Por conta do aumento significativo dos incidentes de cibersegurança, percebendo uma carência e baixa acessibilidade a serviços de pentest, empresas com nenhuma ou baixa cultura em ações de cibersegurança têm surgido no mercado.

O que inicialmente é positivo, crescendo a competitividade no mercado como um todo e fomentando crescimento na área, mas o que se observa é uma precarização dos serviços e baixa qualidade em entregas.

O mais recente tem sido as promessas de Fast-Pentest ou Pentest Rápido (também chamado de Pentest Automatizado) que alegam entregar um serviço em poucas horas e com preços bem baixos (alguns entre R$ 2 mil e R$ 5 mil).

Pentest e Análise de Vulnerabilidades

Para entender melhor o tipo de oferta e o quanto ela realmente entrega de valor em resultados para uma empresa, é necessário entender a diferença entre esses dois serviços.

Pentest – Consiste em uma série de técnicas, ferramentas e principalmente testes manuais que são aplicadas por um profissional de cibersegurança qualificado. Através delas, se identifica possíveis vulnerabilidades e prossegue para uma etapa chamada de exploração e validação dessas vulnerabilidades. Essa é uma etapa importante para empresas que querem ter uma real visão do seu ambiente e da sua segurança, pois nela é validada as vulnerabilidades, seus impactos, e ações como roubo de informações, interrupções de serviços entre outros.

Todo esse processo é devidamente evidenciado, mostrando de forma clara o que, como, quando e onde os riscos foram identificados. Os profissionais também fazem indicações de correções e ações para mitigar, e tudo isso é devidamente apresentado aos profissionais da empresa contratante, evidenciando todo trabalho realizado.

Por isso, seu custo e tempo de execução são maiores, partindo de aproximadamente R$ 25 mil reais e com um prazo mínimo de 15 dias de execução dependendo do escopo e ambiente.

Análise de Vulnerabilidades – É um trabalho que se limita a uma fração do que é visto no Pentest. Através de ferramentas e técnicas automatizadas (ou seja, realizadas por uma ferramenta e não por um profissional), identifica-se o ambiente e as possíveis vulnerabilidades que existam no ambiente.

Essa atividade não abrange a fase de exploração para evidencia ou eliminação de vulnerabilidades inexistentes. Isso faz com que a entrega dos resultados para o cliente final não seja confiável, além de comprometer a classificação daquela vulnerabilidade (baixo risco, médio risco, alto risco ou risco crítico).

Por ser uma solução pouco abrangente e simples, seus custos partem de R$ 4 mil reais e seu prazo de execução pode ser de poucas horas ou até 5 dias.

O mais importante a ser entendido é que qualquer expressão ou promessa que indique um pentest rápido e de custo muito baixo, não é um pentest real, mas sim uma mera análise de vulnerabilidades.

“Empresas que realmente se preocupam com a cibersegurança para seu ambiente e seus clientes devem ficar atentas sobre os valores e promessas que recebem, analisando o serviço a ser contratado e sempre buscando uma empresa renomada em cibersegurança.” comenta Andrew Martinez, CEO da HackerSec.