0
0
Se você pesquisar no Google “Com que frequência devo fazer testes de penetração?”, a primeira resposta que aparece é “uma vez por ano”. De fato, até mesmo padrões líderes do setor, como o PCI-DSS, ditam que os testes de penetração externa sejam realizados anualmente (ou após mudanças significativas na infraestrutura ou nos aplicativos), enquanto os testes internos de penetração ocorrem anualmente, com testes de segmentação ocorrendo a cada seis meses.
No entanto, os cibercriminosos de hoje não trabalham nos horários anuais. Eles não esperam até que o tempo de teste de caneta bata e as vulnerabilidades encontradas sejam corrigidas. Eles atacam rápido, atacam forte e usam ferramentas avançadas alimentadas por IA e automatizadas para explorar vulnerabilidades que muitas organizações nem sabem que existem, muito menos existem em suas próprias redes. A Gartner chama essas ameaças de “ameaçasde alto impulso” e recomenda que as organizações em risco adotem uma abordagem mais simplificada de segurança cibernética – incluindo testes de caneta.
Enfrentar os desafios dos cibercriminosos ágeis requer uma abordagem muito mais ágil para testes de caneta. Aqui está o porquê e o que pode ser feito:
A necessidade de ciclos mais rápidos
Os padrões estão acompanhando o ritmo do cibercrime. De acordo com o NIST Cyber Security Framework (CSF), as organizações devem verificar se têm vulnerabilidades corrigidas após cada atualização ou implantação de patches do sistema. No entanto, na prática, isso não acontece com frequência. O motivo? Economia simples. O teste tradicional de caneta é muito intensivo em recursos e, portanto, caro. Testadores de canetas qualificados estão em alta demanda e cobram muito por seus serviços. Um único teste de caneta pode facilmente custar dezenas de milhares de dólares por apenas uma parte do ambiente de TI de destino. Poucas organizações têm esse tipo de orçamento – e certamente não o tipo de orçamento necessário para dimensionar os testes de caneta em todo o seu ambiente na frequência necessária para garantir que as redes permaneçam seguras à medida que novos sistemas, usuários e aplicativos são atualizados ou adicionados.
A necessidade de automação
A atitude tradicional em relação ao teste manual de caneta é como a abordagem tradicional à navegação de direção: nada pode substituir a sofisticação e o conhecimento acumulado de um ser humano. Um motorista de táxi sempre vencerá o Google Maps, e um profissional treinado em testes de caneta encontrará vulnerabilidades e ataques que os testes automatizados podem perder, ou identificará respostas que parecem legítimas para o software automatizado, mas que são realmente uma ameaça.
A verdade é que, caso a caso, isso pode ser verdade. Mas com ferramentas e serviços prontos para uso, como RaaS (Ransomware as a Service) ou MaaS (Malware as a Service), que usam recursos de IA/ML para melhorar a eficiência do ataque – você precisaria de um exército de testadores de canetas para realmente enfrentar os desafios das ameaças cibernéticas de hoje. E uma vez que você os encontrasse, treinasse e empregasse, os ciberatacantes simplesmente aumentassem seus esforços de automação e você precisaria recrutar outro exército. Não é um modelo de segurança cibernética sustentável, claramente.
Da mesma forma, a adoção em larga escala de metodologias de desenvolvimento ágil se traduziu em lançamentos de software cada vez mais frequentes. Como os ambientes estão em constante evolução, os resultados dos testes de penetração realizados em versões mais antigas ou de pré-lançamento rapidamente se tornam obsoletos. E o ágil frequentemente depende de código aberto e outros pedaços de código prontos – que são altamente propensos a vulnerabilidades.
Por todas essas razões, as partes interessadas em testes de caneta estão cada vez mais se voltando para a automação, com o objetivo de alcançar a validação contínua da segurança.
A necessidade de continuidade
As metodologias tradicionais de teste de caneta – manuais e automatizadas – fornecem um instantâneo da sua postura de segurança de rede ou aplicativos. No entanto, como discutido acima, os ambientes são altamente dinâmicos, tornando a superfície de ataque um trabalho constante em andamento. Quando uma nova API está conectada, um novo servidor é adicionado ou uma nova versão lançada – esse instantâneo não é mais válido, mesmo que a próxima rodada de testes de caneta esteja a um ano de distância.
Para combater isso, as organizações estão se movendo para um modelo de teste de penetração contínua. Em vez de apenas um teste por ano, essas organizações adotam ferramentas e metodologias que podem testar seu ambiente continuamente. Como os atores de ameaças têm como alvo as organizações continuamente para descobrir e explorar novas vulnerabilidades, realmente não há alternativa para adotar uma abordagem mais proativa para descobrir e corrigir vulnerabilidades. As avaliações tradicionais de segurança point-in-time simplesmente não conseguem acompanhar.
A linha de fundo
As ameaças cibernéticas se tornaram mais ágeis, mais escaláveis e infinitamente mais perigosas. Os testes manuais e periódicos tradicionais simplesmente não podem oferecer às organizações a segurança de que precisam para sobreviver. Somente um modelo automatizado e contínuo pode proteger redes e aplicativos em constante mudança – ajudando as empresas que os adotam a permanecer seguras, permanecerem em conformidade e lucrativas.
FONTE: HELPNET SECURITY