Penetration testing as a service (PTaaS)
No ambiente acelerado de DevSecOps de hoje, a avaliação de segurança por especialistas em testes de penetração não pode ser um evento pontual, anual. Ela deve evoluir com o seu código. É por isso que as organizações estão se afastando das avaliações de segurança tradicionais baseadas em projetos em direção a um modelo contínuo.
Tudo gira em torno de um modelo relativamente recente, pentesting como serviço (PTaaS), no qual o pen testing convencional é ajustado para ter mais valor dentro da metodologia ágil e agora popular do DevSecOps.
O que são testes de penetração?
Como você viu nos parágrafos anteriores, usamos as palavras "testes de penetração", "pentesting" e "pen testing". Isso é comum nesse contexto, mas todos se referem ao mesmo conceito: teste de segurança de sistemas de informação simulando ataques genuínos com a autorização de seus proprietários para detectar problemas de segurança.
Os testes de penetração consistem em um analista de segurança simular ou investigar um sistema de computador com o objetivo de encontrar vulnerabilidades exploráveis. Não é incomum realizar testes de penetração na camada de aplicação; no entanto, também se estende para as camadas de rede, nuvem, IoT e API, oferecendo visibilidade de stack completo em potenciais caminhos de ataque.
Os testes de penetração fazem parte de uma postura de segurança ofensiva na qual a ideia predominante é que a melhor maneira de lidar com atacantes maliciosos é pensar e agir como eles. Isso é feito por especialistas em segurança, conhecidos como white hat testers, hackers éticos ou, mais precisamente, pentesters, utilizando várias táticas, técnicas e procedimentos. Isso permite que as organizações aprendam como um ator de ameaça percebe sua postura de segurança atual e como as medidas de segurança existentes lidam com um ciberataque na vida real.
Em seus resultados de penetração e exploração, esses especialistas revelam aos proprietários e stakeholders onde e como fazer ajustes para proteger seus sistemas.
Testes manuais vs. testes automatizados: a vantagem híbrida
O progresso contínuo na cibercrime e a evolução acelerada da tecnologia tornam necessário avaliar a segurança dos sistemas repetidamente. Erroneamente, muitas organizações acreditam que a implementação de ferramentas automatizadas é a solução perfeita, e que quanto mais ferramentas tiverem, melhor. A automação cumpre o chamado escaneamento de vulnerabilidade. Isso, no entanto, atua apenas como uma primeira camada dentro de uma estratégia de testes de segurança abrangente. Os sistemas são verificados por esse método para detectar rapidamente problemas de segurança já conhecidos. Não incluir uma camada ativa de intervenção humana em um projeto de teste de segurança, precisamente com pen testing manual, é um erro crasso.
Pedimos que você esteja ciente de nossa ênfase acima em "manual". Falamos sobre testes de penetração manuais porque, no contexto de cibersegurança, ferramentas automáticas também são atribuídas a capacidade de realizar pentesting. Não disputamos que as ferramentas podem infiltrar ou encontrar seu caminho em vários recantos de um sistema. Mas o teste de penetração adequado não deve ser limitado à automação. Pentesting sem intervenção humana acaba sendo mero escaneamento de vulnerabilidades.
A experiência humana oferece flexibilidade e criatividade para apoiar o teste de segurança na detecção de vulnerabilidades sofisticadas e vulnerabilidades zero-day que scanners ignoram, como falhas complexas em lógica de negócio (por exemplo, burlar fluxos de trabalho de compra ou manipular permissões de usuário). Ao contrário do que os pentesters podem alcançar com uma inspeção detalhada e aprofundada, o escaneamento de vulnerabilidades muitas vezes resulta em altas taxas de falsos positivos e, acima de tudo, falsos negativos, que, em última análise, devem ser validados e descobertos por esses profissionais de segurança. (Para ver uma comparação real de precisão entre ferramentas e humanos, convidamos você a ler nosso relatório "Aumentar a precisão do AST por meio de pentesting.")
Como o pentesting é realizado?
Um serviço de teste de penetração pode incluir entre seus alvos aplicativos web e móveis, redes, dispositivos IoT, infraestrutura como código, contêineres e outros sistemas de informação. Ele busca detectar problemas em controles de autenticação e autorização de usuários, exposição de dados sensíveis, erros de codificação segura e fraquezas em mecanismos de defesa, entre muitos outros problemas de segurança.
O processo de pentesting pode geralmente ser dividido nas seguintes fases:
Planejamento e escopo
Para começar com a penetração, os pentesters devem obter a aprovação do proprietário do sistema, que pode estabelecer certos limites de escopo. Esta etapa é essencial para definir os objetivos dos testes, determinar quais componentes de TI estão dentro e fora da superfície de ataque e estabelecer protocolos de comunicação, acordos de nível de serviço e prazos de entrega de relatórios, entre outras questões.
Coleta de informações e reconhecimento
Primeiro vem o reconhecimento passivo, onde os pentesters coletam informações sobre a organização e os objetivos sem interagir diretamente com eles. O que acontece é o uso de fontes externas e abertas. Depois há o reconhecimento ativo através de interação direta com os alvos. Os pentesters buscam um perfil profundo com uma coleta de informações mais intrusiva. Eles identificam a tecnologia usada e como ela funciona. Além disso, determinam possíveis vetores de entrada e ataque.
Análise e exploração de vulnerabilidades
Em seguida, os pentesters usam ferramentas de escaneamento e métodos manuais que contribuem para a identificação de vulnerabilidades. Eles analisam, através de vários fatores, o nível de risco e o impacto que a exploração de cada problema de segurança pode gerar. Após todo o planejamento, os pentesters tentam explorar as vulnerabilidades de maneira criativa (algo que uma ferramenta automática não pode fazer), preferencialmente dentro de um ambiente de testes.
O objetivo é avaliar quão profundamente um atacante poderia penetrar no sistema. Os pentesters têm acesso ao alvo com diferentes métodos (por exemplo, escalonamento de privilégios e movimentação lateral), em níveis variados de profundidade, a fim de determinar os impactos reais. A fase pós-exploração avalia o impacto da violação e a extensão das ações potenciais de um atacante uma vez dentro do sistema.
Relatórios e remediação
Uma vez que a tarefa é concluída, os pentesters compilam seus resultados em relatórios técnicos e executivos. Estes apresentam aos envolvidos detalhes sobre as vulnerabilidades detectadas e exploradas, as respostas do sistema à penetração, os dados que acessaram e todas as outras informações sobre o incidente simulado. Além disso, eles fornecem evidências dos problemas de segurança e recomendações para sua remediação.
O que é pentesting como serviço (PTaaS)?
Antes da computação em nuvem, o pentesting costumava ser contratado para ser realizado como uma avaliação pontual entre amplos intervalos de tempo, por exemplo, anualmente ou semestralmente. (No entanto, se é que o aplicam, muitas organizações continuam solicitando-o desta maneira.) Neste modelo, os resultados são entregues ao cliente apenas em um relatório final estático que pode já ter dados desatualizados. O pentesting tradicional é tipicamente reativo, exige muito trabalho e não acompanha a taxa sofisticada de mudanças no desenvolvimento de software moderno.
PTaaS surgiu como um novo modelo de entrega para o teste de penetração para eliminar limitações anteriores. É adaptado à velocidade de desenvolvimento de hoje e realizado continuamente enquanto o software evolui a um certo ritmo no SDLC (ciclo de vida do desenvolvimento de software). É uma solução terceirizada que fornece testes de penetração sob demanda, escaláveis e contínuos através de uma plataforma baseada na nuvem que se integra diretamente ao seu SDLC.
A essência do modelo PTaaS
Engajamento contínuo: Resultados são entregues incrementalmente com base em novas descobertas feitas pelos pentesters envolvidos. PTaaS permite que as organizações realizem testes de penetração diariamente, ou até mesmo após cada mudança em suas aplicações ou outros sistemas.
A plataforma: PTaaS usa um único painel de controle baseado na nuvem onde os resultados podem ser visualizados, monitorados e analisados continuamente. Em vez de relatórios PDF volumosos, que são comuns na metodologia de pentesting pontual tradicional, os resultados são armazenados, pesquisáveis e facilmente disponíveis para os membros das equipes de desenvolvimento e segurança das empresas clientes do PTaaS nesta plataforma centralizada.
Abordagem híbrida: No PTaaS, deve haver testes de penetração manuais e automatizados. Este modelo reconhece que a criatividade humana ainda é indispensável na avaliação de sistemas. Se fosse apenas a automação, acabaríamos falando simplesmente sobre software como serviço (SaaS). A contínua realização de testes de penetração manual é combinada com escaneamento de vulnerabilidades para desfrutar dos benefícios de ambas as soluções. Os especialistas e as ferramentas podem garantir o uso de uma ampla variedade de metodologias de testes de segurança. Enquanto as ferramentas automatizadas concentram-se na detecção rápida de vulnerabilidades conhecidas, os pentesters se envolvem na descoberta de vulnerabilidades mais complexas e até mesmo desconhecidas anteriormente. Os pentesters também correlacionam seus resultados e validam aqueles entregues pelas ferramentas, garantindo que o relatório final esteja correto e que nada tenha sido perdido.
PTaaS no SDLC: deslocando a segurança para a esquerda
O valor do PTaaS reside em sua perfeita integração no SDLC, o que representa um apoio direto para as equipes de DevSecOps.
Detecção precoce e eficiência de custo: PTaaS ajuda a apoiar equipes de DevSecOps ao deslocar a segurança para a esquerda. Testar aplicações em uma fase inicial e avaliar repetidamente permite que as equipes solucionem problemas de segurança à medida que ocorrem. Como resultado, os desenvolvedores podem criar uma aplicação mais segura sem passar por uma reconstrução custosa durante as etapas finais do SDLC.
Ciclo de feedback rápido: O cliente pode alcançar uma gestão de vulnerabilidades bem-sucedida, uma vez que este novo modelo contínuo ajuda a resolver o problema da priorização e remediação causado pelo modelo anterior, no qual todas as vulnerabilidades, antigas e novas, são deixadas para serem relatadas em um único ponto no tempo. O PTaaS encurta dramaticamente o ciclo de feedback, entregando descobertas em tempo real, completas com pontuação de explorabilidade e orientações de remediação. As equipes de segurança podem corrigir problemas antes que os atacantes possam explorá-los.
Colaboração: Outra dificuldade resolvida com o PTaaS é a colaboração limitada ou inexistente entre desenvolvedores e pentesters. Os últimos agora podem apoiar os primeiros com frequência, resolvendo suas dúvidas e fornecendo recomendações ou instruções de remediação. Essa colaboração constante e acesso a especialistas garantem que as vulnerabilidades sejam corrigidas sem esgotar os recursos das equipes internas.
Benefícios do PTaaS
De um provedor de PTaaS proficiente, você pode esperar o seguinte:
Teste híbrido para maior precisão: Uma integração de automação e hackers éticos ou pentesters que melhora a eficiência e a precisão dos testes de segurança. Esta combinação garante a detecção minuciosa de vulnerabilidades complexas com base na lógica de negócio.
Visibilidade em tempo real: Um painel único com todos os dados relevantes durante os testes de penetração que proporciona amplo e conveniente controle para a gestão de vulnerabilidades. Os dados estão sempre disponíveis e continuamente atualizados à medida que a avaliação do seu sistema avança—um procedimento que se mantém alerta a mudanças recentes.
Remediação acelerada: A remediação de vulnerabilidades pode ser realizada logo após a identificação, seguindo uma priorização. Assim, você evita entrar em produção com um alto risco de ser prejudicado por ataques cibernéticos bem-sucedidos. O PTaaS fornece às equipes de segurança visibilidade contínua sobre vulnerabilidades exploráveis e recomendações para sua rápida remediação.
Colaboração aprimorada: O modelo deles permite uma cooperação constante, respeitosa e eficaz entre o grupo de pentesters e suas equipes de desenvolvimento e segurança.
Reavaliações ilimitadas: Uma vez que você tenha remediado uma vulnerabilidade, pode solicitar a verificação da eficácia da solução implementada. Este reteste sob demanda, sem envolver consultores caros, é um grande impulso para a eficiência operacional.
Escalabilidade e personalização: O PTaaS escala sem esforço para atender às necessidades de segurança de organizações em crescimento e é altamente personalizável para atender a diferentes requisitos de segurança e mandatos específicos da indústria, como PCI DSS, HIPAA e GDPR.
Desafios potenciais e o que procurar em um provedor de PTaaS
Embora o PTaaS ofereça vantagens significativas, as organizações devem escolher seu provedor com cuidado para maximizar os benefícios.
Desafio/Consideração | O que procurar em um provedor |
Experiência dos pentesters | Busque talentos com ampla experiência, certificações reconhecidas pela indústria (por exemplo, OSCE³, eCPTX, CRTM, eWPTX) e um compromisso com altos padrões éticos. |
Consistência dos avaliadores | Alguns fornecedores dependem de modelos de crowdsourcing, o que pode diversificar os testes, mas pode reduzir a oportunidade de formar uma relação consistente com um testador que compreende profundamente seu ambiente. Escolha um provedor com pentesters internos sólidos, em tempo integral, que priorize a criatividade e a supervisão humanas. |
Coverage dos testes | Garanta que o provedor ofereça testes completos de todo o seu ecossistema digital (aplicações, infraestrutura, contêineres, API, etc.) e possa realizar simulações de exploits encadeados para obter uma visão realista de como uma violação de segurança pode se propagar. |
Integração | A plataforma ideal se integra perfeitamente com ferramentas existentes, como pipelines CI/CD, IDEs e sistemas de tickets (por exemplo, Jira Cloud, Azure DevOps) para simplificar os fluxos de trabalho de remediação. |
Priorização | Além das pontuações CVSS padrão, a plataforma deveria oferecer uma priorização dinâmica baseada no risco potencial para o negócio, a explorabilidade no seu ambiente e o valor dos ativos, o que ajuda as equipes a se concentrarem nas questões mais importantes. |
Qualidade dos relatórios | Os relatórios devem estar prontos para auditoria e ser fáceis de compartilhar, fornecendo um resumo executivo de alto nível e um guia de remediação detalhado e contextualizado, adaptado tanto para os stakeholders técnicos quanto para os não técnicos. |
PTaaS pela Fluid Attacks
Em consonância com o anterior, seja você tentando apenas cumprir normas como PCI DSS, NIST, GDPR, HIPAA, etc., ou aspirando a um compromisso mais amplo com a segurança de sua empresa e clientes ou usuários, na Fluid Attacks, oferecemos PTaaS ideal.
Nós fornecemos avaliações contínuas e aprofundadas por nossos pentesters, que se concentram na descoberta de vulnerabilidades conhecidas e zero-day em seu software com uma avaliação de risco mais próxima do cenário real de ameaças.
Nossa experiência: O verdadeiro pentesting não é um processo automatizado, mas manual. O nosso é realizado por especialistas que simulam as técnicas de atores de ameaças de forma contínua, não pontual. Nossa equipe possui mais de 50 certificações em segurança ofensiva, como OSCE³, OSCP, PWPP, eCPTX, CRTM, CAPenX, eWPTX, entre outras. O Conselho de Testadores de Segurança Ética Registrados (CREST) validou que a Fluid Attacks possui expertise, metodologias e conhecimentos suficientes para realizar PTaaS abrangente e confiável.
Coverage holística: Nós testamos em modo seguro (ou seja, sem afetar a disponibilidade dos seus serviços) a segurança de suas aplicações web e móveis, microserviços, infraestrutura em nuvem e outros sistemas de TI. Combinamos nossas ferramentas automáticas com testes de penetração manuais por nossos especialistas em cibersegurança, que possuem uma ampla gama de habilidades em segurança ofensiva. Dessa forma, obtemos taxas mínimas de falsos positivos e falsos negativos. O modelo PTaaS complementa superbamente o escaneamento de vulnerabilidades. Nossos pentesters identificam vulnerabilidades que estão fora do alcance das ferramentas e verificam meticulosamente a autenticidade das descobertas.
Integração e remediação: Integramos o PTaaS ao seu SDLC desde o início e testamos seu software no ritmo da sua equipe de desenvolvimento e suas micro mudanças. Em nossa plataforma, você recebe continuamente relatórios detalhados à medida que o pentesting contínuo avança. Estes facilitam para você entender sua exposição ao risco e priorizar problemas de segurança para sua remediação. Nossos pentesters podem explorar falhas em seu software e, em seguida, fornecer evidências dos vetores de ataque e impactos nos dados e operações através de vídeos e imagens.
Apoio aos desenvolvedores: Seus desenvolvedores podem manter comunicação e colaboração com nossos pentesters, dos quais recebem evidências claras e tangíveis e recomendações de correção. Além disso, nossa equipe oferece reataques ilimitados para verificar se suas vulnerabilidades foram solucionadas de maneira efetiva. Por outro lado, nosso CI Gate quebra o build (interrompe a compilação) para evitar que as vulnerabilidades passem à produção se permanecerem abertas, de acordo com as políticas de sua organização.
Essa solução faz parte de nosso Hacking Contínuo. Convidamos você a nos contatar caso tenha interesse em experimentar os benefícios de nosso pentesting como serviço (PTaaS). Se você quiser iniciar nossos serviços de teste de segurança usando ferramentas automáticas, temos um teste gratuito de 21 dias de nosso plano Essential à sua disposição.
