Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m
carnival cruises

Conhecimento técnico desafia 34% dos pentesters

Sondagem feita pelo Instituto Daryus mostra que 38% levam cerca de 20 horas para executar os testes primários de invasão
Da Redação
14/06/2022

Um levantamento do Instituto Daryus, de São Paulo, feito no mês e Maio de 2022 mostra que para 34% dos profissionais que executam pentest o conhecimento técnico é o maior desafio na carreira, pois novas tecnologias surgem o tempo todo. Já para 28%, realizar apresentações dos resultados para os executivos é complexo e moroso; outros 22%, apontaram a falta de uma metodologia prática e eficiente para desenvolver as atividades mais técnicas; e para apenas 16% escrever relatórios técnicos para o cliente de forma clara e objetiva é o desafio principal.

A carreira de pentester (penetration tester), testador de penetração/invasão, ou mais conhecido como “hacker do bem”, tem como objetivo conduzir testes de segurança em infraestruturas tecnológicas, cibersegurança e softwares, para prevenir invasões, exposições de dados ou interrupções de negócio informa o Instituto: “O foco é identificar as vulnerabilidades técnicas e brechas que poderiam permitir à um hacker invadir, acessar, furtar ou interromper serviços tecnológicos que suportam o negócio. Equipes de gestão de segurança da informação ou de cibersegurança atualmente contam com alguns desses profissionais para poder diagnosticar, antecipar e apoiar na estratégia de proteção adequada”.

Veja isso
Pentester é um dos cargos em alta e com boa perspectiva salarial
Pentest: certificação da CompTIA ficou mais difícil

Segundo a pesquisa, cerca de 38% dos profissionais levam mais de 20 horas, em média, para executar os testes primários de invasão. Para 27%, são necessárias mais de 60 horas para realização do trabalho. Os dados também revelam que quase a metade dos entrevistados não tem uma prática de recorrência para realizar pentests nas suas empresas e/ou clientes (44%), enquanto 28% dos profissionais realizam, ao menos, uma vez ao ano.

A metodologia para condução das análises mais utilizadas pelos profissionais que participaram da pesquisa é o OWASP Testing Guide (55%). Esse padrão de testes aborda as principais vulnerabilidades que afetam aplicações web e orienta o profissional com uma listagem de ferramentas a serem utilizadas durante cada etapa do pentest. Ademais, o formato em checklist desse documento evita que o pentester esqueça de realizar alguma análise importante (como a busca pelas vulnerabilidades de SQL Injection ou XSS).

A pesquisa também identificou que maioria dos profissionais prefere realizar testes do tipo white-box (60%), onde são fornecidas informações detalhadas sobre a arquitetura e os ativos que serão avaliados. Diferentemente dos testes black-box e gray-box, os testes do tipo white-box costumam ser mais direcionados e com escopo bem definido. Em todos os casos a intenção é a mesma: identificar vulnerabilidades antecipadamente e corrigi-las antes que um atacante realize uma exploração bem-sucedida.

Por fim, para 37% dos profissionais o mais importante numa solução para pentest é a classificação das vulnerabilidades. 27% dizem que a gestão das atividades de mitigação é parte fundamental do trabalho e o alerta de novas vulnerabilidades ficou com 23%.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)