Frequentemente, scans de vulnerabilidades e pentests são considerados a mesma coisa, mas isso é um erro.. Saiba a diferença entre os dois, e quais são as principais vantagens e desvantagens de cada um deles.
Por Fernando Cosenza – CEO da Resh Cyber Defense
Como qualquer outro assunto razoavelmente novo para os executivos, a cibersegurança é um terreno cheio de “pegadinhas”.
E não importa se você tem conhecimento técnico sobre segurança cibernética ou não. Cedo ou tarde, você terá que tomar alguma decisão que envolve esse tema.
Portanto, o melhor a fazer é abraçar as novidades e aproveitar as oportunidades para aprender.
Por isso, hoje falaremos de uma das confusões mais comuns: a diferença entre um scan de vulnerabilidades e um teste de intrusão (pentest).
Scans de vulnerabilidade
São varreduras realizadas por ferramentas especializadas. Elas procuram por vulnerabilidades (ou brechas de segurança) previamente conhecidas..
Os scans de vulnerabilidades são capazes de identificar milhares de falhas de segurança cibernética como bugs em softwares, falta de patches em sistemas operacionais, serviços vulneráveis, configurações inseguras, e vulnerabilidades em aplicações web.
Seus benefícios são:
- Automação;
- Praticidade;
- Identificação rápida de falhas conhecidas no mercado;
- Menor custo;
- Não exigem grande capacidade técnica para serem executados.
No entanto, há desvantagens:
- Produzem apenas uma “fotografia”, não identificam vulnerabilidades novas e que ainda não foram mapeadas;
- Comumente, apresentam falsos positivos;
- Não executam a tentativa de exploração das vulnerabilidades encontradas;
- Não são adequados para sistemas críticos.
É comum que scans ou varreduras também sejam chamadas de pentestes. Não há grande problema nisso, desde que seja explicado à empresa que o contrata os limites de um scan.
Testes manuais de intrusão (Pentests)
Os testes manuais de intrusão são executados por analistas de segurança, chamados de pentesters ou hackers éticos, treinados para explorar com segurança as vulnerabilidades presentes em sistemas, serviços e aplicações de seus clientes.
Portanto, em um teste de intrusão, alvos são atacados com o intuito de checar se um cibercriminoso seria capaz de invadir a organização. Esses testes também revelam (e documentam) até onde um invasor conseguiria chegar e qual o estrago que ele poderia causar.
Os principais benefícios do Pentest são:
- Identificam vulnerabilidades que os scans não detectam;
- Dão atenção especial às brechas mais críticas para cada organização;
- Simulam o comportamento real de um cibercriminoso;
- Geram relatórios completos apontando o passo a passo de cada invasão e as suas evidências;
- Estimulam o aumento da maturidade de segurança do cliente.
As desvantagens também existem:
- O sucesso depende da habilidade do pentester;
- A cobertura dos testes depende da experiência e do preparo do pentester;
- O trabalho leva mais tempo para ser concluído;
- O investimento é mais alto do que o de um scan.
Entenda bem o que a sua organização precisa
Tanto os scans de vulnerabilidades quanto os pentests são soluções super valiosas. Mas, como vimos acima, são coisas bastante diferentes.
Porém, é comum vermos empresas comprando scans achando que são pentests. O ideal é associar as duas coisas.
E, como ambas avaliam a situação atual do seu ambiente de segurança, lembre-se que é preciso tratá-las como ações recorrentes, em especial se as suas aplicações recebem modificações frequentes.
Saber reconhecer as diferenças e ficar atento é essencial para saber que tipo de serviços sua empresa precisa e pretende contratar.
Conheça nossos serviços de Pentests
Ficou com alguma dúvidas sobre o assunto ou deseja saber mais sobre nossos serviços? Fale conosco!
