O que devemos pensar sobre os Testes de Penetração?

Submitted by webmaster on seg, 31/05/2021 - 23:20
Cyber traditional approach

 

O que são testes de penetração?

 

Como seu nome indica, cabe a uma organização fazer uma série de tentativas de intromissão em seu sistema de informação e comunicação.

O objetivo destes testes é detectar falhas e pontos fracos a fim de avaliar o nível de proteção e resiliência do sistema.

 

Limitações desta abordagem

 

Estes testes são conduzidos em um sistema em produção:

 

  • que apresenta riscos significativos

  • não é possível realizar testes destrutivos

  • os testes que são realizados são na maioria das vezes baseados em casos conhecidos e documentados

  • concentram-se no componente de acesso a sistemas, bancos de dados, rede, às vezes a algum software

  • devem ser realizadas de forma recorrente, adaptada e atualizada, em princípio para cada adição ou modificação, evolução de qualquer componente do sistema

 

O que significa, estes testes apresentam riscos de interrupção e não permitem uma avaliação completamente confiável.

 

 

Se não forem inúteis, induzem riscos adicionais reais e muito importantes

 

  • porque recorrem a hackers, especialistas externos para evitar a distorção dos testes e para se aproximarem o mais possível das condições reais de ataque,

  • você comunica informações estratégicas, sensíveis e confidenciais a terceiros,

  • você corre o risco de pagar a seu futuro hacker para aprender, testar e prejudicá-lo. Um acordo comercial ou contratual com uma empresa não pode protegê-lo do comportamento individual ou pessoal de uma pessoa maliciosa...

 

O que significa, você adiciona altos riscos e paga por eles!

 

 

O que deve ser feito?

 

Já em junho de 2017, o Gartner Group emitiu um relatório sobre o valor do uso de ferramentas de simulação para a área de Cyber Security.

O anúncio sobre sua abordagem estratégica de segurança cibernética chamada CARTA (Continuous Adaptive Risk and Trust Assessment) sugere que será um requisito para a maioria das organizações o uso de uma gama cibernética como uma ferramenta de endurecimento das infra-estruturas de TI

 

O problema é que esta nova abordagem é difícil e cara de ser implementada porque requer investimento em ferramentas e habilidades altamente especializadas e raras, e todo o sistema deve ser mantido constantemente atualizado com infinitos desenvolvimentos.

Para organizações pequenas e médias, na prática isto é impensável, mesmo para grandes organizações devido à falta de habilidades e razões econômicas. 

 

É por isso que ERALYS constrói uma Plataforma de Serviços Cibernéticos

 

 

ERALYS constrói uma "Plataforma de Teste de Segurança Cibernética"

Cobrindo campos típicos mais amplos e tratados por uma ferramenta chamada SIMOC para SIMulation Operation Control.

 

 

Com SIMOC

  • as operações são feitas em uma réplica exata que permite qualquer teste, incluindo a destruição,

  • você mesmo administra suas informações estratégicas e as mantém confidenciais,

  • você evita investimentos, reduz os custos operacionais,

  • você se beneficia, se necessário, da assistência personalizada das equipes especializadas da Eralys, que garantem monitoramento permanente e evolução das ferramentas para você.