Podcast: Apresentando os testes de penetração com inteligência artificial: o que são, como funcionam e onde se aplicam

Josh Flanagan:
Olá a todos e obrigado a todos os nossos ouvintes ao redor do mundo. Bem-vindos ao podcast Future in Focus da LRQA. Meu nome é Josh Flanagan e hoje estamos lançando uma nova solução da LRQA: Testes de Penetração com Inteligência Artificial.

Estou acompanhado por Chris Oakley, Vice-Presidente Sênior de Serviços de Garantia da LRQA, Dave Parsons, Consultor Principal de Segurança da LRQA, e David Greene, de Parcerias Estratégicas da Simbian, que trabalhou conosco no desenvolvimento dessa funcionalidade. Chris, Dave, David, muito obrigado por estarem conosco.

Hoje, vamos explorar o que os Testes de Penetração com Inteligência Artificial realmente significam na prática, como funcionam em conjunto com os testes conduzidos por consultores e por que os testes contínuos estão se tornando essenciais. Também abordaremos a governança e os controles de dados que os sustentam.

Então, sem mais delongas, vou falar com você, Chris. Para contextualizar, o que é o Teste de Penetração com Inteligência Artificial e por que a LRQA está lançando essa tecnologia agora?

Chris Oakley: 
Claro, Josh. O principal problema que ouvíamos constantemente dos clientes era que seus ambientes mudavam mais rápido do que seus programas de teste conseguiam acompanhar. Eles podiam realizar um teste de penetração uma ou duas vezes por ano, mas sua superfície de ataque estava em constante evolução, com novas infraestruturas em nuvem, novas integrações e novas implantações de código.

Nosso Teste de Penetração com Inteligência Artificial é a resposta para essa lacuna. Ele combina os recursos de teste orientados por IA da Simbian com a supervisão especializada de nossos especialistas em Garantia de Qualidade de Longo Prazo (LRQA), o que nos permite fornecer testes de segurança consistentes e repetíveis em um ritmo e frequência que a consultoria tradicional sozinha simplesmente não consegue alcançar.

Não estamos substituindo os consultores. Estamos ampliando o que eles podem fazer e o que é possível. O momento era oportuno porque a tecnologia está realmente madura o suficiente para produzir algo confiável. Os últimos dois anos testemunharam um crescimento imenso nessa área, então agora podemos fornecer resultados práticos. Ao mesmo tempo, a demanda dos clientes por garantias mais frequentes chegou ao ponto em que precisávamos de uma solução real, não apenas de um conceito.

Josh Flanagan: 
Perfeito, obrigado Chris. Você mencionou a Simbian. Poderia nos dar um breve resumo da parceria e por que começamos a trabalhar com a Simbian nesta solução?

Chris Oakley: 
Com certeza. Tínhamos algumas opções, para sermos transparentes. Podíamos desenvolver algo internamente, comprar algo pronto ou firmar uma parceria. Ao avaliarmos o mercado, percebemos que não havia nada que nos deixasse confortáveis ​​em usar.

Embora certamente pudéssemos ter desenvolvido algo internamente, e temos uma equipe de hackers experientes capazes de criar diversos protótipos interessantes, existe um grande salto entre isso e o fornecimento de software de nível empresarial. Durante essa jornada, encontramos a Simbian.

A Simbian já tinha um produto na área de detecção e resposta a ataques e estava muito interessada em desenvolver algo conosco na área de segurança ofensiva. Após uma série de conversas e demonstrações tecnológicas, ficamos impressionados com o que vimos e soubemos quase imediatamente que eles eram o parceiro certo para lançar esse tipo de produto no mercado.

Josh Flanagan: 
Então, agora é com você, David. Para quem não conhece a Simbian, você poderia nos dar uma breve introdução à parceria, da sua perspectiva?

David Greene: 
Com certeza, Josh. A Simbian é uma empresa focada no uso de IA para automatizar a segurança corporativa. Acreditamos que, em um cenário de segurança cada vez mais dominado por ameaças e ataques orquestrados por IA, a única maneira de as empresas se manterem seguras é usando ferramentas de IA em resposta a esses ataques. Essas ferramentas operam com rapidez, oferecem uma resposta coordenada e se baseiam no profundo conhecimento e contexto existentes dentro da empresa.

Como o Chris mencionou, já tínhamos experiência no desenvolvimento de ferramentas como essa para práticas de segurança. Nosso foco inicial era em áreas como SOC com IA e processamento de alertas e, agora, por meio da parceria com a LRQA, tivemos a oportunidade de aplicar essa expertise em testes de penetração.

O valor da parceria reside no fato de que a Simbian oferece expertise na aplicação de IA à automação e às operações de segurança, enquanto a LRQA possui uma expertise incrível em como executar um teste de penetração corretamente. Unir esses dois elementos nos proporciona um único produto e uma única solução, que é o que estamos discutindo aqui hoje.

Josh Flanagan: 
Vou voltar a falar com você agora, Chris. O que está mudando no cenário de ameaças e tecnologias que está realmente pressionando os programas de testes de segurança no momento?

Chris Oakley: 
Ótima pergunta. Os programas de teste têm dificuldade em acompanhar o ritmo das mudanças, e a resposta honesta é cadência e abrangência. Muitos programas são estruturados em torno de avaliações pontuais. Você passa pelo ciclo de testes, corrige os problemas e testa novamente em 12 meses. Mas o ambiente testado em janeiro pode estar um pouco diferente, ou até completamente diferente, em março ou abril.

O que observamos constantemente é que as organizações confiam no que foi testado, mas têm visibilidade limitada sobre o que mudou desde então. A repetição dos testes é outro ponto problemático. É demorada e frequentemente fica em segundo plano quando há demanda por consultores. A abrangência também pode ser uma lacuna silenciosa. Há sempre mais escopo do que orçamento, então as decisões são tomadas sobre o que será testado e o que não será, e é aí que o risco começa a se acumular rapidamente.

O Teste de Penetração com Inteligência Artificial (IA) resolve diretamente essas lacunas. Ele oferece ciclos de teste mais frequentes, repetição de testes mais rápida após a correção de problemas e uma cobertura mais ampla sem aumentar proporcionalmente o custo.

Josh Flanagan: 
Obrigado, Chris. São pontos muito importantes. Se analisarmos isso mais a fundo, onde os programas de teste normalmente encontram dificuldades, mesmo quando as equipes estão fazendo tudo certo?

Chris Oakley: 
Há três fatores convergindo neste momento. A superfície de ataque está se expandindo a um ritmo acelerado. Temos APIs na nuvem, integrações de terceiros e até mesmo TI paralela (shadow IT). O perímetro tradicional não existe mais da mesma forma que antes, pelo menos não de maneira significativa.

Paralelamente, os próprios agentes de ameaças estão adotando IA para se movimentarem com muito mais rapidez. Eles agem mais rápido, iteram com mais agilidade e, frequentemente, encontram vulnerabilidades antes dos fornecedores. Além disso, o ambiente regulatório também está se tornando mais rigoroso rapidamente. Sejam requisitos de divulgação, requisitos de teste ou obrigações contratuais, muitas organizações estão sendo solicitadas a demonstrar garantias com mais frequência e rigor.

Portanto, há mais para proteger, ameaças que evoluem mais rapidamente e maior responsabilidade. Essa combinação está exercendo uma pressão considerável sobre os programas de testes de segurança, que foram projetados para uma era diferente. 

Josh Flanagan: 
Obrigado, Chris. Agora é a sua vez, Dave. Pelo que o Chris disse, ficou bem claro que muita coisa mudou ultimamente. Na sua opinião, quando as pessoas ouvem falar em Teste de Penetração com Inteligência Artificial, o que elas imaginam e o que precisamos corrigir logo de início?

Dave Parsons: 
Obrigado, Josh. Quando as pessoas ouvem falar em Teste de Penetração com IA, geralmente presumem uma de duas coisas: ou é um scanner automatizado com um novo rótulo, ou é um sistema que afirma fazer tudo e substituir completamente o consultor humano. Acho que nenhuma dessas suposições está totalmente correta.

O que estamos tentando construir, e o que isso representa, é uma capacidade de IA eficaz, moldada pela experiência operacional da LRQA. Trabalhamos em estreita colaboração com a Simbian no design da ferramenta, incorporando décadas de experiência em testes de penetração com consultores em sua forma de pensar e agir.

Isso não é pouca coisa. A diferença fundamental em relação a uma ferramenta de varredura tradicional é que esta ferramenta verifica por meio da exploração, em vez da detecção baseada em assinaturas. Ela não apenas sinaliza problemas potenciais, mas confirma que esses problemas são reais, e essa decisão veio diretamente da forma como nossos consultores trabalham.

Essa é a diferença entre uma ferramenta criada por pessoas que entendem o que é um bom teste de penetração e uma que não entende. Não estamos tentando replicar um scanner com esta ferramenta. Estamos tentando replicar o que um ser humano faria.

Onde nossos consultores agregam valor é na contextualização, na identificação de vulnerabilidades na lógica de negócios e na remediação. As vulnerabilidades não existem isoladamente. Sua gravidade depende do ambiente em que são encontradas, dos dados que afetam e dos controles de segurança implementados.

Os clientes ainda precisarão dessa camada de julgamento especializado em termos de risco e contexto, e temos o prazer de fornecê-la. Nossos consultores podem revisar as descobertas, priorizá-las por risco e traduzir os resultados técnicos em orientações de remediação que as organizações possam efetivamente implementar.

Na prática, trata-se de uma ferramenta que aprimora o trabalho de nossos consultores e amplia o alcance de nossos programas de testes, mas nunca foi projetada para substituir os testes de penetração conduzidos por consultores.

Josh Flanagan:
Com esse contexto em mente, Dave, seria útil explicar como o serviço funciona na prática. Como funciona o Teste de Penetração com Inteligência Artificial e o que um cliente ganha ao contratar nossos serviços?

Dave Parsons: 
Do ponto de vista da experiência do cliente, estamos tentando simplificar ao máximo. Temos um portal do cliente, por meio do qual o acesso será fornecido, onde os clientes já podem gerenciar suas atividades de garantia de qualidade em geral, e a capacidade de teste de penetração com IA, fornecida pela parceria com a Simbian, está integrada diretamente a esse ambiente.

Não há plataforma separada para gerenciar ou integrar. Uma vez nessa plataforma, os clientes podem executar testes de forma autônoma. Eles não precisam esperar que um consultor seja agendado. Podem iniciar os testes quando for relevante para eles, seja após o lançamento, após a correção ou como parte de uma cadência regular de testes.

O resultado é onde essa ferramenta realmente se diferencia das ferramentas de varredura tradicionais. Os clientes receberão relatórios de teste de penetração tão próximos quanto possível dos relatórios produzidos por consultores humanos, com descobertas estruturadas, contexto de risco e capturas de tela que documentam exatamente o que a ferramenta observou.

Não é como uma ferramenta de varredura tradicional que fornece um despejo bruto de vulnerabilidades. É algo que realmente auxilia na tomada de decisões.

Duas funcionalidades que realmente apreciamos e gostaríamos de destacar são, em primeiro lugar, o botão de reteste. Após a identificação e correção de vulnerabilidades, o cliente pode validar instantaneamente a correção, em vez de esperar pela intervenção de um consultor. Isso agiliza bastante o processo, em comparação com os ciclos de reteste tradicionais.

Em segundo lugar, a plataforma inclui o rastreamento do raciocínio da IA. Ela mostra o processo de pensamento por trás de cada descoberta, como a IA chegou à conclusão, o que testou e qual caminho percorreu. Essa transparência é fundamental, pois fornece aos nossos consultores o contexto necessário para validar as descobertas, quando preciso, e também transmite confiança aos clientes, que podem ver o que a ferramenta fez e como chegou às suas conclusões. 

Josh Flanagan: 
Muito obrigado pela descrição, Dave. É uma visão realmente útil de como funciona. Vou falar com você agora, David, porque seria interessante ouvir da equipe do Simbian o que acontece nos bastidores quando um teste é executado.

David Greene:
Ótima pergunta, Josh. O que realmente tentamos fazer, com base nos comentários do Dave, foi fazer com que o agente de IA se comportasse da mesma forma que um testador de penetração humano, seguindo um fluxo de trabalho e uma metodologia muito semelhantes.

Para quem estiver pensando na solução, considere o agente de IA como mais um membro da equipe. Há uma etapa inicial em que um humano especifica o alvo, o escopo e o nível de teste necessário, e então o agente começa seu trabalho.

A primeira etapa é o mapeamento autônomo, em que o agente escaneia o aplicativo usando os URLs e as credenciais fornecidas, identifica os componentes do aplicativo, inicia o login e explora o que está acontecendo.

Em seguida, ele passa para um processo de descoberta adaptativa. Esse processo verifica falhas na lógica do aplicativo, no fluxo de trabalho entre as telas e em como os processos se movem de uma parte do aplicativo para outra. Essa descoberta adaptativa é baseada no contexto, nas informações que o agente possui sobre o ambiente e os aplicativos. À medida que os clientes realizam mais testes, esse contexto se torna mais útil para orientar o teste de penetração.

A partir daí, a terceira etapa é a exploração e validação. O agente tenta ativamente explorar as vulnerabilidades que identificou. Isso é totalmente documentado, e a transparência é fundamental. Capturamos itens como capturas de tela como evidência do que foi encontrado.

Tudo isso é então apresentado em um relatório. Na quarta etapa, apresentamos orientações detalhadas para a correção. O objetivo é fornecer aos desenvolvedores informações suficientes para que eles mesmos possam reproduzir o problema. O agente documenta seus passos exatos, para que um desenvolvedor possa segui-los e verificar a vulnerabilidade por si mesmo.

O agente também avalia o risco potencial com base na vulnerabilidade específica e em fontes de dados mais amplas do mercado, para que possa determinar se algo é de alta, média ou baixa prioridade.

Uma vez definidas as etapas de correção, também existe a opção de integrar isso a um sistema de gerenciamento de casos, para que o agente possa trabalhar com qualquer ferramenta que você utilize para acompanhar o andamento. Tudo isso é então registrado em um conjunto de métricas que mostram o desempenho geral do programa.

Em resumo, estamos tentando replicar o processo que um humano seguiria ao realizar um teste de penetração, mas fazendo com que essas etapas ocorram de forma autônoma e automática. Normalmente, tudo isso pode ser feito em questão de horas, em vez dos dias ou semanas que seriam necessários para um teste de penetração conduzido por um humano.

Josh Flanagan: 
Além disso, David, quais são os principais controles que você gostaria que um líder de segurança entendesse para ter certeza de que a ferramenta está sendo usada de forma responsável?

David Greene: 
Outro tópico realmente crucial, Josh. Esta é uma área em que recebemos ótimas orientações da equipe de LRQA, que está acostumada a trabalhar em ambientes seguros.

Quando digo às pessoas que meu agente tentará invadir o aplicativo delas, é compreensível que fiquem um pouco nervosas. Por isso, estabelecemos algumas diretrizes importantes sobre o que o agente faz.

A primeira é como usamos grandes modelos de linguagem. Todo o trabalho com LLMs realizado pelo agente utiliza instâncias privadas dos modelos. Em nenhum momento os dados do cliente são usados ​​ou compartilhados amplamente em modelos públicos, e em nenhum momento são usados ​​para treinar LLMs públicos. Este é um ambiente restrito e específico, usado apenas para esse propósito.

Outra coisa que tentamos fazer é construir confiança, mantendo o trabalho do agente transparente. Você pode ver o que o agente está realmente fazendo. Você pode decidir por si mesmo se ele tomou a decisão correta e pode fornecer feedback ao agente.

Se, em algum momento, o agente estiver interrompendo o funcionamento de um aplicativo, você poderá pará-lo imediatamente.

Se, em algum momento, o agente interromper o funcionamento de um aplicativo, você poderá interrompê-lo imediatamente.

Também incorporamos um conjunto completo de recursos de segurança corporativa. Isso inclui integração com sistemas SSO, aplicação de controles de acesso existentes no ambiente e segregação completa de dados quando várias organizações ou unidades de negócios executam testes. Todos os dados são criptografados no sistema, tanto em repouso quanto em trânsito.

Também podemos implantar a solução em diferentes geografias e regiões, caso haja requisitos específicos de conformidade local, por exemplo, se todos os dados precisarem permanecer na UE ou no Oriente Médio.

Essas são algumas das medidas que tomamos para garantir que você possa confiar na ferramenta, ter segurança em seus resultados e não se preocupar com o destino dos seus dados. Além disso, temos o prazer de oferecer garantias contratuais, sejam elas contratos de processamento de dados, contratos de segurança ou cláusulas de confidencialidade.

Josh Flanagan: 
Vou voltar a falar com você agora, Dave. Depois que as pessoas entendem a mecânica do que o Teste de Penetração com IA pode fazer e como funciona, a próxima pergunta que costumamos ouvir dos clientes é como eles podem confiar nos resultados e agir com base neles. Como manter os resultados confiáveis ​​e úteis, e qual o papel dos especialistas em LRQA na revisão e validação das descobertas?

Dave Parsons: 
Desde o início, quando começamos a conversar com a Simbian, deixamos bem claro que a confiança nos resultados era o mais importante. Era praticamente inegociável e isso moldou a forma como construímos a ferramenta.

Isso significava abandonar as ferramentas de varredura tradicionais que vemos com frequência. A maioria dos scanners funciona com detecção baseada em assinaturas. Eles procuram padrões associados a vulnerabilidades conhecidas. A plataforma da Simbian foi criada para verificar por meio da exploração. Ela não apenas sinaliza um problema potencial, mas tenta confirmar se ele é real. Só isso já reduz significativamente o problema de falsos positivos que torna os resultados de varreduras tradicionais difíceis de analisar. 

Além disso, trabalhamos bastante na criação de mecanismos de validação e sistemas de pontuação para filtrar ruídos antes mesmo que os resultados cheguem ao cliente. Os resultados que os clientes recebem já passaram por um processo de garantia de qualidade. Não se trata apenas de uma lista bruta que precisa de triagem extensa.

É aí que entram nossos consultores de LRQA. Esse suporte pode ser fornecido mediante solicitação. Os clientes podem encaminhar as descobertas para revisão, para obter contexto adicional, para priorização de riscos, para suporte na remediação ou simplesmente para obter ajuda na compreensão dos resultados da ferramenta de teste de penetração da Simbian.

Isso significa que não precisamos revisar cada descoberta individualmente como uma etapa obrigatória, o que mantém o serviço ágil e econômico, garantindo, ao mesmo tempo, a supervisão especializada onde ela é realmente necessária.

O rastreamento por IA também dá suporte a esse processo. Quando um consultor realiza uma revisão, ele pode ver a prova de conceito da ferramenta da Simbian e a lógica por trás de como ela chegou a esse resultado. Portanto, a credibilidade do resultado não depende exclusivamente da revisão humana. Ela está integrada à ferramenta desde o início, e trabalhamos muito nisso. Temos muita confiança no resultado e na capacidade dos clientes de confiarem nele.

Josh Flanagan: 
Ótimo. Vou trazer o Chris de volta à discussão agora. Já abordamos bastante a questão da confiança e da governança nas perguntas anteriores, e acho que fizemos isso porque, para a maioria dos compradores, é aí que a decisão é tomada. Por que um comprador deveria confiar na LRQA para fornecer testes de penetração com inteligência artificial como parte do seu programa?

Chris Oakley: 
Você tem toda a razão, Josh. A confiança é realmente importante. Nesse contexto, a confiança vem tanto do histórico e da governança quanto da tecnologia.

Na LRQA, fornecemos serviços de garantia, incluindo serviços de segurança ofensiva, como testes de penetração e simulação de ataques, há décadas. Entendemos o que significa um teste de segurança responsável. Entendemos as estruturas de responsabilidade e o que os clientes exigem quando algo é executado em seus ambientes.

Esses são fatores realmente importantes. O que não fizemos foi simplesmente adicionar IA a um serviço, considerá-lo concluído e lançá-lo. O que fizemos foi projetar essa nova capacidade com as mesmas disciplinas que aplicamos no trabalho tradicional liderado por consultores.

Ainda temos escopo definido, execução controlada, trilhas de evidências claras e supervisão especializada em todas as etapas. 

Os compradores não estão apenas comprando acesso a uma ferramenta. Eles estão se envolvendo com nossa estrutura de garantia como um todo. Isso significa que há um parceiro responsável nomeado. Fazemos isso há muito tempo. Somos responsáveis. Não somos apenas uma plataforma sem rosto.

Essa distinção é muito importante quando os testes afetam sistemas de produção, do ponto de vista da confiabilidade e segurança.

Josh Flanagan: 
Obrigado, Chris. Concordo com você também. Há algum ponto inegociável que lhe venha à mente, algo que consideramos ao desenvolver isso com o Simbian e que simplesmente não abriríamos mão?

Chris Oakley: 
Sim, definitivamente. Há algumas coisas sem as quais simplesmente não poderíamos lançar nosso produto no mercado.

Em primeiro lugar está a segurança. Temos um princípio de "não causar danos". Isso significa que você não deve executar nossa ferramenta e encontrar impactos na disponibilidade ou integridade do sistema em teste. Isso é realmente importante para nós.

Como parte disso, o controle de escopo está sob o mesmo guarda-chuva da segurança. O teste executará exatamente o que foi acordado. Ele será executado de acordo com o que você solicitou e nada além desse limite. Ele permanece dentro do escopo o tempo todo.

Há também alguns outros pontos inegociáveis, principalmente a confidencialidade. Os dados do cliente permanecem dentro dos períodos de retenção acordados e são tratados com o mesmo rigor que aplicamos a qualquer projeto sensível.

Evidências e responsabilidade também foram muito importantes. Cada descoberta precisa de uma trilha de auditoria clara. De onde veio? Quais foram as etapas para chegar à conclusão? Por que existe? Os clientes querem saber o que foi executado, quando foi executado e por quê.

Em seguida, deixando de lado a governança e focando mais na eficácia do produto, a consistência também se mostrou crucial. Uma vez que os elementos de segurança estejam garantidos, a questão passa a ser a consistência. Ao executar o mesmo teste várias vezes, os resultados são drasticamente diferentes ou comparáveis?

Isso pode ser difícil com tecnologias de IA, pois elas são não determinísticas por natureza, mas investimos muito trabalho para garantir a consistência e, na verdade, para que ela supere a consistência que se poderia obter entre dois testadores humanos diferentes.

Josh Flanagan: 
Então, aproveitando a oportunidade, David, o que acontece com os dados do cliente durante um teste? Onde eles são armazenados, por quanto tempo são mantidos e alguma parte deles é usada para aprimorar os modelos?

David Greene: 
O ponto de partida é exatamente o que o Chris acabou de mencionar. Respeitamos os prazos de retenção e as diretrizes de tratamento de dados já estabelecidas pela LRQA. Essa é a base para o agente.

Em seguida, adicionamos camadas adicionais, pois envolve IA. Todo o processamento de dados ocorre dentro da região geográfica especificada pelo cliente, para que possamos atender aos requisitos de conformidade específicos. Isso inclui o uso dos próprios LLMs.

Os dados enviados aos LLMs são processados ​​apenas em instâncias privadas desses modelos. Eles nunca são usados ​​como dados de treinamento. A última coisa que você deseja é que um LLM seja treinado com suas próprias vulnerabilidades, então isso nunca acontece.That all works together to make sure we get the value of AI-driven insight without exposing customer data. Again, we are happy to support this with contractual assurances if customers need that for their own compliance requirements. 

Os resultados apresentados na interface do produto são regidos pelos mesmos controles de acesso que existem para outros produtos da LRQA. Como cliente, você decide quem pode ver essas informações, quando podem vê-las e por quanto tempo elas permanecem disponíveis.

Tudo isso é construído sobre o que a Simbian chama de nossa arquitetura de LLM confiável, onde mantemos uma camada isolante entre os dados do cliente e os próprios LLMs. O software Simbian atua como intermediário, avaliando o que precisa ser enviado, dividindo os dados para garantir a segurança e minimizando a quantidade de informações transmitidas.

Tudo isso funciona em conjunto para garantir que obtenhamos o valor dos insights baseados em IA sem expor os dados do cliente. Novamente, teremos prazer em oferecer garantias contratuais, caso os clientes necessitem delas para atender aos seus requisitos de conformidade.

Josh Flanagan: 
Então, Dave, falando com você agora, complementando o que Chris e David compartilharam, como seria a operação segura na prática, especialmente ao testar em ambientes de produção? Há alguma situação em que você desaconselharia executar em produção?

Dave Parsons: 
Sim, definitivamente. Esta é outra área onde aplicamos nossa experiência em testes de penetração diretamente.

Executar ferramentas automatizadas em ambientes de produção sem os devidos controles é a origem dos incidentes. Observamos as consequências disso em todo o setor por anos, e isso influenciou a forma como abordamos a arquitetura de segurança do Simbian.

Basicamente, a plataforma opera em dois modos. Há um modo seguro, projetado especificamente para ambientes de produção, que restringe o que a ferramenta pode fazer. Ele limita a agressividade dos testes e as ações que podem ser executadas. Também fornece um relatório das operações que não foram realizadas devido ao modo seguro, para que você possa ver claramente as compensações.

Para a maioria dos clientes, principalmente aqueles em setores regulamentados ou com menor tolerância ao risco, essa é a escolha certa. Também temos um modo padrão para ambientes isolados ou de não produção. Nesse modo, essas restrições podem ser removidas e a ferramenta pode se comportar de forma mais exploratória. Isso significa coisas como executar ataques de injeção, extrair conteúdo de bancos de dados, quebrar hashes e demonstrar uma cadeia de ataque completa de ponta a ponta, muito parecido com o que um teste de penetração humana faria.

Esse nível mais profundo de validação proporciona uma visão muito mais clara do que um atacante real poderia fazer. Estamos aqui para auxiliar nas decisões sobre qual modo é apropriado para cada ambiente, levando em consideração a sensibilidade dos dados em questão, o potencial impacto caso algo dê errado e o objetivo geral do teste.

Na grande maioria dos casos, o modo de segurança é exatamente isso: uma redução segura. Mas, como em qualquer atividade de teste, sempre há ambientes em que vale a pena conversar primeiro. Se for uma infraestrutura crítica de alta disponibilidade ou que lide com informações pessoais particularmente sensíveis, é simplesmente uma boa prática entender exatamente o que está em escopo, quais são as salvaguardas e quais expectativas precisam ser definidas.

Isso não é diferente de como abordaríamos qualquer interação conduzida por humanos. O bom senso ainda se aplica, e foi assim que abordamos toda a implementação.

Josh Flanagan: 
Perfeito, obrigado Dave. Agora, Chris, para concluir. Com base nas primeiras conversas com os clientes e no feedback que recebemos até agora sobre a ferramenta, o que mais repercutiu e o que isso nos diz sobre o futuro dos testes de segurança?

Chris Oakley: 
Ótima pergunta. É evidente que há muito interesse nessa tecnologia em diversos setores. A realidade é que os testes estão mudando e continuarão mudando.

Não acredito que os testadores de penetração humanos desaparecerão tão cedo. O que provavelmente mudará rapidamente é a forma como eles executam o trabalho. 

Estamos vendo muitos clientes responderem positivamente à ideia de garantia contínua. Isso ressoa com eles. Eles entendem que o teste de segurança é mais do que apenas um evento anual com um longo intervalo entre as atividades. As conversas iniciais sempre retornam a um tema semelhante. Os clientes sabem que seus ambientes estão mudando. Eles sabem que os testes pontuais têm uma vida útil limitada e que seus orçamentos são limitados.

O que eles buscam é algo que feche essa janela de forma mais eficaz dentro de um orçamento realista. Há também um desejo real por ciclos de validação mais rápidos após a correção. Os clientes querem saber, caso acreditem ter corrigido algo, se podem confirmar isso rapidamente.

É um pedido simples, mas os programas tradicionais muitas vezes têm dificuldade em atendê-lo. Ainda nos deparamos com situações em que existe um dia específico para retestes em programas tradicionais, e isso simplesmente não se alinha com a forma como o desenvolvimento de software moderno e a mudança de sistemas realmente funcionam.

Para mim, isso indica que os compradores estão cada vez mais considerando a garantia de segurança como uma capacidade contínua, e não como um projeto único ou periódico. Os testes de penetração com inteligência artificial se encaixam perfeitamente nesse modelo.

Estou bastante confiante de que essa mudança só vai se acelerar nos próximos um ou dois anos. Daqui a alguns anos, os testes de penetração tradicionais, como os conhecemos, provavelmente serão muito diferentes, e a forma como as organizações abordam os testes de penetração será significativamente diferente do que vemos hoje.

Josh Flanagan: 
Obrigado, Chris. Essa é uma ótima maneira de encerrar o episódio de hoje.

Agradecemos a todos os nossos convidados pela discussão e a todos que nos ouviram. Hoje, apresentamos o Teste de Penetração com Inteligência Artificial, uma nova solução da LRQA projetada para ajudar as organizações a manterem seus testes de segurança alinhados ao ritmo das mudanças, preservando a governança e a credibilidade que você espera da LRQA.

Para saber mais, visite LRQA.com  e entre em contato conosco.

Obrigado por ouvir e até o próximo episódio.