Testes de invasão vão muito além do compliance

Os testes de invasão são constantemente confundidos com escaneamento de vulnerabilidades, auditorias de compliance ou security assessments. No entanto, essa prática vai muito além desses esforços.

Uma das principais diferenças entre os testes de invasão e as outras ações que citamos é que eles não terminam na descoberta das vulnerabilidades. Os testes exploram as vulnerabilidades encontradas para provar vetores reais de ataque contra a empresa e a segurança de seus ativos, dados e funcionários.

Além disso, apesar de os testes de invasão envolverem ferramentas automatizadas e procedimentos padronizados, o foco principal é no indivíduo e na equipe de profissionais que executam os testes, bem como em sua experiência e suas habilidades. Ótimas ferramentas automatizadas empregando técnicas sofisticadas de proteção podem estar vulneráveis à mente humana, que geralmente está munida de motivações e persistência.

Para que servem os testes de invasão

Os testes de invasão são feitos principalmente para responder à pergunta: Qual é a efetividade dos meus controles de segurança contra um ser humano habilidoso e com motivações? Os testes de invasão vão muito além de compliance porque uma empresa em conformidade com os padrões exigidos também pode estar vulnerável no mundo real quando o assunto é um hacker persistente.

Um teste de invasão permite testar múltiplos vetores de ataque usados contra um único alvo. Eles geralmente são feitos com uma combinação de informações e vulnerabilidades em diferentes sistemas que vão levar a um comprometimento bem-sucedido da rede.

Existem modalidades de testes que testam apenas um alvo por meio de um único vetor de ataque, como o browser, por exemplo.

Muito além de compliance, os testes de invasão permitem que as empresas identifiquem vulnerabilidades difíceis ou impossíveis de detectar por meio de softwares de escaneamento de vulnerabilidades ou outras ferramentas de automatização, inclusive vulnerabilidades de alto risco resultantes da combinação de vulnerabilidades de baixo risco exploradas em uma sequência particular.

Os resultados ainda oferecem aos gestores evidências para obter apoio a investimentos na área de segurança da informação.

Request a call

We offer professional security services that helps companies to protect their business against cyber-threats and continuously improve their maturity.

Consultor da IBLISS será palestrante da BHack

O consultor de segurança da IBLISS Murilo Santana vai ser um dos…
Leia mais

Gerente de operações da IBLISS será palestrante no DISI 2017

Na próxima semana, o gerente de operações Alexandro Silva, da IBLISS, vai…
Leia mais

Consultores da IBLISS apresentam palestra em semana do FCI no Mackenzie

Nesta sexta-feira (29), os consultores da iBLISS Raphael Pinheiro e Matheus Vanzella…
Leia mais