A metodologia de Pentest como um serviço, também conhecida como Pentest as a Service (PTaaS), vem ganhando cada vez mais espaço no mercado da segurança cibernética.
Mas, se você ainda tem dúvidas sobre o que ela é e por que é mais vantajosa do que os métodos tradicionais, este artigo é para você. Nele, iremos responder o que é o Pentest as a Service e algumas das perguntas mais frequentes sobre ele.
Dúvidas Frequentes sobre o Pentest como um serviço / Pentest as a Service
1. O que é o Pentest as a Service / Pentest como um serviço?
Os modelos mais tradicionais de Pentest geralmente funcionam como uma consultoria. Basicamente, isso funciona da seguinte forma:
- Empresa que executa o teste recebe o contato do cliente;
- São agendadas reuniões para que as duas partes se conheçam e entendam as necessidades do teste e particularidades do ativo;
- São criados, analisados e negociados orçamentos para o teste;
- Após aprovação do orçamento, a empresa inicia os testes e, depois de algumas semanas, envia um documento com os principais resultados encontrados.
Este modelo pode, sim, entregar resultados confiáveis. Porém, foi observado que existem vários pontos de melhoria nessa metodologia, como:
- Tempo de espera muito alto para iniciar os testes, já que possuem várias etapas de familiarização e negociação, deixando o ativo exposto por mais tempo;
- Orçamentos altos;
- Falta de comunicação entre o responsável pela execução do teste e a equipe interna do cliente;
- Demora para receber os resultados, o que, mais uma vez, deixa o ativo exposto a ataques cibernéticos;
- Relatórios simples, com falta de detalhes e recomendações sobre as vulnerabilidades.
O Pentest as a Service surgiu para melhorar esses pontos, tornando o teste mais rápido, barato e, até mesmo, eficaz. Isso acontece por meio de alguns pontos principais, sendo eles:
- Precificação mais transparente, geralmente padronizados de acordo com as necessidades de cada tipo de ativo ou objetivo, gerando economia e acelerando o processo de contratação;
- Uso de plataformas específicas, que permitem a comunicação entre o pentester responsável e a equipe interna;
- Uso das plataformas também para comunicar os resultados dos testes, incluindo, em detalhes, informações sobre as vulnerabilidades e recomendações do especialista para a mitigação;
- Notificação em tempo real sobre as vulnerabilidades críticas e altas encontradas, para que a correção seja mais ágil e o ativo fique menos tempo vulnerável.
2. Quais são os benefícios do Pentest as a Service em comparação com testes de intrusão tradicionais?
Acima, nós já mencionamos alguns dos principais benefícios do PTaaS, mas, em geral, suas principais vantagens são:
- Maior custo-benefício;
- Maior transparência;
- Testes mais ágeis;
- Comunicação durante o teste;
- Resultados em tempo real.
Além disso, empresas que atuam com o modelo de Pentest as a Service geralmente contam com uma ampla de gama de profissionais de segurança cibernética à disposição, permitindo que o pentester mais qualificado seja designado para cada projeto.
3. Como funciona o processo de PTaaS e qual é o escopo típico dos testes?
O processo de PTaaS funciona mais ou menos assim:
Algumas dessas etapas podem, até mesmo, ocorrer simultaneamente – como o onboarding e escopo, agilizando ainda mais o andamento.
O escopo, porém, dependerá das particularidades de cada teste, como: tipo de ativo, objetivo (compliance, segurança interna), tipo de teste (Black, Gray ou White Box), entre outros.
4. Quanto tempo leva para realizar um PTaaS e receber os resultados?
O tempo pode variar de acordo com o escopo e complexidade de cada teste, podendo levar, em média, de 7 dias a 2 semanas.
Porém, é importante lembrar que, essa é uma média considerando o início e finalização total do teste, mas durante este período o cliente já estará recebendo informações sobre as vulnerabilidades mais críticas.
Aqui na Vantico, por exemplo, nossos testes são até 50% mais rápidos do que as metodologias tradicionais.
5. Qual é a experiência da equipe de segurança cibernética que realizará os testes de intrusão?
As empresas que utilizam o método PTaaS geralmente contam com uma ampla comunidade de profissionais parceiros, o que proporciona acesso a pentesters com diferentes experiências e qualificações.
Além disso, tanto os responsáveis pelo teste quanto a empresa em si devem ter conhecimento sobre as principais metodologias, frameworks, regulamentações, etc.
6. Como as descobertas de vulnerabilidades são comunicadas e documentadas?
As vulnerabilidades são comunicadas e documentadas por meio da plataforma utilizada.
Nela, será possível visualizar todas as informações disponibilizadas – como grau de severidade, onde foi encontrada, recomendações de correção e outros pontos importantes.
Muitas plataformas também permitem a comunicação entre o time interno e o responsável pelo projeto, seja por meio de um chat exclusivo ou comentários.
7. Quais são as medidas de mitigação recomendadas para as vulnerabilidades identificadas durante os testes de intrusão?
As medidas podem incluir diversas ações, como atualização de softwares, implementação de controles de segurança adicionais, correção de configurações, e várias outras.
As medidas ideais para cada situação serão indicadas pelo profissional responsável.
8. Como o Pentest as a Service ajuda a cumprir os requisitos de conformidade?
Diversos compliances exigem a execução de testes de intrusão, além de outras comprovações de segurança cibernética que podem ser obtidas por meio do Pentest, como o SOC 2, ISO 27001 e PCI DSS.
Além disso, executar testes regularmente demonstra um compromisso por parte da instituição, uma preocupação com a integridade dos dados de seus parceiros, clientes e investidores, melhorando a reputação da marca.
9. O PTaaS é uma solução única ou precisa ser realizado regularmente para manter a segurança dos sistemas?
O Pentest deve ser executado regularmente para garantir a segurança dos ativos.
A frequência dos testes, porém, depende de uma série de fatores. Alguns casos em que o cliente deve executá-los são:
- Atualização de sistemas;
- Lançamento de novas funcionalidades;
- Quando adquire novos parceiros;
- Ou de forma trimestral, semestral ou anual.
10. Quais são as etapas de acompanhamento após a conclusão dos testes?
Após a conclusão dos testes, vem a fase de mitigação, que é de responsabilidade da equipe interna do cliente – mas sempre com o apoio das recomendações dos especialistas.
Após essa fase, vem o “retest”, etapa em que o teste é refeito para averiguar a eficácia das correções. Em alguns casos, como aqui na Vantico, o retest já está incluso no pacote original – porém, outras empresas podem cobrar separadamente.
Ficou interessado pelo Pentest as a Service e deseja conhecer o trabalho da Vantico? Abaixo, você pode assistir a um vídeo e conhecer a nossa plataforma:
Quer acompanhar mais conteúdos da Vantico? Clique aqui e siga-nos no LinkedIn.
Acesse nosso site clicando aqui.