Confiabilidade no pentest: modelo tradicional x PTaas

Picture of Kaique Bonato

Kaique Bonato

Pentest tradicional vs. PTaaS

Em alguns casos, o modelo tradicional de pentest não consegue combater, efetivamente, as ameaças cibernéticas atuais – afinal, se essas ameaças evoluíram e continuam a evoluir diariamente, utilizar as mesmas ferramentas de sempre nem sempre será o suficiente.

Uma análise da Synack¹ sobre o pentest tradicional abordou algumas das principais situações em que esse modelo não é mais tão eficaz.

Pentest tradicional

É muito lento para a era de nuvens

A nuvem, de forma geral, representa um conjunto de servidores usados para o armazenamento de dados e que podem ser acessados de diversos dispositivos – como AWS, Azure e outros servidores e infraestruturas.

Por conta de sua importância e popularidade, a nuvem se tornou um grande alvo dos criminosos e, portanto, uma parte imprescindível de qualquer análise de cibersegurança, como o pentest.

Devido ao seu caráter prático, a nuvem é uma plataforma de mudança constante – “seus recursos podem dobrar e cair pela metade em um piscar de olhos”, diz a análise da Synack.

Entretanto, os modelos de pentest tradicionais teriam sido criados para um mundo “pré-nuvem”, onde as mudanças aconteciam de forma gradual. Ou seja, o fato de ser relativamente mais lento pode prejudicar a eficácia do teste.

Mas é importante lembrar que: hoje, a agilidade é fundamental em qualquer área da cibersegurança – desde o pentest para nuvens até para o compliance!

Não é escalável

No pentest tradicional, os profissionais trabalham diretamente para a organização que conduz os testes. No geral, isso significa maior carga de trabalho para cada um deles, fazendo com que o processo não seja escalável.

Isso também pode levar a uma maior demora na identificação de novas ameaças. Um estudo trazido pela Synack aponta que novas vulnerabilidades são discutidas no Twitter, Reddit e Github cerca de 87 dias antes de entrarem para os bancos de dados².

Fluxos de trabalho para equipes de segurança e desenvolvimento

Outro ponto levantado é de que o formato em que os relatórios são enviados, como PDF e Excel, nem sempre permitem a averiguação dos dados, além de não serem tão detalhados, faltando informações como a criticidade de cada vulnerabilidade.

Tudo isso pode atrapalhar o fluxo de trabalho das equipes de cibersegurança e de desenvolvimento da empresa que solicitou o teste – e que serão as responsáveis por realizar as correções.

É imprescindível que essas equipes tenham relatórios de fácil leitura, utilização e com o máximo de dados possíveis, para que a mitigação dos riscos seja feita com agilidade e precisão!

Pentest tradicional x Pentest as a Service

A análise da Synack afirma que “usar metodologias antiquadas de pentest no cenário atual de ameaças cibernéticas é como enviar uma tartaruga para alcançar um guepardo”.

O pentest tradicional, é claro, continua tendo sua importância, mas nem sempre garante a confiabilidade máxima necessária nesse contexto.

É por isso que o novo modelo, Pentest as a Service ou pentest como serviço, surgiu e logo foi adotado por inúmeras empresas do mundo – incluindo a Vantico.

  • Profissionais qualificados

O novo formato de testes de intrusão, o PTaaS, atua em um formato diferente: a organização que precisa do pentest contrata uma empresa de pentest (como a Vantico) – e essa, por sua vez, conta com uma gama de profissionais autônomos e especialistas na área.

Ou seja, a empresa irá escolher o pentester mais adequado para cada necessidade e ele ficará totalmente focado na realização daquele teste.

  • Plataforma própria e resultados em tempo real

Além disso, os resultados são atualizados em tempo real em uma plataforma própria, sempre com o máximo de detalhes possíveis sobre cada vulnerabilidade encontrada – informações essas que podem ser acessadas a qualquer momento pela equipe.

Para garantir cibersegurança com confiança, clique aqui e conheça mais sobre o Pentest as a Service.

 

¹ TRADITIONAL PENTESTING: A TURTLE CHASING A CHEETAH

²Multiple social platforms reveal actionable signals for software vulnerability awareness: A study of GitHub, Twitter and Reddit

veja também

Outros conteúdos sobre Segurança Cibernética