultados baseados em análises de riscos e em cenários de ataques cibernéticos. Ramon Ares, Diretor de Negócios na Wizlynx Brasil, conta nesta entrevista sobre a importância da execução de um teste de intrusão e quais são os benefícios que ele pode trazer para sua organização.

Ramon Ares, Bacharel em Análise de Sistemas, com MBA em Gestão de Negócios e com vivência de mais de 25 no mercado de TI, dos quais os últimos 5 anos focados em segurança cibernética, é Diretor de Negócios na Wizlynx Brasil, uma empresa Suíça focada em Segurança Cibernética com presença em 8 países: Brasil, Mexico, EUA, Suíça, Alemanha, Singapura, Malásia e China.

1. Quais os benefícios a curto, médio e longo prazo que a realização do Pentest pode trazer para as organizações?

Esta é uma pergunta bastante pertinente e ajudará a entender os motivos de se incluir nas suas políticas de Segurança da Informação as avaliações de Segurança Cibernética de forma regular.

No curto prazo, o Pentest ajudará a descobrir vulnerabilidades antes que os hackers o façam, compreender os danos potenciais de uma vulnerabilidade com demonstração da exploração e oportunidade de mitigá-las o quanto antes.

No médio prazo, com uma rotina de testes já estabelecida, a partir dos resultados obtidos, permitirá construir uma defesa resiliente contra ataques cibernéticos, aumentando a maturidade dos mecanismos de defesa e protegendo seus ativos.

E no longo prazo com certeza os benefícios são a manutenção da credibilidade e da imagem do negócio, pois ninguém quer fazer negócios com empresas que tenham histórico recorrente de ataques sofridos e de vazamentos de dados.

2. Quais os tipos de Pentest que existem e qual o objetivo de cada um deles?

Entre os tipos de Pentest mais executados, podemos citar 4 tipos:

- Pentest de Aplicação Web – Teste de intrusão abrangente de suas aplicações web, web services e APIs que pode ser usado para armazenar e acessar informações críticas de negócios, com o objetivo de identificar e explorar vulnerabilidades transmitidas pela web.

- Pentest de Aplicativo Móvel – Avaliação de seus aplicativos móveis desenvolvidos para iOS e Android, para identificar vulnerabilidades específicas em ambientes de computação móvel, como aquelas definidas pelo Open Web Application Security Project (OWASP) e outros padrões emergentes da indústria.

- Pentest de Rede – Testes de intrusão de rede avaliam a infraestrutura de rede e servidores, incluindo, entre outros, os 25 erros de software mais perigosos da CWE/SANS e as dez principais vulnerabilidades do OWASP.

- Pentest de Rede Wireless – Teste de intrusão de sua LAN sem fio (WLAN), mas também Bluetooth, ZigBee, Z-Wave, DECT, RFID, NFC para descobrir falhas de segurança em sistemas e redes sem fio

 

3. O mercado entende a necessidade real da realização de um Pentest nas organizações? Por quê?

Com a criação de novas leis sobre o mundo cibernético no Brasil (ex. LGPD) vemos que o mercado está começando a enxergar que deveriam ter políticas de segurança cibernética mais eficazes e preventivas, entre as quais o Pentest se enquadra. Apesar disso, uma grande parte das empresas, sobretudo de pequeno e médio, porte ainda reluta em aplicar boas práticas de segurança cibernética e executar avaliações preventivas, como o Pentest. Isso porque muitos acreditam que suas organizações não são alvos interessantes para o cibercriminosos, mas aprendem a duras penas, quando se veem comprometidos por um ataque que pode levar até ao fechamento de seus negócios, quer seja por reputação, perdas financeiras ou dados relevantes ao negócio perdidos.

 

4. Quais são as principais etapas para a execução do Pentest?

Essas são algumas das principais etapas para a execução de um Pentest com sucesso.

Planejamento, definição do escopo e alvos a serem avaliados junto com o cliente. Colhidas as assinaturas da documentação gerada no planejamento e no termo de consentimento, inicia-se a fase de reconhecimento, mapeamento e descoberta de vulnerabilidades. Com base nas informações encontradas, é iniciada a exploração das vulnerabilidades, e por último é feita a análise das informações e evidências coletadas para preparação do relatório.

Com o relatório em mãos será realizada a análise de riscos e recomendações para mitigação; feitas as devidas correções recomendas, um reteste é executado para validar o teste e confirmar que as vulnerabilidades foram realmente resolvidas.

Vale a pena comentar que todo esse processo pode levar em média de 2 a 4 meses, dependendo do número e complexidade de vulnerabilidades a serem corrigidas e da agilidade da equipe em executar as correções.

 

5. Quais são os mitos que são relacionados ao Pentest no mercado?

Por se tratar de um teste invasivo, muitas pessoas acreditam que executar um Pentest em seu ambiente de produção pode acarretar indisponibilidade de seus serviços, mas apesar de ser realmente invasivo, quando executado por profissionais capacitados ele é feito de maneira controlada e sem causar indisponibilidades.

Outro mito é que o Pentest é muito caro e é direcionado para grandes empresas, quando na verdade o custo é proporcional ao escopo a ser avaliado, e pode ser bem acessível para pequenos e médios negócios. Caro, será o custo da remediação pós ataque.

A pergunta hoje não é mais "se"​ serei atacado, mas "quando e como"​.

6. Na sua opinião como a parceria entre a Wizlynx e a Brasiliano INTERISK vai agregar valor aos atuais e futuros clientes de ambas as organizações?

Vejo uma grande sinergia nesta parceria. Por um lado a Brasiliano INTERISK auxiliando os clientes a criarem uma gestão de seus riscos de maneira ágil e descomplicada, mapeando e disponibilizando o controle sobre a gestão de todas as disciplinas de riscos; por outro, nós da Wizlynx podemos ajudar os clientes a executar o pentest e colocar em prática suas avaliações de risco cibernético e de adequação de normas e boas práticas que fazem parte dos processos mapeados; na outra direção, temos muitos clientes que ainda não possuem um mapeamento efetivo de seus riscos, mas já executam avaliações recorrentes em sua infraestrutura e agora podem contar com os serviços da Brasiliano INTERISK em decorrência dessa parceria.

Por meio da parceria entre a Brasiliano INTERISK e a Wizlynx, é proporcionada à área cibernética maior proatividade na identificação das denominadas “Joias da Coroa”, ou seja, os processos críticos que permitem à empresa fazer rodar sua cadeia de valor, os sistemas que suportam esses processos críticos, as informações consideradas sensíveis e a maturidade das pessoas que manipulam essas informações. A Wizlynx usa uma metodologia híbrida, composta de testes automatizados e manuais, para avaliar ativos externos e internos e assim identificar as vulnerabilidades antes que os cibercriminosos o façam.

Assista o Webinar "Avaliação de Segurança Cibernética – Pentest: saiba quais os tipos mais executados e para que servem", apresentado por Antonio Celso Ribeiro Brasiliano e Ramon Ares, no mês de julho deste ano.  

Quer saber mais sobre essa valorosa parceria e todos os benefícios que os serviços podem trazer para Segurança Cibernética da sua organização? Acesse aqui.

voltar

bottom of page