Eduardo Gomes (*)
A digitalização de processos, serviços e produtos aumenta a eficiência das empresas, gera mais benefícios aos clientes e cresce a cada dia. Ao mesmo tempo o aumento da digitalização expõe as organizações a novos riscos, antes desconhecidos, com hackers buscando vulnerabilidades para roubar, sequestrar dados ou mesmo paralisar uma operação.
Um bom processo de digitalização deve ser acompanhado por uma política de cibersegurança, que vise a melhoria e a evolução contínua das ferramentas e ações da equipe de TI, pois o que funciona hoje pode não dar certo amanhã. O pentest (penetration testing ou teste de penetração, em português) ainda é uma das ferramentas mais eficientes para aumentar a segurança das empresas.
Segundo o relatório Cost of Data Breach da IBM, em 2023, o custo médio global de uma violação de dados foi de US$ 4,45 milhões, 2,3% a mais do que o registrado em 2022, quando o custo foi US$ 4,35 milhões. Já no Brasil, o valor médio foi de US$ 1,22 milhões.
O preço do prêmio dos ciberseguros também acompanhou a elevação nos custos das violações e segundo a pesquisa Moody`s 2023 cyber survey, subiu 50% de 2020 a 2022.
A apuração feita pela agência de avaliação de riscos, Moody`s, também apontou que o investimento em cibersegurança cresceu 70% entre 2019 e 2023. No mesmo período, o percentual do orçamento de TI voltado para a cibersegurança subiu de 5% para 8%. A preocupação das empresas com a cibersegurança é reforçada pela consultoria norte-americana Gartner.
Segundo suas estimativas os gastos globais em cibersegurança e gerenciamento de riscos devem chegar a US$ 215 bilhões neste ano, um aumento de 14% em comparação com 2023. A cibersegurança é tema de preocupação e deverá receber investimentos constantes. Mas antes de gastar é preciso saber onde investir, quais as vulnerabilidades mais críticas, como os ataques são feitos, quais dados podem ser acessados, roubados ou sequestrados e é aí que entra o pentest.
Por meio de testes de penetração as empresas conseguem ter uma visão rápida e precisa do estado atual das suas defesas cibernéticas. No pentest, hackers éticos usam as mesmas ferramentas e técnicas de invasores reais, incluindo o uso de Inteligência Artificial (IA), para violar a segurança de sistemas operacionais, ambientes na nuvem, APIs, softwares, entre outros, com o objetivo de descobrir e explorar suas vulnerabilidades.
A realização dos testes permite saber se a empresa é capaz de detectar o ataque, se a infraestrutura, equipe, aplicativos e sistemas estão habilitados a responder ao ataque e se os invasores podem roubar dados de clientes, arquivos ou mesmo paralisar a operação.
Após os testes a empresa pode verificar como foi feito o ataque, quais falhas possibilitaram as invasões, como elas podem ser corrigidas, antes delas serem exploradas, e quais ativos devem ser priorizados com base nos danos causados.
Como o objetivo do pentest é simular situações reais, diferentes abordagens podem ser conduzidas. No teste de penetração externo, a tentativa de invasão na rede interna da empresa é feita por meio dos sistemas acessíveis pela internet, incluindo servidores de e-mail ou ambientes de nuvem. Já um teste de penetração interno, simula situações em que um invasor já está no dispositivo de um funcionário e seu objetivo é determinar quais danos podem ocorrer se o acesso corporativo for utilizado de forma criminosa.
Muitas vezes, um ataque interno pode causar mais danos em menos tempo do que um ataque externo, pois alguns sistemas de proteção já foram contornados ou superados. Os testes também podem ter um alvo específico como um aplicativo em nuvem ou um servidor de e-mail e seu objetivo é testar a resiliência do alvo e saber como é possível melhorar o monitoramento interno para a empresa detectar o ataque mais cedo. A segurança de dispositivos IoT também pode ser avaliada.
A realização de diferentes abordagens de testes permite desenvolver uma estratégia de segurança sólida. Quando uma organização conhece seus pontos fracos é mais fácil saber o que fazer e onde investir. Mas o pentest precisa acontecer de forma regular para ser efetivo. Se não for possível avaliar todo o sistema sempre, uma boa iniciativa é focar nas novas aplicações e atualizações.
(*) – É Gerente de Cibersegurança na TÜV Rheinland (https://www.tuv.com).