Você está aqui: Página Inicial / Blog / Não, não contrate um pentest... Ainda.

Não, não contrate um pentest... Ainda.

Você vai de triatlo ou de Ben 10?

Não é incomum que organizações com pouca maturidade em segurança procurem empresas e profissionais liberais do ramo, na intenção de contratarem o grande rockstar dos serviços de segurança ofensiva, o pentest (de penetration test, comumente traduzido como teste de invasão).

Apesar de louvável a disposição de trazer à realidade da organização uma auditoria de segurança, é preciso avaliar o quão benéfica tal iniciativa realmente é. Tornando a reflexão mais palpável, um gestor que contrata um teste de invasão sendo que a empresa não tem maturidade em segurança é como um pai que compra uma bicicleta de triatlo super cara para o filho de quatro anos, quando na verdade o menino deveria estar pedalando uma do Ben 10, com rodinhas laterais. Não tem nada de errado em ter quatro anos de idade e ter uma bicicleta de super-herói com rodinhas. Pelo contrário: apesar de muito menos cheia de frufrus e nada turbinada, a bicicleta do Ben 10 é uma escolha muito mais inteligente e adequada.

O mesmo se aplica a testes de invasão e outros tipos de eventos simulados. O próprio PTES (Penetration Testing Execution Standard), padrão que deveria ser utilizado por qualquer empresa que se propõe a prestar serviços de segurança ofensiva, prescreve, na seção Pre-engagement:

Suri-ashi vem antes de ji-geiko...


Na prática, de um lado, o pouco preparo para saber escolher e, do outro, o pouco preparo para saber instruir, muitas vezes acabam levando empresas a contratarem prestadores de serviço que, no melhor dos casos, (i) não estão se deixando levar pelo apelo de rockstar, (ii) são competentes e (iii) são bem-intencionados, mas não serão capazes de entregar um artefato verdadeiramente adequado à realidade da contratante, simplesmente porque há aspectos de segurança muito mais básicos a tratar antes de pensar em como se defender de ataques ativos de hackers criminosos. Aspectos estes que darão o devido respaldo à tratativa de brechas de segurança porventura evidenciadas em um pentest.

Fazendo mais uma analogia, qualquer pessoa que já tenha praticado artes marciais sabe da importância de dominar os fundamentos de movimentação da modalidade antes de se colocar em uma situação de combate. No kendo, por exemplo, a primeira coisa que se ensina ao kohai (iniciante), é o suri-ashi, uma maneira de se movimentar que o torna muito mais estável e ágil. Nos dojos tradicionais de kendo, kohais não têm autorização para participar de todas as etapas das sessões de treino, só de uma parte. Depois de um período de prática contínua e aprendizado de diversas técnicas básicas, que pode variar de alguns meses a alguns anos, a critério do sensei (professor), é que o praticante tem a honra de vestir o bogu (armadura) pela primeira vez e poder, então, participar de todas as etapas de treino, o que inclui o ji-geiko, o combate propriamente dito. Permitir ao kohai vestir o bogu antes dele estar preparado seria uma irresponsabilidade: o coitado ia fazer as vezes de saco de batatas e demoraria muito a avançar na modalidade.

Da mesma forma, contratar um pentest antes de tratar minimamente aspectos fundamentais de segurança é um equívoco. Por mais que o serviço seja executado com diligência, sua empresa está preparada para aproveitar os resultados obtidos? Isto é, tratar adequadamente as brechas encontradas e, mais importante, perpetuar as tratativas, com o respaldo de políticas e procedimentos de segurança razoavelmente sedimentados? Se a resposta a esta pergunta for negativa, é muito provável que você experimente um pico de bonança após a execução do serviço, mas regrida ao estado original, adverso, dentro de poucos meses. Segurança é valsa, perpetuum mobile, não um estrondo dissonante.

Ademais, você realmente sabe o que está tentando proteger? Isto é fundamental na hora de especificar o escopo da simulação. Não raro, organizações nem sequer conseguem listar os ativos vivos em suas redes. Por mais que soe bonito, contratar um teste de invasão blackbox sem restrições de escopo, nestas circunstâncias, pode ser jogar dinheiro fora. Certamente, nesta situação, uma varredura de ativos de rede, seguida de uma análise de vulnerabilidades credenciada nos ativos encontrados, seria muito mais benéfica (e barata).

Em suma, talvez o aspecto mais relevante da contratação de um evento simulado seja a sua capacidade de ser honesto consigo mesmo quanto à sua própria maturidade em segurança. Tenha certeza de estar contratando um serviço adequado à capacidade de absorção de sua empresa no que diz respeito à tratativa de problemas detectados. O equilíbrio entre o tamanho do menino e o tamanho da bicicleta, com a troca eventual desta, fará dele, quem sabe, um triatleta olímpico.

 

Eduardo Vasconcelos
Analista de Segurança da Informação, Perallis Security