Uma vulnerabilidade é uma fraqueza em um dispositivo, software ou uma configuração que pode ser explorada por cibercriminosos. Uma varredura é o primeiro passo para avaliar os pontos fortes, as falhas e necessidades da sua empresa do ponto de vista de segurança cibernética.
Para entender como funciona, vamos usar a analogia de uma casa. Realizar uma avaliação de vulnerabilidades seria como dar a alguém as chaves da sua casa (credenciais) e pedir que ela caminhe por lá (dentro e fora) para determinar como alguém pode ter acesso ao que está dentro (rede).
Durante sua varredura, pode-se verificar as janelas, testar as fechaduras e avaliar a força ou eficácia da cerca ou do muro de lado de fora. Em essência, eles tentariam encontrar todas as maneiras possíveis de alguém invadir e roubar seus bens. Caso encontrassem uma chave debaixo do tapete ou uma fechadura danificada no portão de trás, essas seriam as vulnerabilidades que seriam reportadas de volta para você.
Alguns sistemas em rede são particularmente propensos a vulnerabilidades. Softwares de terceiros, como por exemplo um Adobe, navegadores e plug-ins também possivelmente podem ser explorados.
Felizmente, muitas empresas realizam varreduras de vulnerabilidades, no entanto, é apenas o primeiro passo para certificar que as ameaças não possam entrar. Uma varredura é como uma preparação para o pentest, e este permite que você veja como pode agir uma exploração de qualquer uma das vulnerabilidades encontradas.
Ainda na analogia da casa, contratar um pentester é como contratar um ladrão, e espera-se que ele invada sua casa como puder e roube tudo o que conseguir. Pode soar até imprudente, mas é a única maneira de saber ao certo o que é possível. Por exemplo, se a fechadura da porta de trás ainda estiver quebrada, o ladrão pode acessar o quintal e consequentemente encontrar uma porta dos fundos e ter acesso à casa. Porém, se o alarme estiver ligado, você sabe que suas defesas estão funcionando.
O pentest leva a varredura a outro nível, e hoje ele é exigido tanto por muitos clientes quanto por órgãos reguladores. Muitas empresas deixam de lado os pentests porque não acham que podem ser alvo de uma invasão ou porque simplesmente não têm orçamento disponível para isso. Porém, com o crescimento constante dos ataques a empresas médias e pequenas, que muitas vezes não tem como se proteger, a realização regular desses testes ajuda a evitar violações graves. Pentests são geralmente terceirizados, realizar tanto esse tipo de teste como uma varredura de vulnerabilidades ajuda sua empresa a se preparar para um possível ataque à rede, mas esse não é o único motivo pelo qual deve-se implementá-los em sua abordagem de segurança digital. Eles também tornam evidentes para clientes e órgão reguladores os seus esforços e medidas para identificar vulnerabilidades e ameaças e aplicar as defesas necessárias para mitigar os riscos de potenciais ataques.
