Os testes de penetração conhecidos por PEN-Test, assim como as avaliações de Vulnerabilidades são instrumentos fundamentais para o entendimento e também por ações que venham remediar falhas de segurança, desde: arquiteturas de redes de computadores, perímetros de proteção, ausências de atualizações advindas de fabricantes, serviços abertos que não fazem parte do ecossistema sistêmico, SQL Injections, backdoors, falhas em aplicações etc. Não obstante, estes instrumentos são fundamentais as empresas em geral, assim como aos fabricantes de soluções em segurança da informação para que executam atualizações em seus produtos, com o objetivo de proteger aos seus clientes, sem contar com as competições de “cyber invasores” que tentam descobrir eventuais falhas em suas novas soluções.
Os processos de avaliação de falhas de vulnerabilidade, via de regra, ocorriam ou ocorrem por meio de projetos pontuais para entendimento dos riscos dados por ferramentas de código aberto ou por fabricantes especializados, como a Rapid7, que possuem tecnologias para entendimento de vulnerabilidades, com templates regulatórios como o exemplo do PCIDSS (Payment Card Industry Data Security Standard – Padrão de segurança de dados da indústria de cartões de pagamento), bases de conhecimento e parcerias com os principais players no tocante a possíveis brechas de segurança. Dentro deste contexto, o projeto executa as validações e entendimento do ambiente em questão (avaliando infraestrutura de tecnologia, banco de dados e/ou aplicações), dando-o ao cliente um relatório acerca das ações mitigatórias, sugestões tecnológicas e procedimentos que venham diminuir o risco ao seu ambiente. Os clientes em posse das informações poderiam realizar imediatamente ou criar planos de ações para atendimento aos requisitos apontados, sendo este o desafio póstumo ao PEN ou Avaliação de Vulnerabilidade. Entretanto, os clientes possuem desafios com sistemas legados, modelos de gerenciamento de mudanças (ITIL) e suas janelas de manutenção, “competição interna” com outros projetos, não entendimento dos riscos ou de seus possíveis impactos, em algumas vezes, ausência de cópias de segurança ou testes de restauração ou demais aspectos operacionais; que via de regra levam ou já levaram a um hiato bem “elástico” para ações apontadas no relatório de Assessment. Este tempo para a execução alongado gera uma nova carga de vulnerabilidades que sequer é notada ou entendida dada a dinâmica da operação e novos volumes de ameaças, destacada na figura 01.
Figura 01 – Quantidade de Vulnerabilidades
O cenário é ainda mais comprometido com a diminuição do ciclo de vida de novas ameaças, havendo quase diariamente novos tipos de softwares maliciosos, ou seja, os testes pontuais ficaram em “Xeque” devido a velocidade dos ataques e a capacidade de reação das empresas para resolução de seus problemas. Por obvio, os testes por projeto (temporários) continuam sendo um instrumento importante para o entendimento de vulnerabilidades ou mesmo antecipação de ações mal-intencionadas. Contudo, as tecnologias de monitoramento constante de Vulnerabilidade são instrumentos fundamentais para todas as operações de Tecnologia da Informação, agregando aos modelos tradicionais de avaliação de Infraestrutura ou Desempenho de Aplicações e o uso de Indicadores de Riscos – KPI (Key Performance Indicator) nos ambientes monitorados, dando as equipes de Segurança possibilidades de ações em conjunto com outras para resolução ou planos de abrandamento – exemplo o uso de sandbox – ou meios automatizados (DevOps – aplicação de correções) nas janelas de manutenção programadas.
Por fim, este novo conceito de Monitoramento de Vulnerabilidade retira o modelo em “xeque” com ações que orquestram tecnologias para bloqueios e diminuição dos riscos das empresas que o adotarem fazendo parte dos novos desafios das Operações de Tecnologia da Informação, proporcionando inteligência e maior visibilidade dos riscos existentes.