Segurança > Cibercrime, Estratégia, Governança

Cinco mitos relacionados aos testes de invasão

Testes de invasão são medidas proativas e servem para testar protocolos de segurança contra métodos comuns e avançados de cibercrime

29 de Junho de 2016 - 17h06

Os cibercriminosos estão usando técnicas cada vez mais sofisticadas na hora de violar redes e sistemas de alto valor. Por isso, a detecção e a remediação de vulnerabilidades são essenciais para proteger os dados dos ataques mais avançados.

Existem, porém, alguns mitos relacionados aos testes de invasão que impedem as empresas de investir nesse tipo de serviço para aferir o nível de segurança e garantir mais proteção para dados sensíveis de clientes e de funcionários, dados de propriedade intelectual e outros ativos importantes para a continuidade do negócio.

Os testes de invasão são medidas proativas e servem para testar protocolos de segurança contra métodos comuns e avançados de cibercrime. Ao deixar que uma equipe de profissionais autorizada invada sua empresa, seja por meio de uma tecnologia em uso ou por pessoas, é possível determinar o nível de exposição do ambiente e descobrir a possibilidade de vazamentos e fraudes.

Veja a seguir alguns mitos sobre os testes de invasão ainda presentes em empresas de todos os tamanhos:

Mito #1: Ferramentas de varredura de vulnerabilidades podem encontrar tudo

Um bom escaneamento serve para identificar vulnerabilidades em parte dos controles de segurança existentes em um ambiente. Junto de outras ferramentas, como soluções de proteção do perímetro, monitoramento do ambiente e controle de acesso, o escaneamento ajuda a formar uma primeira linha de defesa contra os usuários maliciosos, mas não vai além disso.

Essas ferramentas são automatizadas e contam com “assinaturas” para identificar as vulnerabilidades mais comuns, como um antivírus. Porém, são incapazes de mostrar fragilidades mais profundas e contextuais, as quais seriam utilizadas por um hacker real. Scanners de vulnerabilidades podem mostrar, por exemplo, a presença de senhas padronizadas, mas apenas um hacker saberia como usar esse recurso para ter acesso a dados sensíveis não criptografados, por exemplo.

Mito #2: Não pode haver algo de bom em um hacker invadindo minha rede

Sua empresa precisa de um hacker. É comum que a palavra “hacker” assuste as empresas, mas a melhor maneira de entender o cibercrime é pensando como um cibercriminoso. É esse o trabalho dos hackers “éticos”, que, conhecendo as técnicas mais avançadas, conseguem identificar fraquezas, alvos fáceis, usuários privilegiados e as maiores ameaças.

Mito #3: O que mais conta nos testes de invasão são as ferramentas usadas

É comum pensar que soluções sofisticadas são o que contam ao contratar um serviço de teste de invasão. Muito pelo contrário, a equipe de profissionais é o mais importante. Os melhores testes de invasão são executados manualmente em sua maior parte. Além do conjunto certo de ferramentas, o teste de invasão exige alto grau de expertise dos profissionais para se alcançar resultados de qualidade.

Ferramentas complexas não são o mais importante porque os testes de invasão, assim como uma invasão real, dependem de decisões que exigem o julgamento do usuário para atingir seus objetivos. Ao contrário das ferramentas de automação, os seres humanos têm motivações e paciência para atingir seus objetivos. É preciso julgar as informações disponíveis em cada passo para seguir em frente tendo em vista o maior ganho possível para o cibercriminoso.

Mito #4: Apenas grandes empresas precisam de testes de invasão

Outro mito sobre testes de invasão é o de que apenas grandes empresas, que contam com um ambiente complexo, precisam contratar testes de invasão, pois não há interesse nos dados de empresas pequenas.

Os hackers invadem, sim, empresas pequenas, pois elas têm uma série de características atraentes, como um ambiente menos complexo e “dicas” de como acessar seu ambiente, como detalhes de logins disponíveis.

No Brasil, é comum que as pequenas empresas contem com uma estrutura de segurança ainda muito básica, contando apenas com a presença de um antivírus, um antimalware e um firewall. A gestão de vulnerabilidades e boas práticas ainda é observada em poucas empresas e, mesmo quando há, não é suficiente para cobrir todas as ameaças.

Quando há motivações políticas ou financeiras, os hackers encontram maneiras de coletar informações e buscar acesso à informação, mesmo que leve meses e que, para isso, tenham de deixar passar alvos fáceis para mirar nos mais privilegiados.

Mito #5: O teste de invasão “custa” caro

Como citado no mito #3, o teste de invasão é um trabalho intelectual que conta com um especialista analisando a segurança dentro de um determinado escopo. Ou seja, quanto maior a duração, maior o valor da fatura.

Por falta de conhecimento específico, algumas empresas acabam por contratar um projeto com escopo inadequado, sem se preocupar com o contexto de seu negócio, método de análise e profundidade. Com isso, caso o projeto não seja inviabilizado por custo, seu resultado poderá ser mal aproveitado, por não endereçar os objetivos principais, como a identificação de ameaças aos processos de negócio.

Um teste de invasão bem desenhado permite alcançar ótimos resultados com um investimento adequado à realidade de cada empresa. É uma ótima maneira de proteger o negócio e os ativos relacionados para garantir sua continuidade.

*Leonardo Militelli é sócio-diretor da iBliss.