“Os defensores pensam em listas, os atacantes pensam em gráficos”, disse John Lambert da Microsoft, resumindo a diferença fundamental de mentalidade entre aqueles que defendem os sistemas de TI e aqueles que tentam comprometê-los.

A abordagem tradicional dos defensores é listar as lacunas de segurança diretamente relacionadas aos seus ativos na rede e eliminar o máximo possível, começando pelas mais críticas. Por outro lado, os adversários começam com o objetivo final em mente e se concentram em traçar o caminho rumo a uma brecha. Eles geralmente procuram o elo mais fraco na cadeia de segurança para entrar e avançar com o ataque a partir daí até as joias da coroa.

As equipes de segurança devem abraçar a perspectiva do atacante para garantir que as defesas de cibersegurança de sua organização sejam adequadas. Fazendo uma analogia com um exemplo da vida cotidiana, a maneira padrão de defender nossa casa de intrusos é garantir que todas as portas estejam trancadas. Mas para validar que sua casa está protegida, é necessário testar sua segurança como um ladrão: tentando arrombar as fechaduras, entrar pelas janelas e procurar lugares onde as chaves da casa possam estar “guardadas” com segurança.

Os testes de penetração atendem precisamente a essa necessidade: eles proporcionam uma visão do que pode ser comprometido por um atacante. A prática de testes de penetração existe há décadas, ajudando a revelar o quão resilientes são nossas redes contra ataques maliciosos. No entanto, com as empresas modernas aumentando o uso de serviços em nuvem, é igualmente necessário aplicar o conceito de testes de penetração tradicionais à nuvem.