A corrida tecnológica dos últimos anos continua trazendo benefícios para as operações das empresas mas, ao mesmo tempo, potencializando os prejuízos com ataques cibernéticos por uma série de motivos que incluem, de forma especial, o aumento das fronteiras dos negócios e da complexidade das operações neste novo cenário de adoção de ambientes em nuvem e outras tecnologias, novas conexões com clientes e fornecedores e outros fatores.
Um relatório divulgado recentemente – o Cost of a Data Breach, produzido pelo Ponemom Institute – dá uma ideia do tamanho dos prejuízos enfrentados pelas empresas atualmente; segundo o report, em 2022 o custo médio por incidente envolvendo o vazamento de dados de organizações – custo este que inclui questões legais, regulatórias, técnicas e danos à marca – foi de US$ 4,35 mi. Trata-se de uma média 2,6% maior do que a média do ano anterior.
Como consequência deste cenário, os investimentos em cibersegurança devem ultrapassar os US$ 219 bi em 2023, aumento de cerca de 12% em relação a 2022. No entanto, mesmo com o aumento dos investimentos, não são poucas as empresas que enfrentam uma grande dificuldade em obter visibilidade aos riscos a que estão expostas.
Ter visibilidade do ponto de vista da segurança da informação significa, entre outras coisas, saber que dispositivos estão conectados ao ambiente e quais os riscos a que estes dispositivos estão expostos, além de saber quais vulnerabilidades estão afetando minha estrutura, que dados estão trafegando, etc.
Existe uma série de serviços de consultoria de segurança que permitem obter, de forma ágil, uma maior visibilidade das vulnerabilidades afetando sistemas e aplicativos que podem ser exploradas por atacantes, sejam elas brechas na segurança da rede, erros de configuração, falhas de software, entre tantas outras.
Dentre estes serviços estão os testes automatizados de segurança, as auditorias/testes de compliance e pentests. Cada um destes serviços, no entanto, possui características e objetivos próprios.
Neste blogpost traremos um pouco das particularidades destes serviços.
Com o aumento de regulamentações destinadas à proteção dos dados de cidadãos e clientes de empresas, sejam elas leis aplicadas pelos governos como a LGPD no Brasil ou a GDPR na Europa, sejam normas regulatórias criadas por setores específicos da economia para regular e normatizar seus mercados, empresas de todos os setores precisam estar atentas ao fluxo de dados e informações trafegando nos seus ambientes, evitando acesso não autorizado, exfiltração de dados e outras violações.
Testes de Auditoria e de Compliance verificam o nível de segurança das tecnologias envolvidas na operação, bem como das rotinas de coleta, processamento e armazenamento de dados a partir de um checklist. Importante destacar que este checklist se restringe ao escopo da auditoria em questão.
Por exemplo: uma auditoria que irá verificar a aderência das operações a uma regulação específica de um setor não irá garantir que a empresa esteja em conformidade com outras leis ou regulamentações, nem mesmo irá medir o grau de maturidade da organização. Ou seja, trata-se de um teste cujo objetivo é basicamente checar se as regras determinadas pela regulação estão sendo seguidas.
Testes automatizados utilizam uma série de ferramentas capazes de verificar falhas e vulnerabilidades no ambiente, seja em endpoints, seja na infraestrutura de rede, servidores, etc. Estes testes vem ganhando popularidade por oferecerem uma série de benefícios que incluem:
Eficiência: o uso de ferramentas automatizadas permite identificar uma série de vulnerabilidades em uma ampla gama de dispositivos em um curto espaço de tempo.
Custo-benefício e continuidade: o custo reduzido destes testes permite manter uma rotina de scans a baixos custos.
Escala: mesmo com o aumento de estrutura e com a adoção de novas tecnologias, testes automatizados podem ser facilmente conduzidos.
Mas apesar dos benefícios é preciso deixar claro que testes automatizados não representam uma solução completa para identificar todas as falhas e vulnerabilidades presentes no negócio.
Testes automatizados não conseguem identificar, por exemplo, se existe algum gap de segurança nas regras do negócio – se em um processo de compra de um e-commerce há problemas no processo de validação de dados de pagamento, por exemplo. Da mesma forma não são capazes de identificar cenários de fraude
A título de exemplo, neste contexto de fraude, vamos considerar as falhas humanas.
O relatório Data Breach Investigation Report, produzido pela Verizon, coloca entre os principais vetores para as violações o uso de credenciais roubadas (BEC), o phishing e a exploração de vulnerabilidades, nessa ordem – 74% de todas as violações incluem o elemento humano, com pessoas envolvidas por meio de erro, uso indevido de privilégios, uso de credenciais roubadas ou engenharia social.
Identificar falhas que envolvam a operação depende de um entendimento do negócio, seu contexto e as relações e conexões entre pessoas, processos e tecnologias. Testes automatizados não são capazes de fazer esta avaliação ou conduzir simulações de ataques de engenharia social que poderiam identificar gaps de conhecimento entre os colaboradores.
Pentests, ou testes de intrusão, consistem em simular um ataque em uma rede, aplicação ou sistema para identificar vulnerabilidades e avaliar a efetividade das medidas de segurança existentes na organização. São aplicados por profissionais qualificados e fazem uso de táticas, técnicas e ferramentas similares às que atacantes reais usariam contra o negócio
Pentests possuem uma série de modalidades e aplicações que incluem mas não se limitam a:
External – tem como objetivo entrar no ambiente corporativo de TI ou obter acesso a dados ou sistemas críticos a partir da Internet
Internal – avalia as proteções do ambiente corporativo de TI sob o ponto de vista da rede interna
Mobile Application – visa encontrar vulnerabilidades ou discrepâncias de programação que possam ser usadas em um ataque
Web Application – avalia resiliência de aplicações web
Wi-Fi – verifica a possibilidade de comprometer ambientes corporativos a partir de redes Wi-Fi
Testes no Ambiente de Rede – verifica vulnerabilidades neste ambiente e em seus dispositivos
Testes de Software ou aplicação desktop– identifica falhas que possam levar ao controle do dispositivo, injeção ou interceptação de dados, etc.
Testes de Hardware – verifica vulnerabilidades diretamente ao hardware do dispositivo alvo
Testes de compliance, automatizados ou pentest possuem, cada um, a devida importância. Sua aplicação deve ser guiada pelo contexto específico de cada companhia.
Metaforicamente, assim como ir a um médico e realizar um exame específico quando aparece um dado sintoma não reduz a importância de realizar check ups completos e periódicos para avaliar a saúde como um todo, cada um dos testes que apresentamos neste artigo cumprem um papel importante na saúde da segurança de uma empresa, ou seja, buscam simular cenários de ataque que irão considerar não apenas as vulnerabilidades na estrutura tecnológica, mas também no escopo único de cada empresa, sua operação, as pessoas envolvidas e, claro, as tecnologias usadas.
Com início das operações em 2001, o Pentest da Tempest conta com a experiência e conhecimento do maior time técnico da América Latina (SOC, Threat Hunting, Incident Response, Software Engineering, Red Team, Vulnerability Management e Threat Intelligence) para entregar um serviço de alta profundidade, com resultados robustos, tecnicamente sofisticados e efetivamente aderentes aos desafios e necessidades dos nossos clientes.
Recentemente produzimos o Guia do Comprador de Pentest da Tempest, onde você conhece melhor cada um dos tipos de pentest disponíveis atualmente e também tem acesso a uma série de dicas. Nele também apresentamos os seis elementos essenciais que irão ajudar a avaliar um fornecedor para encontrar a solução mais adequada para sua situação.
A Tempest Security Intelligence é uma empresa brasileira com atuação global. É a maior companhia brasileira especializada em cibersegurança e prevenção a fraudes digitais.
Sediada no Recife, a Tempest conta também com escritórios em São Paulo e Londres, com mais de 600 colaboradores.
Ao longo de seus 23 anos, a Tempest ajudou a proteger mais de 600 empresas de todos os portes e setores, dentre elas companhias do setor financeiro, varejo, e-commerce, indústria e healthcare, atuando em clientes nacionais e internacionais atendidos tanto pelo time no Brasil quanto no Reino Unido.
Em 2020, a Tempest conquistou um parceiro de peso para continuar na vanguarda da cibersegurança, recebendo um grande aporte da Embraer, companhia brasileira de engenharia aeroespacial, o qual resultou em um dos maiores investimentos já realizados na história do setor de cibersegurança na América Latina.
4G e Inteligência Artificial são as fronteiras de mudança tecnológica nos próximos três anos, aponta estudo da Tempest
A importância da aplicação do Gerenciamento de Vulnerabilidades e Conformidades na proteção dos negócios
Ameaças cibernéticas de 2021 e tendências para 2022 foram tema da primeira edição do Tempest Live Sessions deste ano. Assista!