Auditores de segurança: benefícios da automação em detrimento do fator humano

Abstract

Este trabalho tem como objetivo analisar as vantagens do uso de uma ferramenta automatizada de pentest em atividades de auditoria de segurança. Para alcançar o objetivo julgou-se necessário desenvolver uma ferramenta que atendesse as necessidades dos profissionais de segurança da informação. Destarte, foi distribuído um questionário para esse público que auxiliou na definição das funcionalidades necessários ao novo software. Em seguida, foi realizada uma análise das principais metodologias de auditoria de segurança com reconhecimento internacional e eleita uma destas para nortear o desenvolvimento do software. Com base nos requisitos levantados e na metodologia selecionada foi desenvolvida a ferramenta (SAPINES) em Shell Script e Python para tornar as tarefas de um teste de penetração mais céleres e metodológicas, garantindo uma eficiência mais refinada através da minimização do fator humano nas ações de descoberta e exploração de vulnerabilidades em sistemas informáticos. Por fim, foi criado um cenário de testes onde três pares de voluntários com conhecimentos heterogêneos em segurança da informação realizaram uma auditoria de segurança com e sem o uso da ferramenta desenvolvida, com vistas a mensurar as eventuais vantagens e prejuízos de seu uso. Com base nos resultados concluiu-se que o uso de softwares automatizados melhora o rendimento dos profissionais de segurança em ações de pentest.