Com a evolução da cibersegurança, o pentest também evolui e se transforma. É por isso que, nos últimos anos, além do pentest tradicional, surgiu o pentest as a service (PTaaS), também conhecido como serviço de pentest ou pentest como serviço, com a promessa de transformar a forma como os testes de intrusão são estruturados e entregues.
Com a existência de tantas possibilidades no mercado, levanta-se a dúvida entre CTOs, CISOs e equipes de tecnologia sobre qual delas é a melhor opção.
O que é pentest?
O pentest, ou teste de intrusão, é o método de análise de um sistema de segurança. Através de hackers éticos – profissionais de cibersegurança que utilizam seus conhecimentos de forma ética, e não maliciosa –, o objetivo é encontrar as vulnerabilidades que podem ocasionar um ciberataque ou vazamento de dados.
De forma geral, os hackers éticos, também conhecidos como pentesters, simulam um ataque real para encontrar as brechas existentes. Após a realização, os resultados são entregues para que a empresa possa fazer as correções apontadas e prevenir-se contra a emergente ameaça dos ataques cibernéticos – o Brasil foi o segundo maior alvo do mundo em 2022!
Serviço de Pentest (PTaaS)
O Pentest as a Service (PTaaS) não é tão recente assim. No entanto, essa modalidade ainda não é comum no Brasil – sendo a Vantico uma das poucas que empresas que a oferecem.
De forma geral, o pentest como um serviço consiste em contratar uma empresa que utiliza profissionais terceirizados para a realização do pentest, cujo resultado será entregue através de uma plataforma completa e atualizada em tempo real. Isso é feito com o objetivo de aumentar a gama de pentesters qualificados e trazer mais autonomia para o cliente.
O pentest tradicional, por outro lado, geralmente possui profissionais fixos para realização dos testes e entregam os resultados através de relatórios mais simples.
Qual o melhor: pentest tradicional ou PTaaS?
Para que uma empresa contrate qualquer tipo serviço, é importante considerar três pilares fundamentais: o tempo para sua realização, o valor do investimento e os resultados – quais são e como são entregues.
Por isso, consideramos esses três tópicos para realizar uma comparação entre o pentest tradicional e o serviço de pentest, considerando dados do relatório da Cobalt sobre o ROI (Retorno sobre Investimento) do Pentest Moderno.[1]
1. Tempo de realização
No caso do pentest tradicional, geralmente existem longas reuniões para entender a demanda do cliente, enviar orçamentos, marcar uma demonstração e realizar a negociação. Esse processo consome cerca de 67% a mais de tempo do que no caso do serviço de pentest – que geralmente oferece a maioria dessas informações e funcionalidades online.
De forma geral, considerando desde o contato inicial até a entrega final dos resultados, o PTaaS oferece uma economia de tempo de 50%, o que permite dá ao cliente maior rapidez para começar corrigir as vulnerabilidades encontradas.
2. Investimento
Em um projeto de 100 horas, o investimento que uma empresa faz na contratação do pentest tradicional pode ser 56% maior do que a opção do serviço de pentest.
Isso se deve a dois principais motivos: o primeiro é que, pela maneira como o PTaaS é estruturado, o profissional que está realizando o teste consegue estruturar e automatizar processos que, no modelo tradicional, são manuais, permitindo que haja a redução de custos. O segundo motivo é justamente o modelo de negócio, em que os pentesters são contratados de acordo com a demanda.
Além disso, conforme vamos apontar abaixo, os resultados são mais ágeis e eficazes, o que faz com que a empresa contratante tenha um retorno maior e mais rápido sobre o investimento realizado.
3. Resultados e eficiência
Por fim, e talvez o tópico mais importante, vamos falar sobre a entrega de resultados e a eficácia de ambos os modelos de pentest.
Como mencionamos anteriormente, no serviço de pentest os resultados são entregues através de um dashboard atualizado em tempo real. Sendo assim, o cliente terá acesso a uma plataforma nutrida pelos próprios pentesters com atualizações constantes.
Isso significa que a empresa tem, em tempo real, informações sobre as brechas que foram encontradas, permitindo que ela inicie sua correção imediatamente – especialmente no caso das mais críticas.
Ainda falando sobre a entrega dos resultados, a plataforma permite que o pentester ofereça detalhes sobre a vulnerabilidade e dicas de como resolvê-la, o que também otimiza o processo de remediação.
Legenda: Plataforma Vantico.
Ainda precisamos reforçar que, pela disponibilidade de profissionais à disposição da empresa de PTaaS, ela pode oferecer mão de obra especializada de acordo com a demanda do cliente, o que aumenta a porcentagem de eficácia do teste.
A Vantico também oferece o retest incluso dentro do processo de pentest. Ou seja, após a entrega e correção por parte do cliente, iremos realizar novamente os testes e verificar se, de fato, as vulnerabilidades foram totalmente sanadas.
Por esses motivos, o serviço de pentest ou PTaaS é considerada a melhor opção do mercado para a realização de testes de intrusão. Para conhecer esse modelo e comprovar sua eficácia, fale com a Vantico e saiba mais sobre nosso trabalho.