Por que Pentest é indispensável para realizar vendas em meu site?

20 setembro 2023

Com a proximidade das principais datas do varejo no segundo semestre, a Black Friday
e o Natal, oferecer segurança e reduzir vulnerabilidades nas compras online é
fundamental para garantir bons resultados

O mercado de avaliação de vulnerabilidades – vulnerability management market ou VA
– deve ter um crescimento de 10% ao ano até 2027, segundo um relatório da Mordor
Intelligence. Parte desta expansão se deve à busca de profissionais da área para se
manter à frente dos cibercriminosos e ter sucesso na proteção de dados sensíveis,
tema que abordamos em nosso último artigo do blog.
Para se ter ideia das perspectivas desta área, uma pesquisa do Centro de Estudos
Estratégicos e Internacionais (CSIS, na sigla em inglês) descobriu que os crimes
virtuais custavam ao mundo cerca de US$ 600 bilhões ao ano. Na época do estudo, os
valores representavam 0,8% do PIB global, entre destruição de dados, roubo de
propriedade intelectual e subtração de dinheiro.
Nessa lógica, a atuação na área de VA consiste na identificação, na classificação e na
mitigação de vulnerabilidades identificadas em softwares ou hardwares. Os
profissionais de VA aplicam testes capazes de detectar falhas em sistemas a partir de
seus pontos fracos, o que permite atuar de forma preventiva com a constatação de
vulnerabilidades.
Entre as formas de operação, encontra-se o chamado pentest ou teste de penetração.
Trata-se de uma análise para avaliar a segurança de um sistema ou rede, que simula
um ataque de uma fonte maliciosa. A ideia é justamente encontrar e explorar
vulnerabilidades, favorecendo a operação das equipes que trabalham na área de
segurança.
A relação do pentest com o e-commerce
Em 2022, o e-commerce brasileiro movimentou R$ 187 bilhões, um crescimento de
20% em relação a 2021, segundo o Observatório do Comércio Eletrônico. A pandemia
consolidou esta tendência de expansão, especialmente devido às limitações de
compras em lojas físicas durante o isolamento social, o que obrigou muitos brasileiros
a ter suas primeiras experiências de compra online.
Com a proximidade de duas das maiores datas do e-commerce no Brasil, a Black Friday
e o Natal, é dever dos negócios manter estes sistemas em operação de forma
constante e segura. Como demonstramos neste artigo, a instabilidade é um grande
problema para as organizações neste período em especial e pode gerar muitos
prejuízos.

E como o pentest pode ser usado em relação ao e-commerce?

  • Segurança de pagamentos – É preciso testar a integração da solução com a
    plataforma do e-commerce de modo a evitar erros e dar credibilidade para o
    consumidor. Além disso, deve-se garantir a segurança, especialmente de dados
    bancários de clientes.
  • Proteção de dados pessoais – Após o estabelecimento de legislações específicas de
    dados, como a Lei Geral de Proteção de Dados (LGPD) no Brasil, o vazamento de
    informações pode gerar problemas graves de ordem econômica e de reputação. Por
    isso, é dever das organizações evitar sofrer sanções (como multas), além de manter a
    credibilidade do seu negócio intacta.
  • Continuidade do servidor – Com a proximidade da Black Friday e Natal, os testes
    podem gerar uma sobrecarga dos sistemas – seja por tentativas maliciosas ou mesmo
    por um aumento incomum da demanda, algo recorrente das datas comemorativas.
    Com isso, pode-se determinar limites dos servidores, atuar de forma preventiva e
    definir planos de resposta.
  • Integridade do catálogo – Imagine perder dados do estoque de produtos na véspera
    das datas comemorativas? Há criminosos interessados em roubar e sequestrar essas
    informações, exigindo pagamentos para a recuperação dos dados. Sua empresa conta
    com serviços de backup e recuperação de informações?
  • Desvio de tráfego – A criatividade dos cibercriminosos é algo que não encontra
    limites. Há um tipo de ataque que visa desviar o tráfego de um site, visando coletar
    informações de consumidores em uma simulação do site original.
    Esses são alguns exemplos de possibilidades de ataques virtuais – cada vez mais
    comuns no Brasil — que podem interferir na operação de um e-commerce em meio às
    datas festivas e de maior rendimento. De maneira ampla, os e-commerces devem
    pensar em todos os eventuais pontos de entrada de cibercriminosos e buscar mitigá-
    los.
    Via de regra, estes ataques cibernéticos não são contínuos, especialmente se os
    criminosos identificarem barreiras de segurança adequadas. Nessas situações, eles
    procuram outras oportunidades em websites que não ofereçam a mesma estrutura de
    segurança.
    Saiba como preparar sua estrutura de TI para a Black Friday neste guia, incluindo os
    aspectos de segurança.
    Tipos de pentest
    Embora seja um termo amplo para os testes de penetração, o pentest pode ser
    dividido em algumas categorias:
  • Penetração interna e externa em infraestrutura – A ideia é detectar vulnerabilidades
    na infraestrutura de segurança, como firewalls e a rede de uma corporação. Sua
  • aplicação pode ser feita tanto internamente (um acesso interno à empresa) quanto externamente. Entre as soluções, está a mudança de configurações de roteadores e firewalls.
  • Penetração de wireless – Nesse caso, o foco principal está na rede wireless local(WLAN) e suas vulnerabilidades.
  • Teste de aplicação web – O propósito consiste em identificar pontos fracos em aplicações web, que podem ser explorados de forma maliciosa.
  • Aplicações mobile – Trata-se de avaliações de segurança relacionadas aos sistemas operacionais do mercado mobile, caso do Android e do iOS.
  • Engenharia social – A ideia é avaliar a capacidade dos sistemas de detectar e responder a ataques muito comuns, como os via phishing. Seu propósito é reduzir o risco do “fator humano” envolvido na segurança de TI.
  • Penetração da nuvem – Não é segredo que as soluções cloud se tornaram regra e, além disso, muitos armazenamentos de arquivos e dados ocorrem nesses locais. Por isso, é importante fazer análises periódicas, sobretudo na chamada nuvem híbrida.

Cada um desses testes tem objetivos específicos, exigindo um nível de operação do
pentest e podendo atingir resultados muito distintos. Os profissionais envolvidos usam
uma série de ferramentas e estratégias para escanear as vulnerabilidades e forçar os
sistemas de diversas maneiras.


A ideia é que essa avaliação seja feita periodicamente – pelo menos uma vez ao ano –,
atuando de forma preventiva na segurança corporativa e evitando o roubo de dados.
Em geral, os resultados são apresentados em formato de relatório, com especificação
das falhas identificadas e das recomendações para a sua correção.

Você sabe se sua estrutura de segurança está alinhada às boas práticas? Fale com um
de nossos especialistas e saiba como a Inove Solutions trabalha para garantir a
segurança do seu negócio!