Análise de Vulnerabilidade x Teste de Penetração: qual a diferença?
É comum que os termos Análise de Vulnerabilidade e Teste de Penetração sejam usados de forma intercambiável, mesmo entre profissionais de TI.
Muitas empresas, por falta de conhecimento, pagam por serviços de Teste de Penetração de rede. Assim, acabam com centenas de relatórios listando vulnerabilidades detectadas como resultado.
E enquanto esse não é um problema tão grave, visto que os dois serviços são formas de manter sua rede segura, é importante conhecer a diferença entre os dois para saber usá-los estrategicamente.
Continue lendo e descubra quais as diferenças entre Análise de Vulnerabilidade e Teste de Penetração e saiba quando cada um servirá melhor às necessidades do seu ambiente de TI!
O que é análise de vulnerabilidade?
A Análise de Vulnerabilidade tem como objetivo identificar vulnerabilidades em uma rede a fim de garantir a segurança da informação. A técnica é usada para estimar o grau de fragilidade da rede a diferentes riscos.
Um processo de avaliação das vulnerabilidades que se destina a identificar ameaças e os riscos que elas representam normalmente envolve o uso de ferramentas de teste automatizadas. Ou seja, como os scanners de segurança de rede, cujos resultados são listados em um relatório de avaliação de vulnerabilidades.
Como as descobertas refletidas no relatório da Análise de Vulnerabilidades não são apoiadas por uma tentativa de explorá-las, algumas delas podem ser falsos positivos.
Um relatório sólido de Análise de Vulnerabilidade deve conter o título, a descrição e a gravidade (alta, média ou baixa) de cada vulnerabilidade descoberta. Dessa forma, uma mistura de fraquezas de segurança críticas e não críticas seria bastante intrigante. Ou seja, já que você não saberia qual vulnerabilidade deve ser corrigida primeiro.
E o teste de penetração?
Em contraste com a Análise de Vulnerabilidade, o Teste de Penetração, também conhecido como PenTest, envolve a identificação de vulnerabilidades em uma determinada rede e a tentativa de explorá-las para penetrar no sistema.
O objetivo do teste é determinar se uma vulnerabilidade detectada é genuína. Se um Teste de Penetração consegue explorar um ponto potencialmente vulnerável, ele o considera genuíno e o reflete no relatório.
O PenTest é tipicamente um exercício orientado para objetivos. Ele tem menos a ver com a descoberta de vulnerabilidades, e é mais focado em simular um ataque real, testar defesas e mapear caminhos que um cibercriminoso pode seguir para concluir uma investida contra a rede.
Em outras palavras, um Teste de Penetração geralmente é sobre como um invasor pode violar as defesas e menos sobre vulnerabilidades específicas.
Esse teste, assim como a Análise de Vulnerabilidades, também envolve o uso de scanners automatizados, contudo, o PenTes tem uma grande face manual. Ele envolve o uso de outras ferramentas manuais para encontrar vulnerabilidades em aplicativos da Web e infraestrutura de rede.
Embora seja mais comum interceptar e explorar vulnerabilidades para atingir a meta do PenTest, isso também pode ser uma característica da Análise de Vulnerabilidades. Por outro lado, nem todos os Testes de Penetração incluem exploração de elementos — em alguns casos, demonstrar um ataque pode ser suficiente.
Durante o estágio de exploração, um PenTest tenta prejudicar a rede do cliente. Ou seja, derruba um servidor ou instalar software malicioso nele, obter acesso não autorizado ao sistema etc. A Análise de Vulnerabilidades não inclui esta etapa.
Análise de Vulnerabilidade x Teste de Penetração
Acima, já deu para ter uma ideia das diferenças entre os dois processos, mas quais são elas efetivamente? Separamos abaixo as principais por tópicos, veja só:
Diferença #1: largura vs. profundidade
A principal diferença entre a Análise de Vulnerabilidade e o Teste de Penetração é a cobertura de vulnerabilidades, ou seja, a abrangência e a profundidade.
A Análise de Vulnerabilidade concentra-se em descobrir o máximo de fraquezas de segurança possíveis (abordagem de abrangência ampla). Ela deve ser empregada regularmente para manter o status seguro de uma rede, especialmente quando alterações são introduzidas (por exemplo, novos equipamentos instalados, serviços adicionados, portas abertas).
Além disso, será adequado para organizações que não ainda não se sentem seguras e que desejam conhecer todas as possíveis falhas para criar sua infraestrutura de segurança.
O Teste de Penetração, por sua vez, é preferível quando o cliente afirma que as defesas de segurança da rede são fortes, mas quer verificar se elas são mesmo à prova de hackers (abordagem de profundidade em excesso).
Diferença #2: o grau de automação
Outra diferença, ligada ao ponto destacado anteriormente, é o grau de automação. A Análise de Vulnerabilidades geralmente é automatizada. Assim, ela permite uma cobertura mais ampla de vulnerabilidades. E o Teste de Penetração é uma combinação de técnicas automatizadas e manuais, que ajuda a aprofundar os pontos fracos.
Diferença #3: a escolha dos profissionais
A terceira diferença está na escolha dos profissionais que realizarão as duas técnicas de segurança.
Considerando a importância desse procedimento para a garantia da continuidade e segurança das informações sensível do negócio, contar com uma empresa especializada para a realização da Análise de Vulnerabilidade. Assim, ela utiliza software específicos, é, muitas vezes, mais eficaz.
O Teste de Penetração, por sua vez, requer um nível de especialização consideravelmente mais alto (por ser de uso intensivo manual. Além disso, deve sempre ser terceirizado para um provedor de serviços especializado.
O que mais preciso saber sobre os dois processos?
Dê uma olhada em um questionário rápido, que descreve as diferenças finais nos detalhes entre as duas técnicas:
Com que frequência executar o serviço?
- Análise de Vulnerabilidade: trimestralmente, com a complementação de um teste adicional após mudanças na rede;
- Teste de Penetração: uma vez por ano, pelo menos.
O que há no relatório?
- Análise de Vulnerabilidade: uma lista abrangente de vulnerabilidades, classificadas de acordo com o risco;
- Teste de Penetração: um documento de call-to-action. Ele lista as vulnerabilidades que foram exploradas com sucesso.
Quem realiza o serviço?
- Análise de Vulnerabilidade: equipe de segurança interna ou um fornecedor terceirizado;
- Teste de Penetração: um provedor de serviços de teste de penetração.
Qual é o objetivo do serviço?
- Análise de Vulnerabilidade: descobre uma ampla gama de possíveis vulnerabilidades;
- Teste de Penetração: mostra vulnerabilidades exploráveis.
As diferenças entre a Análise de Vulnerabilidade e os Testes de Penetração mostram que vale a pena levar em consideração os dois serviços de segurança da informação para proteger a sua rede. Enquanto a primeira é boa para a manutenção de segurança, o segundo descobre fraquezas reais de segurança.
É possível aproveitar os dois serviços somente se você contratar um fornecedor de alta qualidade. Assim, ele precisa entender e, mais importante, traduzir para o cliente a diferença entre o Teste de Penetração e a Análise de Vulnerabilidade.
Assim, nos Testes de Penetração, um bom fornecedor combina automação com trabalho manual (dando preferência a esse último). Além disso, não fornece falsos positivos no relatório.
Ao mesmo tempo, na Análise de Vulnerabilidades, o fornecedor descobre uma ampla gama de vulnerabilidades de rede possíveis. Assim, as reporta de acordo com sua gravidade para os negócios do cliente.
Agora que você já sabe as diferenças entre esses dois serviços, veja também como preparar sua empresa para a nova geração de segurança de dados neste post que separamos especialmente para você!