0
0
À medida que as ameaças se tornam muito mais difundidas e dinâmicas, as organizações estão adotando medidas de segurança proativas, como testes de penetração, para criar uma estratégia de segurança abrangente.
O teste de caneta valida que os controles de software e hardware foram implementados usando as mesmas ferramentas e técnicas que um invasor usaria para descobrir vulnerabilidades. Dessa forma, as organizações podem identificar lacunas em seu programa geral de segurança da informação e medir a eficácia de seus programas de gerenciamento de patches e resposta a incidentes.
No entanto, as equipes modernas de DevSecOps precisam de mais velocidade e flexibilidade do que os compromissos tradicionais de pen-testing podem oferecer. Programas incrementais de pen-testing podem ajudar a identificar e solucionar falhas de segurança com mais frequência porque se concentram em segmentos menores de cada vez.
Com as necessidades das equipes de DevSecOps em mente, o teste de penetração como serviço (PTaaS) está ganhando destaque.
Equipes de desenvolvimento alinham testes de caneta com DevSecOps
A empresa PTaaS Cobalt anunciou seu novo serviço Agile Pentesting para ajudar as equipes de segurança a alinhar o teste de caneta com o pipeline de integração contínua e entrega contínua (CI/CD). Os compromissos menores de pen-test podem ajudar a ampliar o alcance das equipes de segurança e acelerar os cronogramas seguros da criação ao lançamento.
Andrew Obadiaru, CISO da Cobalt, diz que os usuários finais do serviço são equipes de segurança e desenvolvimento que procuram alinhar os testes de caneta mais de perto aos seus processos de DevSecOps.
“São equipes que estão testando além das obrigações de conformidade e conduzindo testes mais direcionados que se concentram em uma área específica de um ativo ou em uma vulnerabilidade específica em um ativo”, diz ele.
A oferta Agile Pentesting permite que as organizações se concentrem em uma área específica de um ativo, como um novo recurso ou lançamento de produto, vulnerabilidade específica ou teste incremental.
“O pentest focado permite que organizações e equipes de TI determinem rapidamente possíveis vulnerabilidades ou falhas de segurança em um produto ou recurso específico antes da implantação em produção”, acrescenta Obadiaru.
Pentest Incremental um Esforço Baseado em Risco
John Steven, CTO do provedor de modelagem automatizada de ameaças ThreatModeler, diz que parte da priorização que ocorre com o teste de caneta incremental deve ser o alinhamento do escopo do teste com novos recursos e promessas de lançamento.
“Isso cria um alinhamento natural entre entrega e prioridade e foco de segurança”, explica ele. “Além disso, há um benefício rápido: estudos de defeitos indicam que onde há maior probabilidade de alterações de código, bugs e vulnerabilidades.”
“O segredo sujo” é que todos os testes de penetração são incrementais, acrescenta Steven.
“Testar exaustivamente até mesmo um sistema pequeno levaria meses”, diz ele. “Adotar uma postura incremental na penetração primeiro reconhece que o esforço é ‘baseado em risco’, priorizando o que é mais impactante e provável.”
Em segundo lugar, permite que a atividade se ajuste mais de perto à cadência de entrega para que seus resultados possam ser executados com tempo mínimo (se houver) de exposição de sistemas vulneráveis em produção.
“Confinar os esforços de teste de penetração para aquelas coisas que a modelagem de ameaças indica que são de alto impacto e potencialmente prováveis para uma população preocupante de adversários é talvez a otimização mais importante que as organizações podem fazer”, acrescenta.
Dave Gerry, diretor de operações da Bugcrowd, especialista em segurança cibernética de crowdsourcing, diz que um desafio de longa data com os testes de caneta tem sido a natureza “point-in-time” dos testes.
“Em algum período de tempo predefinido, o teste é concluído em relação à versão atual do aplicativo e um relatório é entregue”, diz ele.
O desafio é que o desenvolvimento muda significativamente ao longo dos anos; no momento em que um teste de caneta é concluído e o relatório é entregue, as informações geralmente estão desatualizadas devido a alterações no aplicativo.
“Ao concluir testes incrementais no aplicativo, as organizações de segurança podem obter visibilidade atual e contínua da postura de segurança do aplicativo, pois o escopo menor permite um retorno de teste mais rápido”, explica Gerry.
Isso permite que as organizações de segurança recebam informações em tempo real sobre a postura de segurança atual do aplicativo, rede ou infraestrutura dentro do escopo.
Automação Auxilia nos Testes Contínuos
Dadas as restrições de recursos enfrentadas pela comunidade infosec, os testes contínuos exigirão uma abordagem que maximize o uso de testadores e reduza o trabalho que pode ser automatizado , diz Jason Rowland, vice-presidente de testes de penetração e serviços em nuvem da Coalfire, fornecedora de serviços de consultoria em segurança cibernética.
“A utilização de plataformas para realizar a descoberta da superfície de ataque e a identificação de vulnerabilidades, por exemplo, se tornará predominante à medida que desvendamos o verdadeiro valor da segurança ofensiva”, diz Rowland.
Como um setor prejudicado pelo grande volume de vulnerabilidades, alertas de segurança e estruturas, priorizar os comportamentos do adversário fornece clareza e facilita melhores decisões sobre o uso de recursos de segurança finitos, diz ele.
“Este modelo está sendo adotado e continuará a ganhar prevalência à medida que as organizações se concentram em atividades que fornecem o resultado específico de minimizar o impacto de incidentes de segurança”, observa Rowland.
Embora o teste de caneta seja uma abordagem modernizada para aumentar a segurança, esse processo e método continuarão a evoluir – especialmente à medida que os ataques cibernéticos se tornarem mais comuns e complexos, acrescenta Obadiaru, da Cobalt.
“As ferramentas de segurança precisarão permanecer fortes e acompanhar as demandas crescentes”, diz ele. “É provável que também veremos um aumento no uso de testes de caneta em áreas de segurança não tradicionais, como fusões e aquisições, garantia e conformidade regulatória”.
PTaaS oferece insights em tempo real
Gerry observa uma mudança crescente do pen testing tradicional para o PTaaS nos últimos anos.
“Em vez de avaliações pontuais, as organizações estão aproveitando o teste de caneta como uma ferramenta importante em seu programa de risco e segurança, em vez de um mal necessário para manter a conformidade com os requisitos internos ou externos”, diz ele.
Ao alavancar uma oferta de PTaaS, explica ele, as equipes de segurança obtêm a capacidade de visualizar resultados em tempo real por meio de uma plataforma SaaS, integrar testes de caneta em seu conjunto de produtos de desenvolvimento e segurança e instituir testes contínuos em novos testes, testes de escopo focado e novos teste de capacidade do produto.
“Cada mudança em uma rede ou aplicativo, seja uma versão principal ou uma versão incremental, representa uma oportunidade para que novas vulnerabilidades sejam introduzidas”, diz Gerry. “As organizações de segurança devem manter a capacidade de obter visibilidade em tempo real da postura atual – tanto do ponto de vista da governança de risco quanto do ponto de vista da conformidade.”
À medida que as organizações começam a priorizar os investimentos em capacidade de defesa e detecção com base nas táticas, técnicas e procedimentos dos atores com maior probabilidade de atingir suas organizações, o papel da segurança ofensiva tornou-se cada vez mais integrado e central para o sucesso da estratégia de segurança, diz Rowland .
“Como as táticas do adversário e as superfícies de ataque são dinâmicas, a segurança ofensiva deve validar continuamente que o programa está acompanhando o ritmo”, explica ele. “Testes regulares são necessários para conduzir e validar ajustes nas defesas com base em novas informações, mudanças na arquitetura ou na introdução de novos ativos.”
Steven do ThreatModeler acredita que muitas pessoas pensam em testes de penetração de uma maneira “centrada no invasor”, esquecendo que o teste de penetração é uma busca altamente específica de tecnologia quando se trata de software e plataformas também.
“Descobrimos que eram necessárias equipes especializadas para caixas eletrônicos, automotivo, saúde, Web e móvel”, diz ele. “Ainda outros lidaram com testes de penetração no nível do mainframe e do sistema operacional.”
À medida que os aplicativos migram para a nuvem, os testes de penetração e as equipes que atendem a essa atividade devem se adaptar, acrescenta Steven.
“A nuvem não é um único monólito – são vários provedores importantes, cada um com dezenas ou centenas de APIs e conjuntos de controle específicos”, diz ele. “Os testadores de penetração terão que usar ferramentas para descobrir amplos ativos baseados em nuvem não mais confinados a um data center ou intervalo de IP e, em seguida, rapidamente se tornarem especialistas nas pilhas de tecnologia usadas por qualquer plataforma de orquestração em jogo, planos de controle e provedores”.
FONTE: DARK READING