Testes de Invasão

A contratação de serviços de teste de invasão, como se era de esperar, continua muito em voga atualmente. No entanto a desinformação sobre o que é um teste de invasão permanece até hoje, e isso eu realmente não esperava. Achava que houvesse mais maturidade no assunto. Mais quais os problemas?

O principal a meu ver é que muita gente ainda considera um teste de invasão como um teste definitivo de segurança, e não uma parte - pequena, por sinal - de um processo maior de análise de segurança. Considero o teste de invasão um retrato do momento que irá adicionar mais algumas infomações aos gestores de segurança. Além disso vejo três limitações que não podem ser ignoradas:

1. Habilidade do consultor. O sucesso do teste está diretamente relacionado com a habilidade e experiencia da pessoa que o executa.
2. Qualidade das ferramentas utilizadas. Sejam comerciais ou privadas, boas ferramentas ajudam o consultor a realizar um bom trabalho. No entanto considero um erro apoiar-se completamente em ferramentas. Por melhor que sejam elas não substituem um consultor.
3. Tempo. Diferentemente dos hackers "de chapéu negro", que tem todo o tempo do mundo, um consultor terá um determinado número de dias para executar seu trabalho.

Por tudo isso defendo uma mudança na metodologia dos testes de invasão, muito mais voltada para o teste dos controles de segurança e do plano de resposta a emergências do que para ver se o site é invadido em x dias. Irei desenvolver mais esse tema em posts futuros.