/ security

Vulnerability Assessment vs. Penetration Testing

A avaliação da vulnerabilidade (vulnerability assessment), juntamente do teste de penetração (penetration testing) são duas das palavras mais comuns que são frequentemente usadas indistintamente no mundo da segurança da informação.

No entanto, é importante compreender a diferença entre os dois. Para entender a diferença exata, consideremos um cenário do mundo real:

Um ladrão pretende roubar uma casa. Para prosseguir com seu plano de roubo, ele decide reconciliar seu alvo de roubo. Ele visita a casa (que pretende roubar) e tenta medir quais medidas de segurança estão em vigor.

Ele percebe que há uma janela na parte de trás da casa que é muitas vezes aberta, e é fácil de entrar. Em nossos termos, o ladrão apenas realizou uma avaliação de vulnerabilidade.

Agora, depois de alguns dias, o ladrão realmente foi para a casa novamente e entrou na casa através da janela traseira que ele havia descoberto mais cedo durante sua fase de reconhcimento. Nesse caso, o ladrão realizou uma penetração real na casa do alvo com a intenção de roubo.

Isso é exatamente o que podemos nos relacionar no caso de sistemas e redes de computação. Pode-se primeiro realizar uma avaliação de vulnerabilidade do alvo, a fim de avaliar as deficiências globais no sistema, e depois realizar um teste de penetração planejado para verificar praticamente se o alvo é vulnerável ou não. Sem realizar uma avaliação de vulnerabilidade, não será possível planejar e executar a penetração real.

Embora a maioria das avaliações de vulnerabilidade seja de natureza não invasiva, o teste de penetração pode causar danos ao alvo se não for feito de forma controlada.

Dependendo das necessidades específicas de conformidade, algumas organizações optam por realizar apenas uma avaliação de vulnerabilidade, enquanto outros seguem e também realizam um teste de penetração.