Frequência do pentest: Qual é a abordagem ideal?

Penetration testing frequency

SHARE

Share on facebook
Share on twitter
Share on linkedin

Introdução

O pentest (mais conhecido como teste de intrusão, teste de invasão ou teste de penetração) é um processo para simular um ataque cibernético em um sistema de computador, uma rede em aplicativos web ou mobile, etc., com o intuito de colocar à prova suas defesas e identificar vulnerabilidades que um invasor poderia explorar.

Esse teste é parte crucial de qualquer estratégia de cibersegurança, uma vez que ajuda a assegurar a confidencialidade, disponibilidade e integridade de dados sensíveis e sistemas.

Mas quando e com que frequência você precisa realizar um pentest?

Essa é uma pergunta muito comum, que tanto startups quanto empresas de grande porte costumam fazer. A resposta mais rápida é que isso vai depender de vários fatores, incluindo o tamanho e a complexidade dos sistemas que a empresa possui, a abrangência da superfície de ataque exposta na internet, a confidencialidade dos dados que deverão ser protegidos, a tolerância ao risco da organização e os requerimentos às normas de compliance.

Considerando que existem diversos tipos de testes de intrusão, como interno, externo, web app, mobile app, red teaming e outros; pode ser difícil para as empresas saberem qual desses é necessário realizar, quando fazê-lo e com que frequência deveria ser refeito para criar e manter uma postura robusta de segurança em todas as plataformas. 

Compilamos abaixo algumas diretrizes gerais que vão ajudá-lo a determinar qual é a frequência do pentest ideal.

Diretrizes para decidir qual é a frequência ideal para realizar um pentest

  • Se você faz parte de uma startup ou de uma empresa de pequeno porte, realizar um teste de intrusão anualmente é um bom ponto de partida. Isso permite identificar e corrigir as vulnerabilidades de forma regular, o que ajuda a reduzir o risco de um ciberataque. Além disso, também pode contribuir para cumprir requisitos regulatórios de compliance e na avaliação de risco dos fornecedores.
  • Empresas que lidam com dados sensíveis ou possuem um risco elevado de enfrentar ataques cibernéticos, como instituições de saúde, agências governamentais, companhias focadas intensamente em pesquisa e desenvolvimento, instituições financeiras e e-commerces, devem realizar pentests com mais frequência, pelo menos um por trimestre nos escopos que são estratégicos para o negócio. Esses nichos organizacionais frequentemente possuem necessidades mais rigorosas de compliance e podem enfrentar riscos maiores se os seus dados forem comprometidos.
  • Empresas de grande porte com redes complexas ou tecnologia/SaaS em constante desenvolvimento (como aquelas que estão constantemente realizando atualizações no sistema ou adicionando novos ativos) também podem se beneficiar de pentests mais frequentes. Isso acontece porque esses tipos de ambientes podem ser mais difíceis de se manterem protegidos, logo, as vulnerabilidades podem acabar surgindo mais rapidamente. Dessa forma, é recomendado realizar testes de intrusão trimestrais. 
  • Algumas empresas podem escolher fazer o penetration testing de forma contínua ou sob demanda, em especial se elas possuem uma tolerância alta ao risco ou fazem parte de uma indústria com regulamentações rigorosas. Essa abordagem pode ser mais intensa quando se trata de utilização de recursos, mas também fornece a proteção mais robusta e completa.

Um resumo das diretrizes citadas acima podem ser encontradas no seguinte infográfico:

frequência do pentest: quais são as abordagens recomendadas de acordo com o tamanho da empresa

O que diz o compliance sobre a frequência dos testes de intrusão?

As organizações precisam aderir a diferentes necessidades regulatórias de compliance e cada uma delas tem seus requerimentos próprios de pentest, que vão ditar a frequência dos testes que serão realizados:

  • PCI DSS: Teste de intrusão obrigatório uma vez por ano ou a cada grande mudança na infraestrutura – especialmente no ambiente de dados do titular do cartão (Cardholder Data Environment – CDE). Consulte o requerimento 11 do guia de segurança PCI para mais informações, ou consulte o nosso guia para PCI pentesting.
  • HIPAA, SOC 2, ISO 27001, LGBA: Não é obrigatório ter uma frequência de teste de intrusão, no entanto, as boas práticas da indústria recomendam que ele seja feito ao menos uma vez por ano.

Sinais que é a hora de realizar um novo pentest

Se já faz um tempo que você se pergunta se é a hora de realizar outro teste de intrusão, aqui está um breve questionário para ajudá-lo a decidir se de fato é necessário:

  • Já faz um ano/trimestre desde que você realizou o último pentest para um determinado escopo?
  • Recentemente você fez alguma atualização ou mudança significativa na sua infraestrutura (especialmente em sistemas críticos), redes ou aplicativos?
  • Foi realizado um novo teste após a correção das vulnerabilidades encontradas no último pentest?
  • Novas funcionalidades foram implementadas na sua plataforma SaaS recentemente?
  • Você está se preparando para obter certificações como SOC 2, ISO 27001, ou outro tipo de certificado ISMS (information security management system ou, em tradução livre, sistema de gestão de segurança da informação)?
  • Durante o processo de fusão ou aquisição de uma empresa, como parte da due diligence (diligência prévia) ou antes de ir à público em uma IPO (initial public offering ou, em português, oferta pública inicial).

Para facilitar a visualização das informações mencionadas acimas, elaboramos um infográfico com o resumo de tudo que foi citado:

após definir a frequência do pentest, é importante entender quando realizar um novo teste de intrusão.

Por que é importante realizar um novo teste?

Depois que uma empresa tiver realizado um teste de intrusão, recebido o relatório e implementado correções, deve ser realizado outro teste.

A repetição de um pentest pode ajudar a avaliar a eficácia das medidas de segurança implementadas após o último teste.

Por fim, ajuda a garantir que o sistema permaneça seguro ao longo do tempo. Um fornecedor de boa reputação geralmente oferece um novo teste como parte de um teste de intrusão.

Quais são os benefícios de conduzir pentests regularmente?

O pentest contínuo é um processo em que regularmente testa sistemas e aplicativos para encontrar vulnerabilidades. Esse tipo de serviço é diferente do teste de intrusão tradicional, que costuma ser conduzido anualmente ou em uma situação específica.

Existem diversos benefícios na realização de testes contínuos, incluindo os abaixo:

  • Ajuda a identificar vulnerabilidades mais cedo e permite que as empresas tomem algum tipo de ação antes que esses problemas possam ser explorados;
  • Possibilita uma visibilidade contínua do nível de segurança do sistema da organização e assegura que ele esteja sempre em dia com os últimos patches de segurança;
  • Contribui para a construção de uma cultura de segurança dentro da empresa, o que faz os colaboradores ficarem cientes da importância de se manter seguro e da necessidade de estar sempre atento a potenciais riscos;
  • Pode ajudar a reduzir os custos associados aos testes de intrusão, já que fará parte da rotina regular da empresa.

Ter um plano anual de pentest e conduzir testes de segurança continuamente é uma parte fundamental de qualquer empresa.

Como se preparar para um pentest?

Para garantir que a sua empresa ou instituição está preparada para um teste de intrusão, existem algumas ações que você deve tomar com antecedência.

Primeiro, é necessário encontrar um fornecedor confiável para prestar o serviço. Antes de tomar qualquer decisão, não deixe de conferir as referências e quais são os feedbacks de clientes anteriores. Você pode encontrar mais informações sobre como escolher um fornecedor de pentest no nosso blog.

A partir do momento que você selecionar o seu fornecedor, será necessário definir o escopo do pentest. Isso inclui definir quais componentes e dados deverão ser avaliados. Também é importante considerar quanto tempo e quantos recursos você está disposto a dedicar a esse serviço.

Seguindo essas etapas, você poderá ter certeza de que o seu teste de intrusão será conduzido de forma segura e controlada.

Conclusão

Por via de regra, startups e pequenas empresas devem conduzir pelo menos um teste de intrusão anual, já organizações de grande porte precisam fazer isso trimestralmente. No entanto, a frequência do pentest deve ser baseada nas necessidades e objetivos específicos da empresa que está solicitando o serviço. 

Uma avaliação de risco vai ajudar a identificar os riscos de segurança e as áreas da rede que que tem probabilidade de estarem mais vulneráveis e, portanto, devem ser testadas com mais frequência. Os resultados de avaliações anteriores também podem ser utilizados para guiar futuros pentests.

É importante para essas empresas terem um plano claro estabelecido para realizar testes de intrusão, alocando verba e recursos suficientes para essa tarefa fundamental.

FAQ

Com qual frequência devo realizar um teste de intrusão? 

Na maioria dos casos, pelo menos uma vez por ano. No entanto, empresas com uma tolerância menor aos perfis de risco devem considerar fazê-lo trimestralmente.

O que as diretrizes de compliance dizem sobre a frequência dos pentests?

O requerimento 11 do PCI diz que é obrigatório realizar um teste de intrusão pelo menos uma vez por ano ou se for realizada qualquer grande mudança na infraestrutura da empresa. 

Já outros, como o SOC 2 e o ISO 27001, não especificam a frequência dos pentests.

About the author

Luana Cruz

Luana Cruz

RELATED POSTS

Um novo patamar
em segurança digital.
Você está pronto?

Nós estamos! Fale com nossos especialistas e entenda como podemos auxiliar sua empresa a criar fortes defesas contra ameaças cibernéticas.

Esteja sempre informado

Assine nossa newsletter

Receba as últimas notícias de cibersegurança, artigos e insights dos nossos especialistas