Testes de invasão vão muito além do compliance

Os testes de invasão são constantemente confundidos com escaneamento de vulnerabilidades, auditorias de compliance ou security assessments. No entanto, essa prática vai muito além desses esforços.

Uma das principais diferenças entre os testes de invasão e as outras ações que citamos é que eles não terminam na descoberta das vulnerabilidades. Os testes exploram as vulnerabilidades encontradas para provar vetores reais de ataque contra a empresa e a segurança de seus ativos, dados e funcionários.

Além disso, apesar de os testes de invasão envolverem ferramentas automatizadas e procedimentos padronizados, o foco principal é no indivíduo e na equipe de profissionais que executam os testes, bem como em sua experiência e suas habilidades. Ótimas ferramentas automatizadas empregando técnicas sofisticadas de proteção podem estar vulneráveis à mente humana, que geralmente está munida de motivações e persistência.

Para que servem os testes de invasão

Os testes de invasão são feitos principalmente para responder à pergunta: Qual é a efetividade dos meus controles de segurança contra um ser humano habilidoso e com motivações? Os testes de invasão vão muito além de compliance porque uma empresa em conformidade com os padrões exigidos também pode estar vulnerável no mundo real quando o assunto é um hacker persistente.

Um teste de invasão permite testar múltiplos vetores de ataque usados contra um único alvo. Eles geralmente são feitos com uma combinação de informações e vulnerabilidades em diferentes sistemas que vão levar a um comprometimento bem-sucedido da rede.

Existem modalidades de testes que testam apenas um alvo por meio de um único vetor de ataque, como o browser, por exemplo.

Muito além de compliance, os testes de invasão permitem que as empresas identifiquem vulnerabilidades difíceis ou impossíveis de detectar por meio de softwares de escaneamento de vulnerabilidades ou outras ferramentas de automatização, inclusive vulnerabilidades de alto risco resultantes da combinação de vulnerabilidades de baixo risco exploradas em uma sequência particular.

Os resultados ainda oferecem aos gestores evidências para obter apoio a investimentos na área de segurança da informação.

Request a call

We offer professional security services that helps companies to protect their business against cyber-threats and continuously improve their maturity.

Maio 2018, sua empresa está preparada para a diretiva NIS?

Maio 2018 é um mês importante para o segmento de Cyber Security,…
Leia mais

Como melhorar a maturidade dos controles de Segurança e Privacidade dos dados?

A definição e formalização de todos os processos de Segurança e Privacidade…
Leia mais

28.01 Dia internacional da proteção de Dados Pessoais

Em mundo em que a linha que separa o mundo real e…
Leia mais