PENTEST RECORRENTE: NECESSÁRIO OU DESPERDÍCIO DE DINHEIRO?
Ataques cibernéticos ocorrem a cada 39 segundos, empresas estão cada vez mais preocupadas com sua postura de segurança. Dentre as principais ferramentas de defesa, os testes de intrusão (pentests) se destacam, sendo muitas vezes obrigatórios por razões de compliance e conformidade. Mas aqui está a pergunta que muitas empresas se fazem: Os pentests recorrentes são realmente necessários ou acabam sendo um desperdício de dinheiro e drenagem de orçamento?
O CUSTO VERSUS O RISCO
Os gestores questionam o valor de executar pentests regularmente. Com tantas soluções automáticas de escaneamento de vulnerabilidades no mercado, como as ferramentas de gestão de vulnerabilidades contínuas, a ideia de pagar hackers éticos ou formar programas de "bug bounty” para tentar invadir sua rede pode parecer repetitiva e custosa. Por que pagar caro por uma equipe de pentest se você já corrigiu as vulnerabilidades detectadas no último teste? Essa dúvida gera polêmica, especialmente em tempos de cortes de orçamento e redução de custos operacionais.
No entanto, a natureza dinâmica das ameaças cibernéticas sugere que a resposta não é tão simples. Vulnerabilidades novas são descobertas regularmente, e muitas vezes elas surgem logo após a implementação de novas funcionalidades em sistemas ou aplicações. Ou seja, um sistema seguro hoje pode não ser tão seguro amanhã.
COMPLIANCE OU RESILIÊNCIA?
O mais comum é que pentests sejam realizados apenas para atender exigências de compliance. Isso acaba gerando um problema: a segurança cibernética se torna mais reativa do que proativa, além de torná-lo totalmente fora do conceito de Risco Cibernético. Fazer um pentest anual apenas para “cumprir tabela” não garante que sua organização está realmente protegida contra ameaças emergentes e tão pouco que os riscos derivantes do trabalho sejam tratados com a devida prioridade. A história recente nos mostra que falhas podem surgir em qualquer atualização de software, e mesmo grandes empresas, como a Microsoft, já foram vítimas de violações signiicativas pouco depois de implementarem correções.
Vale um parênteses aqui: Empresas grandes são vítimas frequentes, porém estas possuem mais recursos investigativos, jurídicos e de recuperação que empresas menores, onde ataques desta natureza podem impactar a sobrevivência ou impactar o balanço de tal forma, que impede o crescimento, e potencialmente causar problemas de luxo de caixa.
Eis que surge um argumento a favor dos pentests recorrentes: a resiliência cibernética e manutenção da continuidade das operações que mantém o luxo do “billing" e luxo de vendas de qualquer companhia. A prática contínua de pentests permite detectar falhas prematuramente, antes que sejam exploradas, além de educar as equipes de desenvolvimento e TI, aprimorando a postura de segurança ao longo do tempo.
A INOVAÇÃO DOS ATAQUES
Outro ponto importante é a evolução dos ciberataques. Grupos criminosos estão constantemente mudando suas táticas e ampliando automações. Ataques de ransomware que antes dependiam apenas de phishing agora utilizam múltiplos vetores, como o abuso de acessos privilegiados e técnicas de evasão avançadas, como observado no ataque ao MOVEit em 2023. Para resistir a essas novas formas de intrusão, as empresas precisam estar um passo à frente, algo que apenas a realização contínua de testes de segurança pode proporcionar.Outro ponto importante é a evolução dos ciberataques. Grupos criminosos estão constantemente mudando suas táticas e ampliando automações. Ataques de ransomware que antes dependiam apenas de phishing agora utilizam múltiplos vetores, como o abuso de acessos privilegiados e técnicas de evasão avançadas, como observado no ataque ao MOVEit em 2023. Para resistir a essas novas formas de intrusão, as empresas precisam estar um passo à frente, algo que apenas a realização contínua de testes de segurança pode proporcionar.
A assimetria de velocidade dos atacantes exige que as empresas construam automações de testes e priorização para equiparar o cenário com os atacantes. Aplicar patches/correções de segurança deve ser algo totalmente dentro do luxo de operação de TI e Segurança. Logo, as análises automatizadas possuem um papel fundamental no mapa de vulnerabilidades e explorabilidade.A assimetria de velocidade dos atacantes exige que as empresas construam automações de testes e priorização para equiparar o cenário com os atacantes. Aplicar patches/correções de segurança deve ser algo totalmente dentro do luxo de operação de TI e Segurança. Logo, as análises automatizadas possuem um papel fundamental no mapa de vulnerabilidades e explorabilidade.
O ponto de atenção ica pelos pontos cegos na rede e em quais não há automação de correções de segurança, monitoramento se for existente, é insuiciente ou de aplicações/sistemas que não estão na esteira de desenvolvimento seguro. Há um hiato de segurança muito grande nesse grupo de ativos com menor nível de gestão.
AUTOMATIZAÇÃO X PENTESTERS HUMANOS
Uma alternativa defendida por algumas empresas é a automatização completa dos testes de segurança. Ferramentas de scanners de vulnerabilidades podem ser executadas diariamente, fornecendo relatórios detalhados de falhas sem o custo de uma equipe especializada. Mas isso é suficiente?
Os scanners automáticos detectam vulnerabilidades conhecidas, mas falham em simular ataques reais baseados em criatividade e comportamentos inesperados, algo que os hackers éticos (white hats) fazem excepcionalmente bem. Eles são capazes de explorar vulnerabilidades de forma que nenhuma ferramenta automatizada consegue, especialmente em redes complexas e sistemas customizados.Os scanners automáticos detectam vulnerabilidades conhecidas, mas falham em simular ataques reais baseados em criatividade e comportamentos inesperados, algo que os hackers éticos (white hats) fazem excepcionalmente bem. Eles são capazes de explorar vulnerabilidades de forma que nenhuma ferramenta automatizada consegue, especialmente em redes complexas e sistemas customizados.
Ferramentas que simulam pentests automatizados também entram neste grupo, porém ainda falham em idealizar novos ataques, sendo que algum Pentester necessita desenvolver os comandos necessários para reproduzir ielmente tais ataques.
ENTÃO, É UM DESPERDÍCIO?
O argumento central contra os pentests recorrentes é o custo elevado, especialmente em ambientes que já utilizam scanners automatizados. No entanto, o impacto inanceiro de uma violação de segurança – em termos de perda de dados, multas regulatórias e danos à reputação – supera em muito o investimento em segurança preventiva.
O ideal é encontrar um equilíbrio entre automação e testes manuais recorrentes. Implementar scanners contínuos para detectar falhas rapidamente é essencial, mas realizar pentests recorrentes ajuda a encontrar lacunas que poderiam passar despercebidas. Um ataque bem-sucedido pode custar milhões, enquanto a prevenção ativa, incluindo os pentests recorrentes, oferece uma camada adicional de proteção.
Start-ups que tratam dados protegidos pela LGPD ou que estejam sujeitas a regulações do Banco Central devem icar atentas, pois multas aplicadas por estes órgãos podem inviabilizar investimentos, liberação de recursos e até mesmo tornar a start-up insolvente, ainda mais se não houver a contratação de um seguro cibernético.
Importante ter em mente que em empresas que possuem essa velocidade de lançamento de funcionalidades em seus softwares, terão novas vulnerabilidades inseridas em seus códigos antes mesmo que o serviço de pentest tenha sido inalizado.Importante ter em mente que em empresas que possuem essa velocidade de lançamento de funcionalidades em seus softwares, terão novas vulnerabilidades inseridas em seus códigos antes mesmo que o serviço de pentest tenha sido inalizado.
CONCLUSÃO
Embora o debate persista, a realidade é que pentests recorrentes não são um desperdício, mas sim uma ferramenta essencial para qualquer empresa que queira estar à frente das ameaças cibernéticas modernas. A proatividade na detecção e correção de vulnerabilidades é o que diferencia uma empresa resiliente de uma vítima em potencial. Como diria um famoso ditado: “É melhor prevenir do que remediar.”
As atividades manuais de um pentest possuem um valor muito mais signiicativo quando aplicado contra as regras de negócios dos aplicativos do que para identiicar vulnerabilidades que podem ser corrigidas através de patches.
Regras de negócios são criadas por pessoas para atender pessoas, logo, atividades manuais e criativas terão um impacto muito maior.
Para o dia a dia, atividades automáticas, tanto de identiicação como de correção possuem o valor de aumentar a resiliência e remover as vulnerabilidades que possam ser exploradas por campanhas, porém as atividades manuais devem ampliar a identiicação destas fragilidades e permitir a gestão dos riscos operacionais e de negócios de forma transparente e informada.
