Frequentemente, scans de vulnerabilidades e pentests são considerados a mesma coisa, mas isso é um erro.. Saiba a diferença entre os dois, e quais são as principais vantagens e desvantagens de cada um deles.
Por Fernando Cosenza – CEO da Resh Cyber Defense
Como qualquer outro assunto razoavelmente novo para os executivos, a cibersegurança é um terreno cheio de “pegadinhas”.
Ademais, não importa se você tem conhecimento técnico sobre segurança cibernética ou não, cedo ou tarde, você terá que tomar alguma decisão que envolve esse tema.
Portanto, o melhor a fazer é abraçar as novidades e aproveitar as oportunidades para aprender.
Por isso, hoje falaremos de uma das confusões mais comuns: a diferença entre um scan de vulnerabilidades e um teste de intrusão (pentest).
Ferramentas especializadas realizam varreduras. Em outras palavras, elas procuram por vulnerabilidades (ou brechas de segurança) previamente conhecidas.
Os scans de vulnerabilidades são capazes de identificar milhares de falhas de segurança cibernética como bugs em softwares, falta de patches em sistemas operacionais, serviços vulneráveis, configurações inseguras, e vulnerabilidades em aplicações web.
Seus benefícios são:
- Automação;
- Praticidade;
- Identificação rápida de falhas conhecidas no mercado;
- Menor custo;
- Para executá-los, não é exigida grande capacidade técnica.
No entanto, há desvantagens:
- Produzem apenas uma “fotografia”, não identificam vulnerabilidades novas e que ainda não foram mapeadas;
- Comumente, apresentam falsos positivos;
- Não executam a tentativa de exploração das vulnerabilidades encontradas;
- Sistemas críticos não os consideram adequados.
Assim, é comum que também se chamem scans ou varreduras de pentestes. Não há grande problema nisso, desde que a empresa que os contrata seja explicada sobre os limites de um scan.
Testes manuais de intrusão (Pentests)
Analistas de segurança executam testes manuais de intrusão. Assim, eles são chamados de pentesters ou hackers éticos, treinados para explorar com segurança as vulnerabilidades presentes em sistemas, serviços e aplicações de seus clientes.
Portanto, em um teste de intrusão, alvos são atacados com o intuito de checar se um cibercriminoso seria capaz de invadir a organização. Além disso, esses testes também revelam (e documentam) até onde um invasor conseguiria chegar e qual o estrago que ele poderia causar.
Os principais benefícios do Pentest são:
- Identificam vulnerabilidades que os scans não detectam;
- Dão atenção especial às brechas mais críticas para cada organização;
- Simulam o comportamento real de um cibercriminoso;
- Geram relatórios completos apontando o passo a passo de cada invasão e as suas evidências;
- Estimulam o aumento da maturidade de segurança do cliente.
As desvantagens também existem:
- O sucesso depende da habilidade do pentester;
- A cobertura dos testes depende da experiência e do preparo do pentester;
- Leva mais tempo para concluir o trabalho;
- O investimento é mais alto do que o de um scan.
Entenda bem o que a sua organização precisa
Tanto os scans de vulnerabilidades quanto os pentests são soluções super valiosas. Mas, como vimos acima, são coisas bastante diferentes.
Porém, é comum vermos empresas comprando scans achando que são pentests. O ideal é associar as duas coisas.
E, como ambas avaliam a situação atual do seu ambiente de segurança, desse modo, lembre-se que é preciso tratá-las como ações recorrentes, em especial se as suas aplicações recebem modificações frequentes.
Em suma, saber reconhecer as diferenças e ficar atento é essencial para saber que tipo de serviços sua empresa precisa e pretende contratar.
Conheça nossos serviços de Pentests
Ficou com alguma dúvidas sobre o assunto ou deseja saber mais sobre nossos serviços? Fale conosco!
