Um levantamento do Instituto Daryus, de São Paulo, feito no mês e Maio de 2022 mostra que para 34% dos profissionais que executam pentest o conhecimento técnico é o maior desafio na carreira, pois novas tecnologias surgem o tempo todo. Já para 28%, realizar apresentações dos resultados para os executivos é complexo e moroso; outros 22%, apontaram a falta de uma metodologia prática e eficiente para desenvolver as atividades mais técnicas; e para apenas 16% escrever relatórios técnicos para o cliente de forma clara e objetiva é o desafio principal.
A carreira de pentester (penetration tester), testador de penetração/invasão, ou mais conhecido como “hacker do bem”, tem como objetivo conduzir testes de segurança em infraestruturas tecnológicas, cibersegurança e softwares, para prevenir invasões, exposições de dados ou interrupções de negócio informa o Instituto: “O foco é identificar as vulnerabilidades técnicas e brechas que poderiam permitir à um hacker invadir, acessar, furtar ou interromper serviços tecnológicos que suportam o negócio. Equipes de gestão de segurança da informação ou de cibersegurança atualmente contam com alguns desses profissionais para poder diagnosticar, antecipar e apoiar na estratégia de proteção adequada”.
Veja isso
Pentester é um dos cargos em alta e com boa perspectiva salarial
Pentest: certificação da CompTIA ficou mais difícil
Segundo a pesquisa, cerca de 38% dos profissionais levam mais de 20 horas, em média, para executar os testes primários de invasão. Para 27%, são necessárias mais de 60 horas para realização do trabalho. Os dados também revelam que quase a metade dos entrevistados não tem uma prática de recorrência para realizar pentests nas suas empresas e/ou clientes (44%), enquanto 28% dos profissionais realizam, ao menos, uma vez ao ano.
A metodologia para condução das análises mais utilizadas pelos profissionais que participaram da pesquisa é o OWASP Testing Guide (55%). Esse padrão de testes aborda as principais vulnerabilidades que afetam aplicações web e orienta o profissional com uma listagem de ferramentas a serem utilizadas durante cada etapa do pentest. Ademais, o formato em checklist desse documento evita que o pentester esqueça de realizar alguma análise importante (como a busca pelas vulnerabilidades de SQL Injection ou XSS).
A pesquisa também identificou que maioria dos profissionais prefere realizar testes do tipo white-box (60%), onde são fornecidas informações detalhadas sobre a arquitetura e os ativos que serão avaliados. Diferentemente dos testes black-box e gray-box, os testes do tipo white-box costumam ser mais direcionados e com escopo bem definido. Em todos os casos a intenção é a mesma: identificar vulnerabilidades antecipadamente e corrigi-las antes que um atacante realize uma exploração bem-sucedida.
Por fim, para 37% dos profissionais o mais importante numa solução para pentest é a classificação das vulnerabilidades. 27% dizem que a gestão das atividades de mitigação é parte fundamental do trabalho e o alerta de novas vulnerabilidades ficou com 23%.