Pentest e Red Teaming são duas práticas essenciais de cibersegurança que fortalecem a postura de uma organização ao descobrir vulnerabilidades em seus sistemas, redes, pessoas ou processos de negócios. Essas metodologias possuem objetivos, escopos, abordagens e tecnologias distintas. Entenda algumas dessas diferenças a seguir.

O pentest é um ataque simulado direcionado a um sistema ou rede específicos, com o objetivo de descobrir e relatar vulnerabilidades suscetíveis à exploração. Esse tipo de teste é projetado para avaliar controles primários, como gerenciamento de patches e vulnerabilidades, configuração e fortalecimento do sistema, criptografia, segurança de aplicativos, segmentação de rede, gerenciamento de acesso privilegiado e aplicação de políticas de segurança. O escopo desse engajamento é definido, e o custo varia com base na extensão e profundidade da avaliação.

Por outro lado, o red teaming oferece uma avaliação direcionada da postura de segurança de uma organização. Muitas vezes, concentra-se na capacidade de uma ameaça obter acesso não intencional, juntamente com testes de controles detectivos e preventivos.

Controles detectivos vs. controles preventivos

Controles detectivos incluem sistemas de detecção de intrusões (IDS), resposta a incidentes em endpoints (EDR), sistemas de gerenciamento de informações e eventos de segurança (SIEM), análise de logs e detecção de anomalias. Já os controles preventivos envolvem firewalls, listas de controle de acesso, sistemas de prevenção de intrusões (IPS), autenticação multifator (MFA) e segmentação de rede. O objetivo é identificar e explorar vulnerabilidades de maneira semelhante a um atacante real. Ao mesmo tempo, o teste avalia a capacidade da organização de detectar e prevenir ataques. O red teaming é um exercício baseado em objetivos destinado a simular ameaças do mundo real que visam uma organização.

Esses objetivos normalmente incluem a comprometimento do ambiente interno a partir de uma perspectiva externa, acesso a sistemas sensíveis ou interrupção de processos de negócios. Os caminhos de ataque ou metodologias do atacante nos exercícios de red teaming ajudam a avaliar a resiliência de uma organização contra vários atores de ameaças, incluindo estados-nação, crimes organizados e ameaças internas. Essa abordagem exige testadores altamente qualificados, que devem trabalhar de maneira lenta, deliberada e silenciosa para evitar detecção, o que pode resultar em um custo mais alto em comparação com os pentests. A complexidade e sofisticação do exercício, a necessidade de extensa pesquisa e reconhecimento, e a exigência de um maior nível de coordenação entre testadores e a organização são alguns dos fatores que contribuem para o maior custo.

Como escolher entre pentest e red teaming?

As organizações devem basear sua decisão em seus objetivos específicos e tolerância a riscos.

• Para o red teaming, em particular, as empresas devem adaptar o escopo e os objetivos para se concentrarem em áreas de riscos-chave.
• Por exemplo, um sistema de saúde pode priorizar a proteção de registros médicos. Ao mesmo tempo, uma organização de P&D pode enfatizar a proteção da propriedade intelectual. Já organizações com processos de aquisição complexos podem concentrar-se nos dados financeiros.
• Ou seja, ao alinhar a metodologia e áreas críticas, as organizações podem abordar efetivamente as vulnerabilidades potenciais e seu impacto na reputação, compliance e bem-estar financeiro.

Em termos de tecnologia, ambas as práticas empregam várias ferramentas e técnicas, como scanners automatizados de vulnerabilidades, utilitários de teste de penetração manual e scripts personalizados para avaliar redes e sistemas-alvo.

• O red teaming visa simular ameaças do mundo real.
• Todas as ferramentas e técnicas geralmente são consideradas dentro do escopo, mas podem não ser necessariamente usadas.
• O red teaming também pode incorporar engenharia social e avaliações de segurança física para avaliar a conscientização dos funcionários e a aderência às políticas de segurança.

Cibersegurança: práticas essenciais

Pentest e red teaming são práticas cruciais que ajudam a identificar e abordar vulnerabilidades potenciais em sistemas, redes e processos das organizações.

Contratar especialistas externos e imparciais para essas avaliações pode oferecer novas perspectivas e identificar problemas que equipes internas podem ignorar. É crucial não apenas identificar vulnerabilidades, mas também priorizar a remediação e validação oportunas para fortalecer a postura de segurança geral da organização. Ao considerar as descobertas desenvolvidas como parte de um red team ou pentest, os líderes podem tomar decisões informadas para proteger os ativos da organização.

Originalmente publicado por Jon Medina, Manny Gomez e Abdoul Cisse em Protiviti Inc. Traduzido e adaptado por Protiviti Brasil.