Diferença entre análise de vulnerabilidade e o pentest

análise de vulnerabilidade e o pentest
Imagem por Conviso AppSec

O crescimento do número de ataques de cibercriminosos têm gerado nas empresas uma maior preocupação com a segurança digital da organização. Para buscar por formas de proteção e ferramentas de segurança tem se identificado a necessidade de profissionais qualificados para guiar os gestores nessa questão.

Essa equipe de profissionais em segurança da informação irá garantir uma maior segurança para que a empresa possa trabalhar com seus dados e dos clientes sem o risco de um ataque repentino. Nesse contexto, temos a análise de vulnerabilidade e o pentest (teste de penetração), como testes feitos para verificar a segurança da empresa.

No entanto, muitas vezes as empresas contratam o serviço de um desses testes pensando ser o outro, já que seu conceito é bem similar, causando confusão até em profissionais experientes da área de Tecnologia da Informação (TI).

Ambos os testes consistem em formas de ampliar a segurança digital, no entanto, não são iguais e é importante conhecer as suas diferenças e qual melhor se encaixa nas necessidades da sua empresa. Para te ajudar, criamos essa publicação onde iremos tratar sobre as diferenças entre a análise de vulnerabilidade e o Pentest, como cada serviço pode auxiliar profissionais e empresas a desenvolver estratégias de segurança.

Diferença entre a análise de vulnerabilidade e o pentest

Primeiramente, vamos conhecer melhor cada um desses testes e depois iremos tratar das suas diferenças e as situações em que as características de cada uma delas será melhor aproveitada. 

Análise de Vulnerabilidade

O teste de análise de vulnerabilidade se trata de uma rotina que pode ser automatizada a partir da utilização de um software, o que ocorre na maioria das vezes. Nele se irá procurar por pontos de falha, que são pontos que podem ser utilizados por cibercriminosos para invadir as máquinas, rede ou sistema da empresa.

Para a execução do teste, estão disponíveis no mercado dois tipos de ferramentas, os scanners ativos e os passivos. É importante conhecê-los e saber diferenciar cada um deles.

Scanners ativos

Os scanners ativos são aqueles que não dependem de um utilizador para sua função, o técnico de segurança em TI, que irá utilizar o software para realizar uma varredura em todos os sistemas, máquinas e redes, procurando pontos sensíveis ou de vulnerabilidades. Esses scanners estão sempre ativos e em funcionamento.

Scanners passivos

Já os scanners passivos são softwares programados para realizar varreduras ocasionais, em determinado período e de acordo com a programação que foi inserida neles. Eles não demandam de processamento, mas conseguem identificar diversas falhas de segurança.

Pentest

O pentest, ou teste de penetração, se trata de uma avaliação realizada por um profissional de segurança da informação, em que se irá procurar identificar as falhas e possíveis pontos de entrada na visão de um cibercriminoso.

Este se trata de um ataque controlado, como também é conhecido, onde se tem um roteiro pelo qual o profissional responsável contratado se guiará, verificando a possibilidade de invadir ou roubar dados sem autorização. De modo geral, o pentest se trata de uma simulação de um ataque real, para buscar e identificar os pontos onde há falhas e onde pode ocorrer vazamentos.

O pentest pode ser de três tipos, white box, grey box e black box, onde cada um tem sua própria forma de trabalho e suas demais especificidades. Vamos conhecer melhor cada um deles:

White box

No tipo de pentest white box (caixa branca), todas as informações de rede, servidores, sistemas e bancos de dados da empresa são passadas para o executor do teste. Informações como endereços de IP, configurações e credenciais de acesso estão incluídas no repasse.

Sendo então, a simulação de um ataque interno, vindo de alguém que atua na empresa e tem altos níveis de permissões. Sendo então, usado para analisar aplicações web em que o servidor e código fonte podem ser analisados facilmente.

Grey box

Nessa modalidade, algumas informações são fornecidas a quem irá fazer o teste, mas as configurações do sistema não são completamente compartilhadas com esse profissional. Sendo então a simulação do ataque de um usuário comum que está credenciado à rede, no entanto, tem permissões de acesso limitadas.

Black box

O pentest black box é o tipo em que nenhuma informação sobre o sistema é passado para o profissional que irá conduzir o ataque controlado. De modo que seja a simulação de um ataque de um hacker real, que não tem qualquer relação com a empresa, sem nenhuma informação ou credencial de acesso prévia.

Diferenças entre a análise de vulnerabilidade e o pentest

Imagem por Diego Macêdo

Podemos resumir a análise de vulnerabilidade como o teste que faz a identificação das vulnerabilidades em uma rede ou sistema. Assim, o resultado do teste será uma lista com as principais ameaças, organizadas de acordo com a gravidade ou criticidade em relação ao negócio da empresa.

Já o Pentest, envolve a detecção das vulnerabilidades juntamente com a tentativa de explorá-las e simular um ataque real. De modo que este teste tem seu foco em testar as defesas e mapear os possíveis caminhos que um possível invasor iria tomar.

Uma das principais diferenças entre a análise de vulnerabilidade e o pentest está na relação entre a abrangência e a profundidade. Sendo a primeira mais ampla e buscando detectar o maior número de riscos possíveis, sem necessariamente analisar a fundo cada um destes riscos.

Enquanto o pentest tem em seu foco um número menor de vulnerabilidades, mas procura ao máximo levantar o máximo de informações possíveis sobre elas, verificando se estas são genuínas e como elas podem ser combatidas.

Além disso, as suas formas de execução mostram as diferenças entre a análise de vulnerabilidade e o pentest. Onde na análise de vulnerabilidade, o processo é, praticamente, totalmente automatizado, enquanto o pentest se trata de uma combinação de ações automatizadas e manuais. Sendo necessário um profissional mais habilidoso para a execução do pentest.

Conclusão

Podemos concluir então que ambas as soluções podem e devem ser usadas em momentos e para finalidades distintas. De modo que a análise de vulnerabilidade seja feita em intervalos regulares, já o pentest pode ser feito com uma frequência menor, sendo aplicado quando a empresa já tiver tratado as principais vulnerabilidades levantadas.

Sendo a principal diferença entre a análise de vulnerabilidade e o pentest sendo que a análise descobre muitas possíveis vulnerabilidades, enquanto o pentest mostra quais as vulnerabilidades podem ser exploráveis e como isso poderia acontecer.

Espero que esse conteúdo tenha sido útil para a sua empresa. Em caso de mais dúvidas você pode falar com um de nossos especialistas, que estaremos mais que dispostos a te ajudar.

Sobre o autor

Categorias

Destaques

Assine nossa newsletter