Como escolher o fornecedor de pentest ideal

Choosing a Penetration Testing Company

SHARE

Share on facebook
Share on twitter
Share on linkedin

Saiba quais são as perguntas certas a fazer ao escolher um fornecedor de pentest com nossas 10 principais dicas.

A segurança cibernética é um componente essencial em qualquer empresa moderna, e a necessidade de proteger dados e sistemas contra ataques cibernéticos tornou-se cada vez mais importante no ambiente digital atual.

As empresas devem tomar medidas para garantir que seus dados confidenciais sejam mantidos em segurança, proteger-se contra a interrupção causada por ataques cibernéticos e minimizar os danos à reputação e as multas causadas por violações de dados.

Com a conformidade regulatória, como a LGPD, o GDPR e o PCI DSS, juntamente com o aumento da popularidade do SOC 2, uma das maneiras mais eficazes de atender a todas as exigências é ter um programa sólido de segurança cibernética em vigor, e os testes de segurança são uma parte essencial desse programa.

Entretanto, pode ser difícil selecionar o fornecedor de pentest certo para suas necessidades específicas. Com tantos fornecedores de testes de intrusão no mercado, como você pode ter certeza de que está escolhendo um fornecedor de boa reputação para atender aos seus requisitos de testes de segurança?

Nesta postagem do blog, forneceremos as perguntas certas a serem feitas a uma consultoria de segurança da informação para realização de testes de intrusão, e dicas para escolher um provedor confiável de pentest que atenda às suas necessidades.

Certifique-se de que seu fornecedor de pentest realiza testes de intrusão manuais, não apenas varreduras automatizadas de vulnerabilidades

É fundamental estar ciente de que algumas empresas de segurança cibernética podem fornecer varredura automatizada de vulnerabilidades sob o pretexto de teste de intrusão manual.

Para apoiar sua decisão com firmeza, você deve estar atento à distinção entre os dois e certificar-se de receber o serviço certo.

O pentest manual requer um analista de segurança habilidoso para explorar as vulnerabilidades ativamente. Por outro lado, a varredura automatizada de vulnerabilidades se baseia em assinaturas e padrões de vulnerabilidades conhecidas para identificar possíveis pontos fracos e, muitas vezes, produz uma alta taxa de falsos positivos.

O pentest manual é uma abordagem superior, pois permite uma avaliação mais completa e personalizada das vulnerabilidades do sistema.

Embora uma varredura automatizada possa ser útil para identificar vulnerabilidades comuns, ela não substitui um teste de intrusão conduzido por um analista de segurança experiente.

Quais certificações os consultores do fornecedor de pentest que estou procurando contratar devem ter?

Não há escassez de certificações relacionadas a testes de intrusão. Algumas são bem respeitadas no setor por terem um alto nível de exigência, concentrando-se em avaliações práticas e provas conhecidas por serem difíceis de passar.

Outras certificações estão longe de ser desafiadoras e não avaliam adequadamente a capacidade do candidato de realizar um pentest em nível profissional.

Abaixo estão algumas das certificações que garantem que um pentester seja certificado com habilidades práticas para realizar uma avaliação de segurança de qualidade:

  • Offensive Security Certified Professional (OSCP) e Offensive Security Web Expert (OSWE)
  • Burp Suite Certified Practitioner (focado em testes de segurança da Web/API)
  • SANS GIAC GPEN e GWAPT (populares nos EUA)
  • CREST CRT e CREST CCT (populares no Reino Unido, Cingapura, Hong Kong e Austrália)

Penetration testing certifications

É importante observar que a popular certificação Certified Ethical Hacker (CEH) é frequentemente ridicularizada no setor por profissionais experientes e vista como de baixa qualidade; ela não é prática e é considerada fácil de passar.

Quais metodologias de pentest meu fornecedor deve empregar no processo de teste de segurança?

Ao considerar um fornecedor que possa prestar serviços de pentest, é essencial garantir que ele use práticas recomendadas e metodologias comprovadas.

Por outro lado, é desejável que o provedor tenha uma mentalidade de hacker e criatividade para “pensar fora da caixa” e ir além das checklists comuns.

Entre as metodologias populares estão o PTES, o OSSTMM, o SANS CWE 25, o NIST SP 800-115 ou o OWASP Top 10; este último tem metodologias específicas para pentesting de aplicativos web, aplicativos mobile, API e dispositivos de IoT.

Pentest methodologies

As diretrizes de pentest do Google fornecem informações valiosas sobre como eles recomendam que os parceiros comerciais avaliem a metodologia e a abordagem propostas por um fornecedor de testes de intrusão.

Experiência e o conhecimento técnico adequado para o trabalho

A empresa parceira certa deve ter uma equipe que se mantenha atualizada com as ferramentas e técnicas mais recentes e que, com frequência, mostre sua capacidade técnica na forma de publicações em blogs, ferramentas de código aberto e apresentações em eventos do setor.

É importante fazer perguntas sobre a experiência da empresa com seu escopo de trabalho para garantir que ela tenha o conhecimento necessário para o projeto. Se você estiver procurando um pentest interno da sua rede, é preferível contratar uma empresa com pentesters que possuam sólidos conhecimentos sobre Active Directory, por exemplo. Ou, se estiver procurando uma avaliação de segurança de SAP, não faz muito sentido contratar uma empresa de pentest que seja forte em testar a segurança de aplicações web.

Peça para revisar amostras de relatórios e outros entregáveis

Peça à empresa de pentest que forneça exemplos de relatórios, cartas de atestado e outros entregáveis que ela possa ter. Esses documentos são necessários para entender a qualidade de suas análises e a profundidade dos testes. Procure insights e recomendações claras para lidar com as vulnerabilidades. A qualidade dos relatórios é fundamental; afinal, um relatório é muitas vezes o principal produto que você receberá como parte do pentest.

Procurando por um fornecedor de pentest? Coloque à prova suas defesas cibernéticas.

Entre em contato conosco para um orçamento

Peça referências de clientes anteriores e atuais

Quando se trata de avaliar possíveis fornecedores de serviços de teste de intrusão, obter feedback direto de clientes anteriores e atuais é muito importante. Solicitar referências dessas fontes deve ser uma parte essencial do seu processo de avaliação – isso não só fornecerá informações cruciais sobre a qualidade do serviço prestado pelo fornecedor, mas também trará mais informações sobre ele.

Preço – qual é o custo justo de um pentest?

De acordo com nossa experiência, o custo final de um teste de penetração pode variar dependendo do tamanho e da complexidade do escopo e do número de consultores envolvidos no projeto. Uma empresa de boa reputação, em média cobra no Brasil entre R$ 450 a R$ 600 por hora-homem de trabalho, sendo que o trabalho especializado e de nicho geralmente tem um preço por hora mais alto.

Escrevemos um artigo abrangente em nosso blog sobre o tópico sobre o preço médio de um pentest e todos os fatores que o influenciam.

Desconfie de um fornecedor de pentest que cobra preços extremamente baixos. É muito provável que eles usem predominantemente testes automatizados e realizem uma varredura de vulnerabilidades disfarçada de pentest manual, não avaliando totalmente a superfície de ataque de seus sistemas.

Seu fornecedor tem medidas de proteção de dados em vigor?

Ao selecionar um fornecedor para testes de intrusão, os padrões de proteção e segurança de dados devem ser mantidos no mais alto grau. É essencial que seu fornecedor de pentest esteja em conformidade com os padrões de proteção de dados, como os descritos na certificação ISO 27001, um popular padrão internacional de segurança de informações, ou SOC 2 e LGPD, ambos os quais oferecem garantia de práticas recomendadas quando se trata de lidar com dados confidenciais.

Surpreendentemente, muitos provedores de serviços de consultoria de segurança cibernética não têm políticas nem controles sólidos de proteção de dados, e não possuem os certificados para demonstrar que são adequados para lidar com dados confidenciais de terceiros.

O fornecedor tem seguro de responsabilidade civil adequado?

O seguro de responsabilidade profissional é essencial para qualquer empresa, inclusive para aquelas que oferecem serviços relacionados à proteção de dados e à segurança digital.

Ao adquirir serviços de testes de intrusão, certifique-se de que o fornecedor de pentest tenha um seguro de responsabilidade civil adequado para cobrir possíveis danos no caso improvável de algo dar errado em uma avaliação.

Empresas têm requisitos diferentes para definir um valor mínimo de cobertura para o seguro de responsabilidade profissional. Em nossa experiência, muitas empresas se sentem confortáveis com uma cobertura de seguro de R$ 2.000.000; no entanto, isso pode mudar dependendo do contrato e do setor, com serviços financeiros e bancos exigindo uma cobertura significativamente maior. Nós optamos por ter uma cobertura de seguro de R$ 5.000.000 devido às exigências dos nossos clientes corporativos.

Dicas para escolher o fornecedor de pentest ideal

  1. Procure um fornecedor com um histórico comprovado, com experiência em testes de intrusão em empresas semelhantes à sua e que possa fornecer referências de clientes.
  2. Dê preferência a trabalhar com um fornecedor especializado em serviços de segurança cibernética. Eles geralmente fornecem avaliações de pentest superiores às de empresas com um portfólio mais extenso de serviços, muitos não diretamente relacionados à segurança cibernética (por exemplo, empresas de contabilidade e auditoria como Big 4’s, empresas de serviços gerenciados de TI etc.)
  3. Considere o escopo do projeto: É importante definir o escopo para que você possa escolher um fornecedor que tenha a experiência e os recursos necessários. Por exemplo, se você precisar de um teste de penetração de um produto de IoT, deverá escolher uma empresa com experiência em testes de segurança de produtos para dispositivos de IoT e sistemas embarcados.
  4. Um fornecedor de pentest qualificado geralmente tem um blog técnico, o Github ou outros canais para exibir suas qualificações técnicas e pesquisa original sobre segurança cibernética.
  5. Certifique-se de que o fornecedor tenha uma equipe de pentesters e analistas de segurança com as habilidades e a experiência necessárias para realizar uma avaliação abrangente, use ferramentas de última geração e siga metodologias padrão do setor.
  6. Verifique se a empresa de testes de intrusão tem seguro de responsabilidade civil adequado para cobrir quaisquer danos no caso improvável de algo dar errado na avaliação dos testes de segurança.
  7. Considere o custo: Certifique-se de obter cotações de várias empresas para comparar preços e garantir que está recebendo uma cotação justa pelos serviços de que precisa. É importante ter em mente que preços muito baixos podem indicar que a empresa não é adequada para o trabalho ou que realiza simples varreduras de vulnerabilidades em vez de pentests manuais.
  8. Verifique se há as certificações necessárias: Considere uma empresa de testes de intrusão que tenha uma equipe qualificada com credenciais como OSCP, OSCE, OSWE e SANS GIAC, pois elas podem ser indicadores da experiência e do compromisso da empresa com o profissionalismo.
  9. Verifique se a empresa tem uma equipe em tempo integral e avaliada com verificação de antecedentes ou se usa apenas freelancers. Embora algumas empresas não se importem com prestadores de serviços, outras têm políticas rígidas que não permitem o acesso de freelancers a sistemas e dados confidenciais. Surpreendentemente, muitos fornecedores, especialmente os que operam na área de de segurança por crowdsourcing, trabalham exclusivamente com freelancers, e não com pentesters em tempo integral.
  10. Certifique-se de que o fornecedor tenha procedimentos de segurança robustos para proteger seus dados confidenciais durante o pentest, como SOC 2 ou ISO 27001. Ironicamente, a maioria das empresas de testes de intrusão não são e não têm procedimentos de segurança de dados auditáveis.

 

Muitas das recomendações acima foram desenvolvidas pelo Google para ajudar as empresas que estão passando por uma avaliação de segurança do fornecedor a selecionar o provedor de testes de intrusão.

Abaixo está um infográfico de lista de verificação de seleção de fornecedor de pentest.

10 main tips for choosing a pentest company

Observações finais

Escolher o melhor fornecedor de pentest para suas necessidades pode ser uma tarefa complexa. Com um mercado repleto de opções diferentes e ofertas semelhantes, dificilmente há uma orientação clara para que os compradores selecionem um provedor de testes de intrusão que seja a opção perfeita para o que eles estão procurando.

Seguindo as dicas acima, você estará no caminho certo para encontrar um parceiro de teste de penetração respeitável e competente que atenda às suas necessidades. Se a sua empresa estiver procurando um novo fornecedor e quiser se envolver com uma empresa qualificada e credenciada pelo CREST, fundada por analista de segurança cibernética experientes, entre em contato conosco hoje mesmo.

About the author

Ewelina Baran

Ewelina Baran

Ewelina é uma copywriter focada em SEO especializada em tecnologia, mais especificamente em cibersegurança. Ela tem mestrado em filologia inglesa na Jagellonian University, Krakow.

RELATED POSTS

Um novo patamar
em segurança digital.
Você está pronto?

Nós estamos! Fale com nossos especialistas e entenda como podemos auxiliar sua empresa a criar fortes defesas contra ameaças cibernéticas.

Esteja sempre informado

Assine nossa newsletter

Receba as últimas notícias de cibersegurança, artigos e insights dos nossos especialistas