Alerta de spoiler: simulação de ataque não é Ethical Hacking

E se pudéssemos ter um teste de penetração totalmente automatizado, sem agentes, manuais, simulações e alarmes falsos? E se pudéssemos ter um sistema que atua como um hacker e desafiar tudo – controlos de segurança, vulnerabilidades, credenciais e privilégios?

Estamos mais bem preparados, certo!?

As empresas estão a investir uma quantidade significativa de recursos na construção e melhoria da sua postura de segurança informática. À medida que o cenário de ameaças continua a evoluir e a expandir-se, esse investimento continua a aumentar dramaticamente. De acordo com um relatório da Cybersecurity Ventures, os gastos mundiais com produtos e serviços de segurança da informação ultrapassarão 1 trilião de dólares entre 2017-2021.  

Embora os controlos preventivos e de deteção sejam importantes, a validação desses controlos é indispensável. Os testes de segurança são considerados uma das áreas que impulsionam esse rápido crescimento e o próprio setor pode tornar-se num mercado de 4 biliões de dólares em 2025. 

A cibersegurança precisa de ser testada como tudo o resto.

É matemática simples. Todos os sistemas de segurança com nobs de configuração tem uma probabilidade de erro humano e configuração incorreta. Cada aplicativo ou sistema operativo apresenta vulnerabilidades à medida que evolui. Conforme as redes de TI crescem e se expandem, a probabilidade de ocorrerem configurações incorretas de controlos e vulnerabilidades aumenta, assim como a sua complexidade operacional.   

Embora os CIOs e CISOs reconheçam a necessidade de validação da segurança, eles também são solicitados por regulamentos e legislação a realizar “scans” de vulnerabilidades e testes de penetração regularmente, por terceiros independentes.

Uma escolha entre duas alternativas imperfeitas.

As soluções de avaliação de vulnerabilidade (VA) e gestão de vulnerabilidades (VM) são soluções habilitadas por software que sofrem de uma grande desvantagem em torno da priorização das vulnerabilidades encontradas. Eles apresentam milhares de vulnerabilidades potenciais, mas, na realidade, uma grande percentagem representa alarmes falsos. Dessas vulnerabilidades “reais”, apenas 5% são exploráveis. E, dentre desses, apenas alguns podem levar a um ataque a ativos críticos.

Dito de forma simples, a única maneira de determinar se uma vulnerabilidade é crítica é explorando-a e provando que ela faz parte de uma “cadeia de destruição” completa.

Os testes de penetração baseados em serviços fazem exatamente isso, testando as suas defesas enquanto correlaciona a triagem de vulnerabilidades com exploits existentes que necessitam de um controle de segurança compensador. Alguns pen-testers realmente apontam para as principais deficiências que podem estar ligadas a um vetor de ataque letal. No entanto, o teste de penetração da forma como está hoje não pode ser escalonado - é caro, depende do talento de profissionais e é limitado em tempo e âmbito. Com estas restrições, os pentests são normalmente executados apenas num pequeno segmento da infraestrutura considerado mais crítico para os negócios, deixando a maior parte da superfície de ataque por validar.

O excesso de breach and attack simulations (BAS).

A tecnologia de simulação de intrusões e ataques (BAS) surgiu nas nossas vidas há mais de três anos com uma grande promessa de validação contínua do controlo de segurança. Parecia ótimo na época, mas os primeiros a adotar depararam-se com um sistema que adiciona outro agente à rede, limita seu âmbito apenas para controlos de validação e exige a manutenção de cenários específicos de playbook.

Mais importante que tudo, os utilizadores viram-se de volta ao reino da simulação.

Em outras palavras, o BAS visa coletar dados de controlo de segurança e realizar análises de modelagem de risco offline e então deduzir o que aconteceria na vida real, em vez de testar! Mais uma vez, os utilizadores se deparam com alarmes falsos e priorização equivocada, juntamente com o fardo de gerir mais um sistema. Mesmo os sistemas BAS modernos que enviam e-mails de phishing e tentam baixar cargas úteis, se abertos, lutam para superar o valor que se pode obter do utilitário gratuito Checkme da Checkpoint. 

Se você quiser testar, teste. Não simule.

A validação de segurança verdadeira tem a ver com desafiar a sua segurança da perspetiva e com técnicas de um hacker até o endpoint e abrangendo toda a sua rede. E se pudéssemos ter um teste de penetração totalmente automatizado, sem agentes, manuais, simulações e alarmes falsos? E se pudéssemos ter um sistema que atua como um hacker e desafiar tudo - controlos de segurança, vulnerabilidades, credenciais e privilégios? E se o mesmo sistema pudesse procurar senhas e credenciais em pastas compartilhadas e documentos de escritório?

O que realmente procuramos são vulnerabilidades correlacionadas a explorações que não têm um controlo compensatório. Estamos a tentar explorar essas fraquezas, em escala, sem intenções maliciosas ou danos. E precisamos de fazer isso com um orçamento que permita um teste de penetração diário ou semanal. Parece uma tarefa difícil, certo? 

O pentesting automatizado dá o próximo passo.

Aqui está a vanguarda: a tecnologia que assume a tarefa de aproveitar o poder do software para realizar a tarefa ética do hacker de teste de penetração em escala. Esta tecnologia começa com nada além de acesso à rede e executa todas as ações que um hacker faria - descoberta, reconhecimento, sniffing, spoofing, cracking, injeção de malware (inofensiva), exploração sem arquivos, pós-exploração, movimento lateral e exploração de privilégios até exfiltração de dados.

As rotinas dos profissionais de segurança da informação estão realmente a mudar, pois eles usam essa tecnologia com a mesma frequência de um pen-test semanal. A redução das dependências de consultores terceirizados e o foco no 1 por cento de correção que importa estão a tornar-se acessíveis.

É uma questão de escolha.

É hora da validação do risco da segurança informática. Ou você se contenta com a gestão de de vulnerabilidades, experimente o BAS ou vá em frente com os testes de penetração automatizados. É melhor ser proativo para melhorar a sua ciber-resiliência cibernética, em vez de ser o alvo de qualquer novo malware que esteja por aí. Você pode ter ferramentas e prestadores de serviços separados para fazer o trabalho ou faça você mesmo com uma plataforma de pentesting moderna. O elemento importante é impulsionar e ser capaz de converter o risco de segurança em termos de negócios com a alta administração, receber os orçamentos necessários e percorrer a curva de melhoria contínua em direção à ciber-resiliência.

Interessado em ver como a PenTera da Pcysys pode ajudar? Agende uma demonstração. https://www.pcysys.com/request-a-demo/

Artigo traduzido e disponibilizado pela DigitalSkills Consulting - Distribuidora oficial de soluções de cibersegurança do fabricante Pcysys. Para mais informações: www.digitalskills.pt | [email protected] | 217 923 841.

Artigo original publicado aqui: https://blog.pcysys.com/spoiler-alert-attack-simulation-isnt-ethical-hacking pelo CEO da Pcysys, Amitai Ratzon.

Últimos artigos