Análise de vulnerabilidades ou testes de intrusão?
No campo da cibersegurança, nem sempre é fácil compreender a complementaridade destas duas abordagens, que são vistas muitas vezes como mutuamente exclusivas – de forma errada e com potenciais consequências na segurança de dados, endpoints, sistemas e colaboradores da empresa.
O facto é que estas duas atividades se complementam. Não há efeito de substituição entre elas e é necessário compreender de que forma elas podem contribuir para um cenário de maior robustez na cibersegurança do ambiente empresarial.
A análise de vulnerabilidades tem como objetivo identificar e qualificar eventuais vulnerabilidades existentes na infraestrutura analisada, de forma que os responsáveis pela sua gestão possam agir no sentido de eliminar ou mitigar as vulnerabilidades existentes. A ideia é diminuir ou mesmo eliminar possíveis vetores de ataque e reforçar o perímetro de segurança da organização.
Idealmente, esta análise tem como resultados a identificação detalhada das vulnerabilidades encontradas. Pode mesmo facultar planos de correções aconselhadas e de tratamento das mesmas. Esta atividade assemelha-se à análise de um edifício identificando, por exemplo, que as fechaduras aparentam ser antigas. Nessa análise, podemos ainda verificar em que alturas o segurança privado deixa o seu posto de trabalho, que câmaras de videovigilância estão visivelmente avariadas ou que as proteções que rodeiam o edifício foram danificadas recentemente em resultado de um acidente automóvel. No fundo, vulnerabilidades que permitem a infiltração de um criminoso.
Os testes de intrusão têm outro objetivo. Visam explorar vulnerabilidades de forma a obter algo que não deveria ser possível à partida. Falamos por exemplo de privilégios adicionais, acesso a redes ou a sistemas, obtenção de dados sensíveis, entre outros. Fazem-no demonstrando todo o conjunto de atividades realizadas para explorar com sucesso uma ou várias vulnerabilidades.
Os testes de intrusão apresentam-se como argumentos especialmente relevantes para serviços/aplicações expostos ao exterior, uma vez que estão acessíveis a qualquer potencial atacante de forma permanente, como por exemplo plataformas web – nas quais são utilizadas frameworks e tipos de atividades bem identificadas.
Num exemplo semelhante ao supracitado, pensemos numa entrada com sucesso de um atacante, durante o período em que o segurança privado está fora do seu posto de trabalho, através das grades danificadas, sem ser filmado pelas câmaras de segurança e tendo conseguido entrar nas instalações e roubado uma pasta com documentos confidenciais.
Tendo em consideração que esta atividade tenta explorar múltiplos vetores de ataque (ou identificar vetores que não foi possível explorar mas que poderão ser exploráveis no futuro), é natural que seja mais demorada.
Aconselhamos naturalmente a realização com alguma regularidade de análises de vulnerabilidades de forma a impedir que estas sejam exploradas. Sempre que possível, assegurando a comparação com uma baseline, isto é, comparando diretamente o estado das últimas análises com a atual. Os testes de intrusão devem ser prática corrente quando são colocados em produção novos serviços ou quando são realizadas alterações significativas em serviços existentes. Sem suma, complementaridade em nome do reforço da segurança.
