Teste de penetração automatizado - Como o BAS matou o “Pen Test”
Por Eyal Wachsman – CEO e Co-fundador da Cymulate
A simulação de violação e ataque cibernético (BAS) da CYMULATE, uma plataforma fornecida como serviço mudou para sempre o “pen test” tal qual nós conhecemos. De meses para minutos, o CYMULATE, solução fornecida em nuvem revolucionou a rapidez com que as organizações podem obter resultados de avaliação de segurança e quanto elas devem pagar para saber o quão seguras estão em um determinado momento.
Prever o Presente
Em fevereiro de 2018, o Sr. Augusto Barros, vice-presidente de pesquisa do Gartner, previu que a tecnologia de simulação de violação e ataque (BAS), combinada com avaliações de vulnerabilidade, eliminaria o teste de penetração tradicional.
Atualmente, podemos afirmar com segurança que a previsão de Barros foi acertada. Pelo menos no que diz respeito ao “pen testing” de rede. Atualmente, estamos testemunhando os últimos dias do paradigma de serviços desatualizados que as empresas de serviços e consultoria de segurança – incluindo as Quatro Grandes - oferecem a seus clientes. Enquanto isso, é fácil encontrar novas empresas de segurança cibernética que há muito desenvolvem ferramentas e plataformas para testes de penetração automatizados e, dessa forma, estão eliminando de forma decisiva as velhas formas de realizar testes de penetração.
Uma mudança de paradigma do “Pen Test”
Uma boa analogia para descrever o que está acontecendo no mundo do “pen testing” hoje é pensar nas empresas de telefonia móvel com os celulares antigos que só faziam ligação e que não entenderam para onde o mercado estava indo, nem as necessidades de mudança de seus clientes e enquanto isso estavam aparecendo os iPhones e mais tarde os Androids. Ou seja, a tecnologia BAS está para o “pen test” assim como o iPhone e o Android estão para os celulares que apenas fazem ligações. O BAS é muito mais rápido, ágil, simples de usar e fornece resultados imediatos para a organização. Você pode usá-lo diariamente, a qualquer momento, para obter uma imagem clara da postura de segurança de sua organização.
Há 20 anos, trabalhei como CISO de uma grande empresa de telecomunicações nacional, período em que consumi serviços de consultoria que incluíam avaliações de risco e testes de penetração.
Hoje – duas décadas depois – as metodologias de trabalho das empresas de consultoria não mudaram nem um pouco. Como gerente das operações de segurança de uma organização ou do departamento de segurança de TI, ainda se espera que você selecione uma ou mais firmas de consultoria para trabalhar. As empresas de consultoria enviam suas equipes de especialistas em segurança cibernética e os especialistas em “pen test” para realizar auditorias ou testes de penetração, coletar informações e retornar ao escritório para redigir o relatório. Em média, todo esse processo – desde o primeiro dia até o envio do relatório – leva no mínimo 30 dias. Acredito que a maioria dos profissionais de segurança concordaria que o relatório, no dia do envio, não é mais relevante, pois a internet é um lugar em constante mudança, onde as ameaças cibernéticas se transformam e evoluem continuamente.
Por que fundei a Cymulate?
Motivados pela ideia de mudar essa metodologia do ‘velho mundo’, meus colegas e eu decidimos fundar a Cymulate. Antes de iniciar a empresa, atuei como vice-presidente de desenvolvimento de negócios em uma grande empresa de consultoria de segurança da informação. Lembro-me particularmente de um amplo projeto que realizamos para um cliente na Ásia, para o qual destacamos nossas equipes para realizar os mesmos testes que mencionei anteriormente. Nossos especialistas voaram para as instalações do cliente várias vezes, executaram os testes e redigiram seus relatórios. Ao todo, o projeto demorou meio ano para ser concluído.
Em um desses voos, comecei a pensar comigo mesmo: “E se pudéssemos deixar nossos clientes realizarem esses mesmos testes sozinhos? E se pudéssemos simplesmente transmitir nosso conhecimento a eles? Eles não poderiam ter realizado esses mesmos testes de penetração (pen testing) se tivessem recebido o conhecimento e as ferramentas adequadas?”
A Revolução BAS
E foi assim que nasceu a simulação de violação e ataque (BAS), uma solução da CYMULATE fornecida como serviço em nuvem. Deve-se considerar que o mesmo projeto na Ásia poderia ter sido executado hoje pelo próprio cliente em um único dia de trabalho usando a tecnologia da Cymulate, incluindo a publicação de dois tipos de relatórios – um executivo e um técnico, completo com as lacunas identificadas pela plataforma, juntamente com recomendações práticas sobre como remediar essas falhas de segurança de maneira detalhada e abrangente. Ninguém teria que voar. Nenhum hardware precisaria ser instalado. Nenhum pen testing manual teria que ser executado. Todas essas atividades seriam substituídas por testes de penetração automatizados.
Cymulate definido como “Cool”
Em maio de 2018, o relatório do Gartner “Cool Vendors in Application and Data Security” definiu a CYMULATE como “Cool Vendor” por conta da extraordinária facilidade com a qual a plataforma testa a postura de segurança de uma organização do ponto de vista de um invasor e o faz 100% exclusivamente a partir de a nuvem.
Hoje, atendemos clientes grandes e pequenos em todo o mundo, oferecendo avaliações de segurança multi vetoriais que alavancam uma equipe de pesquisadores de segurança de primeira linha combinada com inteligência de ameaças publicamente disponível. Em apenas alguns minutos a plataforma da Cymulate é configurada e apenas mais alguns minutos fornece os resultados dos testes.
É certo que algumas boas ideias podem surgir do sofrimento em voos longos…
Mas não acredite apenas na minha palavra. Veja você mesmo porque o Cymulate não é apenas um “Cool Vendor”, mas muito mais que isso: é uma solução com tecnologia revolucionária.
Você sabia que pode fazer um teste de 14 dias sem custo do Cymulate?
Veja a solução funcionando na prática e conheça todas as falhas da sua segurança. Fale com os nossos especialistas e faça um teste na sua empresa.