A preocupa\u00e7\u00e3o das empresas com a ciberseguran\u00e7a cresce na mesma propor\u00e7\u00e3o que os ataques? Essa \u00e9 uma pergunta bastante relevante se pensarmos nos in\u00fameros ataques e vazamentos de dados recentes, que exp\u00f5em a vulnerabilidade das companhias e, ao mesmo tempo, destacam a habilidade cada vez maior dos fraudadores em conseguir o que querem.<\/p>\n\n\n\n
Para ilustrar o tamanho do problema que estamos enfrentando, vivemos h\u00e1 poucos dia s aquele que tem sido chamado como “o maior vazamento de dados da hist\u00f3ria”. Quem acompanhou as not\u00edcias na imprensa viu que apenas um hacker compartilhou um arquivo no qual exp\u00f4s 9,9 bilh\u00f5es de senhas<\/a>.<\/p>\n\n\n\n Isso, obviamente, gera uma grande preocupa\u00e7\u00e3o j\u00e1 que \u00e9 f\u00e1cil para os bots realizarem ataques de for\u00e7a bruta de tentativa e acerto para acessar bancos de dados utilizando essas senhas. Mas a\u00ed retorno \u00e0 pergunta do in\u00edcio desse artigo: a preocupa\u00e7\u00e3o das empresas est\u00e1 crescendo?<\/p>\n\n\n\n Bom, segundo o MIT, os gastos com cyber devem atingir US$ 215 bilh\u00f5es neste ano. J\u00e1 a Gartner, que \u00e9 l\u00edder mundial em pesquisas e aconselhamento a empresas, prev\u00ea prev\u00ea crescimento de 14% nos gastos globais<\/a> com seguran\u00e7a e gerenciamento de riscos. Ou seja, pelos dados acima, acredito que podemos dizer: SIM, as empresas est\u00e3o se preocupando na mesma medida em que os ataques t\u00eam crescido. A d\u00favida que surge \u00e9: ser\u00e1 que as escolhas t\u00eam sido corretas?<\/p>\n\n\n\n Temos observado muita d\u00favida, por exemplo, entre as diferen\u00e7as sobre Scan de Vulnerabilidades e Pentest.<\/strong> Qual seria a melhor escolha e qual prepara melhor os neg\u00f3cios para os ataques? Trouxe o tema para c\u00e1, e tamb\u00e9m discutimos bastante sobre ele no recorte do podcast que lan\u00e7amos ontem e voc\u00ea pode conferir neste link<\/a>.<\/p>\n\n\n\n De fato pode ser duvidoso quando falamos desses dois m\u00e9todos, mas a realidade \u00e9 que as diferen\u00e7as s\u00e3o bem percept\u00edveis. Enquanto o Scan Vulnerabilidade tem como objetivo encontrar poss\u00edveis vulnerabilidades exclusivamente sist\u00eamicas (vers\u00f5es, erros de configura\u00e7\u00e3o, falhas de input, etc), o Pentest vai mais profundamente no caso, tentando explor\u00e1-las levando em considera\u00e7\u00e3o a regra de neg\u00f3cio e a l\u00f3gica estrutural.<\/p>\n\n\n\n Um scan de vulnerabilidades \u00e9 como um check-up m\u00e9dico de rotina. Ele identifica sinais vis\u00edveis de problemas e fornece um diagn\u00f3stico inicial, apontando \u00e1reas que precisam de aten\u00e7\u00e3o. \u00c9 eficaz para detectar problemas comuns e previs\u00edveis, mas pode n\u00e3o descobrir todas as condi\u00e7\u00f5es subjacentes.<\/p>\n\n\n\n J\u00e1 o pentest \u00e9 como uma avalia\u00e7\u00e3o realizada manualmente por um especialista. Ele vai al\u00e9m da superf\u00edcie, investigando profundamente, tentando encontrar condi\u00e7\u00f5es de sa\u00fade espec\u00edficas, levando em considera\u00e7\u00e3o todo o hist\u00f3rico familiar e estilo de vida do paciente, conseguindo formular recomenda\u00e7\u00f5es personalizadas, o que n\u00e3o seria poss\u00edvel em um check-up comum.<\/p>\n\n\n\n O Pentest \u00e9 uma an\u00e1lise mais profunda que o Scan, n\u00e3o se limitando a identificar as poss\u00edveis lacunas no ambiente. Nesse caso, os profissionais utilizam t\u00e9cnicas que simulam um ataque hacker no ambiente, explorando diversos pontos como hardwares, softwares, as redes, os colaboradores, enfim, todos os pontos pass\u00edveis de conter vulnerabilidades.<\/p>\n\n\n\n Assim, \u00e9 poss\u00edvel identificar as poss\u00edveis falhas, mas tamb\u00e9m dimensionar o que um ataque significaria para a empresa e apontar melhorias e otimiza\u00e7\u00e3o de resultados.<\/p>\n\n\n\n At\u00e9 por isso, realizar esse tipo de teste precisa de uma prepara\u00e7\u00e3o, o que envolve ter uma equipe preparada para agir imediatamente ap\u00f3s a descoberta de uma vulnerabilidade cr\u00edtica, desenvolver planos de a\u00e7\u00e3o que priorizem a corre\u00e7\u00e3o dos problemas, provisionar or\u00e7amento e recursos para isso, etc. Nosso COO, Lu\u00eds Padilha, escreveu um artigo sobre como se preparar para um Pentest. Para ler o conte\u00fado, basta acessar este link<\/a>.<\/p>\n\n\n\n Vale destacar tamb\u00e9m que uma coisa n\u00e3o elimina a outra<\/strong>, ambas as abordagens s\u00e3o de extrema import\u00e2ncia, por\u00e9m visando objetivos e cad\u00eancias de an\u00e1lise diferentes (ex: scan mensal e pentest anual). Eles se complementam, oferecendo uma abordagem mais robusta \u00e0 seguran\u00e7a cibern\u00e9tica. Juntos, esses processos proporcionam uma prote\u00e7\u00e3o mais abrangente e eficaz para as organiza\u00e7\u00f5es.<\/p>\n\n\n\n Um Pentest exige uma equipe com expertise para encontrar vulnerabilidades, mas tamb\u00e9m saber como corrigi-las – al\u00e9m orientar todo o processo. O processo tamb\u00e9m precisa de \u00c9tica e Permiss\u00e3o Legal para a condu\u00e7\u00e3o de todos os testes.<\/p>\n\n\n\n Isso porque o Pentest simula uma invas\u00e3o \u00e0 procura de vulnerabilidades, assim como fazem os cibercriminosos. Esse tipo de an\u00e1lise necessita ser realizada por uma empresa que estabelece um c\u00f3digo de conduta e garanta a confidencialidade do processo para n\u00e3o prejudicar os neg\u00f3cios.<\/p>\n\n\n\nQual a diferen\u00e7a entre Scan Vulnerabilidade e Pentest?<\/h3>\n\n\n\n
Pentest exige \u00c9tica<\/h3>\n\n\n\n