Análise de Vulnerabilidades x PenTest: entenda as diferenças

Análise de vulnerabilidades X PenTest: qual procedimento é mais adequado para sua empresa? Entenda para que servem e quais são as diferenças!

Ações de conscientização, prevenção, detecção e tratamento de riscos precisam ser parte da rotina da equipe de segurança da informação para garantir a confiabilidade dos sistemas. Entre elas, existem dois nomes que estão sempre em voga: análise de vulnerabilidades e PenTest.

Apesar de terem semelhanças, eles são usados de maneira distintas e as diferenças devem estar claras tanto para quem realiza quanto para o negócio que contrata esses serviços. Quer entender como eles funcionam e qual é a solução correta para sua empresa? Então, acompanhe até o fim!

Para que servem a análise de vulnerabilidades e o PenTest?

Ambos são usados para detectar riscos e possibilidades de falhas nos sistemas. Riscos podem ser gerados, por exemplo, por erros de programação ou de configuração dos sistemas e por falhas humanas intencionais ou não intencionais, como a execução de arquivos maliciosos, vírus ou ransomwares.

O que esses procedimentos fazem é garantir a detecção das vulnerabilidades do sistema. Eles são realizados periodicamente para que os profissionais possam elaborar soluções para os potenciais riscos.

Análise de Vulnerabilidades x PenTest: Quais as diferenças entre eles?

A análise de vulnerabilidades faz a identificação das vulnerabilidades em uma rede ou sistema. O resultado desse procedimento é uma lista com as principais ameaças, geralmente elencadas pela gravidade ou criticidade em relação ao negócio.

Em contrapartida, o PenTest, ou teste de penetração, envolve a detecção de vulnerabilidades somada à tentativa de explorá-las e simular um ataque real. Ele é focado em testar as defesas e mapear os possíveis caminhos do invasor.

Uma das grandes diferenças entre eles está na relação entre abrangência e profundidade. A análise de vulnerabilidades é ampla e almeja detectar o maio número de riscos possíveis, sem necessariamente analisar a fundo cada um deles.

Já o PenTest se concentra em um número menor de vulnerabilidades, mas tenta levantar o máximo de informações sobre elas, verificando se são genuínas e como podem ser combatidas.

Outro ponto importante está na forma como eles são realizados. A análise de vulnerabilidade é praticamente 100% automatizada, enquanto o PenTest é uma combinação de ações automatizadas e manuais. Naturalmente, o PenTest exige profissionais mais habilidosos para sua execução.

Como uma análise de vulnerabilidades é realizada?

A análise de vulnerabilidades geralmente é feita usando ferramentas automatizadas, como scanners de segurança. Entre as ferramentas, estão:

• Port Scanner para verificar o uso e a exposição das portas de serviço TCP/IP;
• Analisadores de Protocolo, ou Sniffers, para visualizar o tráfego e analisar o conteúdo;
• Scanner de vulnerabilidade, que detecta ameaças de softwares desatualizados, má configuração etc.

Quem observa um relatório desse tipo de análise pode esperar ver o título, a descrição e a gravidade (alta, média ou baixa) de cada vulnerabilidade descoberta.

Como é feito o PenTest?

O PenTest geralmente se inicia com uma análise de vulnerabilidades, mas ele tem uma etapa adicional de exploração das falhas. Dependendo da necessidade do negócio e da rede, ele pode ser de três tipos.

White Box

Nesse tipo, todas as informações da rede, servidores, sistemas e bancos de dados da empresa são passadas ao executor do teste. Entre elas, estão endereços de IP, configurações e credenciais de acesso.

O objetivo é, então, simular um ataque vindo de alguém que atua na empresa e tem altos níveis de permissões. É muito usado ainda para analisar aplicações web em que o servidor e o código-fonte são abertamente analisados.

Black Box

Nenhuma informação sobre os sistemas é passada ao analista de teste. Ou seja, é uma simulação de ataque hacker real, onde os invasores não têm qualquer relação com a empresa.

Grey Box

É uma espécie de mistura das duas modalidades anteriores. Algumas informações são fornecidas a quem vai fazer o teste, mas as configurações do sistema não são completamente compartilhadas com esse profissional. Pode-se testar, por exemplo, como se fosse um usuário comum que, apesar de credenciado à rede, tem permissões limitadas.

Qual a melhor solução para minha empresa?

Ambas soluções podem e devem ser usadas em momentos e para finalidades distintas. Recomenda-se que a análise de vulnerabilidades seja feita em intervalos regulares, por exemplo, uma vez a cada mês. Já o PenTest pode ser feito com menos frequência e quando a empresa já tiver tratado as principais vulnerabilidades levantadas.

A análise de vulnerabilidades pode ser conduzida pela equipe interna ou por um analista externo. Já o PenTest geralmente é trabalho para uma equipe externa. Para entender quando e como utilizar esses dois procedimentos na sua empresa, é recomendável a assessoria de um parceiro especializado em segurança da informação.

Como vimos, a principal diferença é que a análise de vulnerabilidades descobre muitas possíveis vulnerabilidades, enquanto o PenTest mostra quais vulnerabilidades são exploráveis e como isso poderia acontecer.

E se você quer saber mais sobre algumas das principais ameaças aos sistemas da sua empresa, aproveite para ler também nosso artigo sobre o que é Phishing, Smishing e Vishing!

Matérias relacionadas

Cinco passos essenciais para uma gestão de vulnerabilidades eficiente

Gestão de vulnerabilidades x proteção das empresas: qual importância?

Gestão de vulnerabilidades x proteção das empresas: qual importância?

Gestão de vulnerabilidades x proteção das empresas: qual importância?