A forma como as empresas lidam com as ameaças à segurança é afetada pelas tendências globais, desde a desaceleração económica até à crescente consciencialização para os riscos e ciberameaças. Outras tendências, como a emergência de práticas de segurança por satélite, como a existência de seguros de cibersegurança, estão também a influenciar as estratégias de segurança.
Então, como é que estas mudanças globais estão a afetar as práticas de validação de segurança e as atividades de pentesting?
Tentou responder-se a esta pergunta no novo relatório realizado pela Global Surveyz Research. Com base numa pesquisa abrangente com 300 executivos de segurança dos EUA, Reino Unido e Europa Ocidental, que ocupam cargos de VP ou C-level e que trabalham em empresas com mais de 1.000 funcionários, o relatório apresenta uma visão geral do estado do pentesting.
As principais conclusões do relatório indicam que:
- As organizações ainda estão experimentando altas taxas quebras de segurança;
- Pentesting não se trata apenas de conformidade regulatória;
- A percentagem de empresas com red-teams internas está a aumentar.
Aumento dos orçamentos de segurança de TI apesar da desaceleração económica
Apesar da desaceleração económica, causada pela escassez da cadeia de abastecimento global após a pandemia e o conflito em curso na Ucrânia, as empresas não podem ser complacentes com a sua cibersegurança. Um relatório recente da Check Point Research (CPR), descobriu que os ciberataques aumentaram 38% em 2022 em comparação com o ano anterior, sendo registados em média 1.168 ataques por semana por organização.
Estes resultados alinham-se com as conclusões obtidas, de que, nos últimos dois anos, 88% das organizações relataram ter sido comprometidas por um incidente de cibersegurança e a tendência não mostra sinais de abrandamento. Com os orçamentos a serem reduzidos em todos os setores, é crucial que a cibersegurança continue a ser uma prioridade máxima.
Mas, há um vislumbre de esperança no meio da incerteza. A nossa pesquisa mostra algumas descobertas promissoras: 92% das organizações estão a aumentar os seus orçamentos de segurança de TI e 86% dos seus orçamentos são para pentesting. Aproximadamente um terço dos inquiridos planeia aumentar estes orçamentos em mais de 10%.
Parece que a questão da segurança é levada a sério e que o valor dos CISOs e especialistas em segurança é reconhecido e valorizado.
Pentesting - um cenário em mudança: Insights do último relatório
Não há muito tempo atrás, se perguntasse a um executivo de segurança qual era o principal motivo para realizar pentesting, ele diria que estava a cumprir requisitos regulamentares. Seguir e marcar checklists era uma prática comum entre muitos CISOs e, no entanto, hoje, estamos a assistir a uma evolução de práticas orientadas para regulamentos de conformidade para práticas orientadas para segurança. O relatório conclui, assim, que os principais motivos para a realização de pentesting, de acordo com os executivos de segurança, são:
- A necessidade de controlo e validação de segurança;
- Cumprimento dos requisitos para apólices de seguros de cibersegurança;
- Existência de um meio de avaliar os danos potenciais de um ataque.
Esta mudança nos impulsionadores para o pentesting é um sinal claro da crescente maturidade dentro da indústria de cibersegurança e da crescente compreensão do valor que a perspetiva adversária traz. Os executivos de segurança passaram, assim, a confiar no pentesting como parte das suas estratégias e planos.
Outra tendência interessante é o surgimento do seguro de cibersegurança como um impulsionador de atividades de pentesting. Na pesquisa realizada em 2020, apenas 2% dos entrevistados mencionaram o seguro de cibersegurança como um fator de tomada de decisão para o pentesting e esse número aumentou para 36% nos dias de hoje. Isto está relacionado com as nossas conclusões: os clientes estão mais conscientes dos requisitos dos seguros de cibersegurança do que nunca.
O papel da automação no Pentesting para a continuidade de negócios
Os executivos de segurança continuam a lidar com muitos riscos, mas um que os preocupa particularmente é o risco para a continuidade dos negócios.
Com as atualizações contínuas em software e aplicações, o pentesting também deve ser realizado com frequência para garantir uma maior cobertura e relevância. No entanto, 45% dos entrevistados que realizam pentesting estão preocupados com o potencial risco para as aplicações de negócio ou disponibilidade de rede durante um pentesting. Isto impede-os de aumentar a sua frequência. Outro obstáculo para aumentar as taxas de pentesting é a falta de profissionais pentesters que realizem este serviço de forma manual.
As organizações pretendem realizar mais testes, mas não têm as ferramentas necessárias para testes tão frequentes.
É por isso que a automação é tão importante: ela permite que um número infinito de cenários seja testado sem colocar a rede em risco.
Os benefícios do Pentesting contínuo com automação
Apesar da crescente necessidade de atividades de pentesting, algumas organizações ainda estão a organizar-se para realizar o trabalho necessário. De acordo com nossa pesquisa, apenas 15% das organizações executam pentesting automatizado. 39% executam testes manuais por conta própria e 42% usam um serviço de terceiros. 18% não fazem pentests.
A automação do pentesting pode ajudar a preencher essas lacunas. A automação permite o pentesting contínuo de maneira eficiente, uma vez que não depende de profissionais humanos que realizem testes manuais e pode ser executada rapidamente para evitar interrupções nos negócios.
Há ainda mais espaço para otimismo. Até ao final de 2023, quase todos, 96%, dos executivos de segurança devem ter uma red-team interna. 67% já têm uma e 29% planeiam fazê-lo. Estas equipas também podem ajudar a aumentar o âmbito e a velocidade do pentesting.
Defesa in-depth: ainda é a melhor estratégia?
Quando se trata de cibersegurança, a defesa em profundidade ainda é a estratégia mais utilizada. 92% das organizações utilizam esta abordagem, com apenas 6% das organizações a possuir menos de 10 ferramentas de segurança atualmente.
No entanto, a prevalência de ciberataques mostra que esta estratégia, ou a forma como é implementada, não é eficaz. Os pentests, por exemplo, são realizados pela maioria das organizações apenas uma vez por trimestre, na melhor das hipóteses. Metade das organizações realiza pentests apenas uma ou duas vezes por ano.
Isso significa que a maioria das organizações não está a testar as suas defesas o suficiente para saber se as suas estratégias de segurança são eficazes.
É por isso que se criou este relatório: para que seja possível aprender sobre como outras empresas estão a lidar com estas questões e como se podem ajustar as estratégias de segurança às necessidades digitais modernas.
Esperamos que o relatório “State of Pentesting 2023” ajude a orientar as decisões sobre a melhor forma de aumentar e fortalecer a postura de segurança e transformar a sua infraestrutura em algo mais relevante e eficaz no mundo digital de hoje.
Agende connosco uma demonstração gratuita da solução de pentesting automatizado Pentera.
Artigo traduzido e disponibilizado pela DigitalSkills Consulting - Distribuidora oficial de soluções de cibersegurança do fabricante Pentera. Para mais informações: www.digitalskills.pt | [email protected] | 21 418 05 21
Artigo original publicado aqui: https://pentera.io/blog/the-state-of-pentesting-2023-global-trends-in-cybersecurity/