Pen Testing as a Service (PTaaS) é um serviço em nuvem que fornece aos profissionais de tecnologia da informação (TI) os recursos de que necessitam para conduzir e agir em testes de penetração point-in-time e contínua. O objetivo do PTaaS é ajudar as organizações a construir programas bem-sucedidos de gerenciamento de vulnerabilidades que possam encontrar, priorizar e remediar as ameaças à segurança de forma rápida e eficiente.
Na segurança de TI, é prática comum as empresas contratarem testadores de chapéu branco de boa reputação para entrar e procurar proativamente por vetores de ataque que possam ser explorados. Convidar uma entidade externa para tentar violar uma rede, servidor ou aplicativo pode parecer contra-intuitivo, mas também é uma das melhores maneiras de identificar e corrigir problemas de segurança difíceis de identificar.
>b>Terms to Know: teste de penetração; serviço de nuvem; gestão de vulnerabilidades; chapéu branco; vetor de ataque
Como funciona o PTaaS
Nos velhos tempos, antes da computação em nuvem, os resultados dos testes com caneta eram entregues após a conclusão do período de testes. Embora a informação fosse útil, a natureza histórica dos dados muitas vezes tornava difícil para as equipes internas de segurança priorizar e corrigir os resultados dos testes.
Testes automatizados com caneta realizados através de um modelo de entrega de software como serviço (SaaS) podem corrigir este problema, permitindo aos clientes visualizar seus dados em tempo real em um painel executivo que exibe todos os dados relevantes antes, durante e após a realização do teste. Assim como os serviços tradicionais de teste de caneta, os fornecedores PTaaS também fornecem aos seus clientes recursos para analisar as vulnerabilidades e verificar a eficácia de uma remediação. Tipicamente, os fornecedores de PTaaS fornecem aos seus clientes uma base de conhecimento para auxiliar as equipes internas de segurança com remediações, e como um valor agregado, alguns fornecedores fornecem assistência opcional dos testadores reais que descobriram uma vulnerabilidade.
PTaaS é bem adequado para organizações de qualquer tamanho. A maioria das plataformas é muito flexível e pode acomodar desde um programa de testes completo até recursos de relatórios personalizados para clientes cujos requisitos regulamentares representam uma pesada carga de conformidade.
Pen Testing as a Service não deve ser confundido com testes com caneta na nuvem. O PTaaS é uma plataforma de entrega, enquanto o teste com caneta na nuvem procura identificar falhas de segurança em uma infraestrutura de nuvem específica.
>b>Terms to Know: computação em nuvem; software como serviço; tempo real; dashboard executivo; parse; base de conhecimento; conformidade regulamentar; carga de conformidade
Benefícios do Pen Testing as a Service
Um dos maiores benefícios do PTaaS é o controle que ele dá ao cliente. Empresas com menos experiência no setor de segurança ganham um parceiro e uma plataforma que lhes fornece tudo o que precisam para construir um programa de gerenciamento de ameaças e vulnerabilidades de sucesso.
Além de apresentar o progresso e o status de todos os compromissos abertos, as plataformas de nuvem PTaaS facilitam a solicitação e o escopo de novos compromissos por parte dos clientes. Outros benefícios incluem:
forte>Opções de compra flexíveis: Serviços de teste automático, manual e híbrido com caneta podem ser orçados e adquiridos através de uma assinatura mensal, trimestral ou anual ou em uma base de acordo com a necessidade.
forte>Acesso contínuo a dados em tempo real: À medida que uma vulnerabilidade ou exploração existente evolui com o tempo, os dados relacionados a ela são atualizados.
forte>Opções de relatórios flexíveis: Muitas plataformas PTaaS podem agregar e correlacionar resultados de múltiplas fontes e fornecer conjuntos de resultados que atendam às necessidades de múltiplos interessados.
Automação: Fluxos de trabalho automatizados tornam a varredura de vulnerabilidades para redes externas e aplicações web não autenticadas mais fácil de conduzir
>b>Terms to Know: escopo do projeto; stakeholder; varredura de vulnerabilidade de rede
Desafios do uso de PTaaS
Quando a orquestração de vulnerabilidades é automatizada, os clientes podem gerenciar o orçamento e os recursos internos de forma mais eficiente, o que, por sua vez, permite que eles executem mais testes. Algumas empresas não estão em um lugar onde possam gerenciar ciclos de testes adicionais, no entanto.
Programas de segurança mais novos e subfinanciados às vezes lutam para remediar as vulnerabilidades descobertas durante os testes de penetração anuais, muito menos os testes semanais, mensais ou trimestrais. Como os orçamentos de segurança são finitos em muitas organizações, pode ser difícil justificar os custos adicionais para testes adicionais e esforços de correção.
O que procurar em um fornecedor de PTaaS
Existem alguns elementos centrais que os clientes potenciais devem considerar ao avaliar serviços de testes de penetração automatizados, manuais ou híbridos, incluindo a reputação e o histórico do fornecedor.
Além de fornecer uma biblioteca robusta para instruções de correção, outras características notáveis do produto incluem:
- A capacidade de agregar e correlacionar dados de múltiplas fontes.
- The ability for multiple testers to work simultaneously on the same project and combine findings in a single workspace for reporting.
- The ability to normalize confidence and severity across scanners to improve hits and reduce false positives.
- The ability to generate reports in multiple file formats.
- The ability to customize report templates for specific types of tests.
- The ability to track trends over time and monitor remediation completion time.
- The ability to integrate reporting with enterprise ticketing and governance, risk and compliance (GRC) systems.
Terms to Know: reputation management; library; file format; template
The PTaaS vendor landscape
Notable vendors in the PTaaS space currently include:
NetSPI - De acordo com seu site, NetSPI é uma empresa de testes de penetração de topo e provedor de soluções de cibersegurança confiável por 7 dos 10 U top 10.S. banks.
Cobalt.io - De acordo com seu perfil no LinkedIn, o Cobalt.io é uma plataforma Pentest as a Service e um mecanismo de gerenciamento de vulnerabilidades on-demand.
Breachlock - De acordo com seu site, a plataforma em nuvem do BreachLock permite aos clientes executar varreduras automatizadas e solicitar testes manuais e re-testes com um clique.
Synack - De acordo com seu site, o Synack recorre às fontes de sua plataforma de testes de segurança.
Praetorian -- De acordo com seu site, a Praetorian ajuda seus clientes a encontrar, corrigir, parar e resolver problemas de segurança cibernética em uma empresa ou portfólio de produtos.