O Pentest se tornou um tipo de serviço muito procurado pelas empresas, sendo uma forma de buscar a segurança da sua rede através de um teste de vulnerabilidades que pode dar uma visibilidade aos riscos e problemas existentes dentro do ambiente.
Além disso, a procura por Pentest se tornou extremamente gigantesca após a chegada da LGPD e a busca por compliance, porém junto com a demanda de Pentest a análise de vulnerabilidade se tornou algo bastante solicitado, principalmente para gerenciamento de vulnerabilidades.
Mas o que é Análise de Vulnerabilidade?
A análise de vulnerabilidade é um processo de reconhecimento, análise e classificação de vulnerabilidades para entender o ponto fraco do seus ambientes e ter uma visibilidade geral dos riscos, mapeando cada um dos seus ativos.
Uma análise de vulnerabilidade utiliza scanners e ferramentas de gestão de vulnerabilidades automatizados para procurar por brechas, a fim de corrigi-las com base em um processo de avaliação de riscos. Geralmente é dada uma nota para cada ativo com base na sua criticidade, assim é fácil saber por onde começar e por onde terminar.
Pentest vs Análise de Vulnerabilidade
Existe uma confusão nos dois conceitos, pois geralmente algumas empresas consideram uma análise de vulnerabilidade um Pentest, porém ambas são tarefas distintas, apesar de ser um bom complemento, cada um tem objetivos diferentes.
Quando falamos de análise de vulnerabilidades, algumas vantagens e desvantagens são apresentadas.
| Verificação automática | Não vai descobrir todas as vulnerabilidades |
| Vantagem de economia de tempo e custo | Não vai descobrir todas as vulnerabilidades |
| Vantagem de economia de tempo e custo | Maior taxa de falsos positivos |
| Exigido explicitamente em muitas estruturas de conformidade | Não inclui todos os requisitos de conformidade de segurança |
| Várias ferramentas estão disponíveis no mercado | Alguns scanners não se encaixam bem em ecossistemas de segurança maiores |
Já em um Pentest você tem uma visão mais direcionada, com os testes é necessário simular um ataque real e mais direcionado, por conta disso os testes manuais ganham força e a descoberta por vulnerabilidades sendo mais difícil, sendo necessário focar o seu tempo em validar potencias brechas encontradas para descartar a possibilidade de ser um falso positivo.
Por conta disso, saber se você precisa de um Pentest ou de uma análise de vulnerabilidade é essencial, afinal por se tratarem de tarefas distintas os seus valores são também.
Um serviço de pentest personalizado pode partir de 25 mil reais e passar de 100 mil reais, já um serviço de análise de vulnerabilidade parte de 15 mil reais e pode chegar até 80 mil reais.
Se você não possui visibilidade do seu ambiente e nunca realizou uma análise de vulnerabilidades, com certeza é o primeiro passo que você pode tomar para ir subindo aos poucos os degraus.
A HackerSec é referência em cibersegurança no Brasil e pode ajudar sua empresa tanto com uma análise de vulnerabilidade como também com um pentest personalizado completo, conheça nossos serviços para empresas em: https://hackersec.com/empresas/
No caso, um componente-chave do pentest manual vem do aspecto humano que usa lógica e engenhosidade para descobrir falhas ou vulnerabilidades do sistema relacionadas aos processos de negócios. Com uma inspeção detalhada, os testadores geralmente detectam problemas que os scanners de vulnerabilidades não detectam.
Conclusão
Desconfie de ofertas abaixo do valor de mercado, pois podem ser realizados por profissionais despreparados ou ferramentas automatizadas que não atestam com qualidade a segurança do ambiente, gerando uma falsa sensação de segurança.
Portanto, se alguém oferecer para você um Pentest com preço de análise de vulnerabilidade, evite a contratação, pois um Pentest não é algo que se faz em ferramentas automatizadas, mas sim com um especialista certificado e sua criatividade em buscar algo que ferramenta nenhuma enxerga e entregar um relatório ainda mais detalhado.