Manter a segurança de um ambiente cibernético é um grande desafio. Segurança em profundidade é aquela que é pensada para ter várias camadas de proteção. Nesse modelo você implementa vários controles que vão se aprofundando para proteger os ativos da empresa. Para entender o conceito podemos traçar um paralelo com um castelo medieval. No castelo existem diversas camadas de proteção, como fosso, ponte levadiça, muros altos, arqueiros, catapultas, soldados, portões, entre outros sistemas de proteção. Um invasor teria que passar por todas essas camadas para conseguir invadir o interior do castelo.
Em uma empresa que utiliza o conceito de segurança em profundidade isso funciona de maneira similar. São implementadas diversas camadas de proteção para aumentar a segurança. Então vai ter Firewall, EDR, IPS/IDS, UTM, SIEM, SOAR, entre outras camadas. Tudo isso configurado para proteger os ativos da empresa. 
Imagine um agente malicioso. Ele está fora da rede empresa e começa a tentar recolher informações. Essas informações costumam ser coletadas em fontes públicas acessíveis por qualquer pessoa. O Google mesmo é uma ferramenta inicial interessante de ser usada. 
Depois disso o agente malicioso parte para um escaneamento propriamente dito. Ele vai tentar identificar possíveis vulnerabilidades, que poderão ser exploradas. Até então o agente malicioso continua do lado de fora da empresa. Por isso é importante que a empresa se preocupe em diminuir a superfície de ataque e tenha as medidas protetivas adequadas para minimizar os pontos de interesse do agente malicioso.
Vamos imaginar que esse agente malicioso encontrou um possível ponto vulnerável. Ele chegou na primeira camada de proteção da empresa. Geralmente tem um appliance dedicado de segurança na borda para controlar o tráfego entre a empresa e o mundo externo. Esse appliance vai ter uma série de ferramentas para proteger a empresa. A principal delas é o Firewall, que precisa ter as regras bem configuradas para conseguir proteger a rede da empresa. O Firewall vai filtrar o que entra e o que sai da rede interna. Além disso é importante ter também uma boa ferramenta anti-malware, para detectar e eliminar vírus e códigos maliciosos que tentam invadir o perímetro da empresa.
Na maioria dos casos essa primeira camada de proteção já é suficiente para eliminar vários problemas. Muitos ataques automatizados ou ataques feitos por pessoas sem profundo conhecimento técnico já são mitigados nessa primeira barreira de proteção da segurança em profundidade. Vamos supor que o agente malicioso seja muito talentoso e passe por essa camada, aí pode ser interessante que a empresa possua um IDS/IPS, que já é outra camada de proteção. O IDS é um sistema de detecção de intrusos e o IPS é um sistema de proteção contra intrusos. Para ficar bem didático, vamos pensar assim: o IDS é o pincher que avisa latindo e o IPS é o rottweiler que resolve mordendo. Um detecta e avisa, o outro detecta e toma alguma ação.
Você que está lendo pode pensar: não é melhor resolver mordendo sempre? Na verdade depende, o IPS pode dar alguns falso-positivos, então ele tem que ser bem calibrado para evitar paradas desnecessárias na rede. São muitas variáveis e diversos fatores que justificam o uso de cada ferramenta. O IDS pode ajudar a entender alguns cenários, ele vai mandando os alertas para avisar o que está acontecendo na rede, e se for o caso aí é possível configurar uma regra mais rígida no IPS. Tudo depende.
Uma outra camada de proteção que a empresa pode implementar é ter um UTM, que serve para fazer o gerenciamento unificado de ameaças. Estamos falando de um equipamento que vai reunir várias ferramentas de segurança, com regras de firewall, regras de acesso, pode ter NAC que é aquele sistema que só as máquinas autorizadas pelo endereço MAC conseguem ter acesso na rede, você consegue configurar VPNs para acesso seguro também, ou seja, tem mais uma série de proteções nessa camada.
Olha quantos controles já estão implementados até esse ponto. E não para por aí, a empresa pode ter um EDR em cada máquina, que é um sistema instalado nos endpoints para detecção e resposta a incidentes. Então a segurança em profundidade começou lá na borda, passou pelos sistemas internos, até chegar no endpoint.
O interessante é que essas ferramentas vão gerando logs e esses logs podem ser correlacionados em uma ferramenta de SIEM. Além do SIEM tem o SOAR também, que permite que a empresa crie playbooks para os cenários mais comuns, deixando as respostas automatizadas na ferramenta. Para que o SIEM e o SOAR façam sentido é importante que a empresa tenha um SOC, que é um centro de operações de segurança. Uma equipe dedicada 24x7 para analisar esses alertas. É uma solução robusta de segurança, que contém várias camadas de proteção para formar a segurança em profundidade.
Legal, a gente falou de vários controles que podem ser implementados, com certeza tem vários outros também, mas vamos pensar: Como a gente sabe que é suficiente? Essa é uma boa pergunta. Na indústria automotiva, os carros são equipados com para-choque, cinto de segurança, airbargs, entre outros sistemas de segurança. Mesmo com tudo isso, é feito um teste de colisão para saber se as proteções serão eficazes ou se o projeto deve ser revisado. Eles basicamente pegam o carro e tacam em um muro para simular o que aconteceria com uma pessoa em caso de acidente. 
Na aviação também são feitos vários testes antes, durante e depois de cada vôo para evitar tragédias. Tudo é testado e monitorado para previnir acidentes.
Nesse contexto, em TI, o teste que é realizado é chamado de pentest (teste de intrusão). Esse teste serve para simular um agente malicioso e visa avaliar a eficácia dos controles que foram implementados. Com esse teste a empresa consegue antecipar possíveis explorações de vulnerabilidades.
Vamos fazer uma analogia. A empresa tem o firewall lá na borda. Imagine que esse firewall seja uma parede de fogo. Aí o pentester vai tentar passar por cima dessa parede de fogo com uma escada, vai tentar cavar o chão e passar por debaixo da parede de fogo, vai tentar colocar explosivos e destruir essa parede de fogo, tudo pra ver se ele consegue passar por ela.
Os testes de intrusão consistem em simular ataques reais ao ambiente de TI visando avaliar os riscos associados e as brechas de segurança que tem potencial de serem exploradas. Este procedimento é diferente da avaliação de vulnerabilidades, já que no pentest as vulnerabilidades são identificadas e também é feita a exploração dessas vulnerabilidades encontradas, permitindo a avaliação do que os invasores poderiam obter após uma exploração bem-sucedida das falhas.
Existem alguns tipos de pentest. Resumidamente temos o black box, o white box e o gray box. No pentest black box, também conhecido como caixa preta, o pentester simula um ataque real sem conhecimento prévio do ambiente. É bem próximo do que acontece no dia a dia em relação aos agentes maliciosos que tentam invadir as empresas no geral. Já no pentest white box, ou caixa branca, o pentester simula um ataque com conhecimento prévio do ambiente completo. Isso serve para ter uma visão de um atacante interno, por exemplo. Por fim tem o teste gray box, ou caixa cinza, que é uma mistura dos dois anteriores. Ele simula um ataque real com prévio conhecimento parcial do ambiente. Pode ser usado para testar alguma coisa específica, por exemplo.
Independente do tipo de pentest, tem algumas fases que são executadas na realização do teste de intrusão. Primeiro tem a preparação, depois vem reconhecimento, escaneamento, exploração, consciência situacional, configuração de persistência, escalação de privilégio, exfiltração, limpeza de rastros, movimentação lateral e por fim a entrega do relatório.  
Vamos falar um pouco de cada fase. Primeiro a preparação, que é a fase em que são definidos os detalhes de qual pentest vai ser feito, o escopo envolvido, prazos, valores, essas coisas.
Aí vem a fase de reconhecimento. Essa é a fase em que o pentester vai reunir o máximo de informações possíveis a respeito da empresa. São utilizadas técnicas de google dorks, são consultadas fontes de osint (Open Source Intelligence), qualquer coisa que ajude a recolher informações sobre o alvo serve.
Depois tem a fase de escaneamento. Nessa fase o pentester vai mapear o alvo para identificar possíveis pontos de vulnerabilidade. Isso é fundamental para prosseguir com o pentest.
Aí chegamos na fase de exploração. Aqui é o ponto em que o pentester vai realmente começar a invasão. Se ele tiver sucesso nessa fase ele consegue entrar na rede da empresa.
Uma vez dentro da rede da empresa vem a fase da consciência situacional. O pentester precisa identificar em que ponto ele está. Não adianta invadir um honeypot, por exemplo, que é um servidor feito para atrair invasores e coletar informações sobre o ataque. Sabendo que ele de fato entrou na rede da empresa, nessa hora chega a fase de configuração de persistência. Com isso o pentester vai conseguir voltar futuramente, ele abre uma brecha para ele mesmo entrar novamente na rede se precisar. Pode haver perda de conexão ou algo do tipo, então isso já é feito para facilitar o retorno à rede.
Depois de configurar a persistência, o pentester tenta fazer a escalação de privilégio. Nessa fase ele tenta acesso admin ou root. Conseguindo isso ele volta para a etapa de consiência situacional para identificar o privilégio que conseguiu.
Agora vem a parte da exfiltração. O pentester precisa coletar alguma informação para poder mostrar o quão comprometida a rede da empresa foi. Ele realmente vai copiar dados da empresa para fora da rede. Por isso é importante fazer um contrato com as cláusulas de NDA (Non Disclosure Agreement) e acordos de confidencialidade.
Depois da exfiltração é hora de fazer a limpeza de rastros. Nessa fase o pentester vai eliminar os logs que as atividades dele geraram. É importante que ele apague só o que tem relação com as atividades que ele fez. É muito suspeito apagar todos os logs. 
Agora o pentester chegou na fase da movimentação lateral. Ele tenta chegar em outro servidor da rede voltando lá para a etapa de exploração. 
Aí ele vai explorando todos os servidores até chegar no AD da empresa. Chegar no AD é ganhar o jogo. Se fosse um agente malicioso ele teria conseguido acesso total e poderia fazer o que quisesse na empresa.
Feitas todas as etapas chega a hora da entrega do relatório. É importante colocar todos os passos que foram realizados, com print do que foi feito, tudo bem detalhado. A partir desse relatório a empresa vai poder definir os planos de ação.
Esses planos de ação vão mitigar os problemas apontados, na medida do possível, claro. Então tudo que for viável a empresa vai fazer para corrigir os apontamentos que foram feitos.
Com isso a empresa pode fazer o reteste, que simplemente consiste em autorizar o pentester a refazer os testes e validar se de fato os apontamentos foram corrigidos.
É a partir do relatório com os resultados do pentest que a empresa poderá averiguar o custo x benefício para corrigir os problemas encontrados, mitigando os riscos sempre que possível. Isso é feito com várias ações, por exemplo atualização de softwares, aplicação de patches de correção e segurança, instalação de novas barreiras lógicas e físicas para aumentar a segurança. Essas ações serão tomadas com embasamento do relatório técnico feito pelo pentester.
Uma coisa importante que precisa ficar clara é que esses testes tem que ser refeitos periodicamente. Se for possível a empresa deve contratar uma auditoria externa para fazer os testes de intrusão pelo menos anualmente. Sempre aparecem novos problemas, é importante testar o ambiente. A própria equipe interna da empresa pode testar muita coisa, mas uma auditoria externa vai conseguir simular o ataque de forma isenta, com uma visão diferente de quem já conhece o ambiente.
A execução de um Pentest é extremamente importante para a empresa, pois permite nortear os esforços a serem empregados na melhoria da segurança da informação no ambiente de TI. O relatório de Pentest é apenas um guia do que foi encontrado, não sendo escopo desse trabalho a correção dos problemas apontados. Cabe a empresa corrigir as brechas apontadas no relatório. Claro, tem empresa apta a testar e corrigir, aí vai depender do contrato que é feito em cada caso.
Sabemos que não existe segurança 100%, mas com a execução periódica desse tipo de teste acontece um aumento significativo na segurança da informação da empresa. 
E o que tudo isso tem a ver com a LGPD? O Pentest é uma das medidas técnicas e administrativas que tem como objetivo explorar e identificar de forma consciente e controlada possíveis vulnerabilidades no ambiente da empresa. De acordo com o artigo 46 da LGPD, é responsabilidade dos agentes de tratamento de dados pessoais adotar medidas para proteger os dados pessoais.
Então é isso, para ficar em conformidade com a LGPD a sua empresa precisa adotar a segurança em profundidade e testar se essa segurança é suficiente. Avalie o que cabe no seu bolso e tome as medidas apropriadas para proteger os valiosos dados que são tratados pela empresa.
Você quer saber mais sobre algumas das soluções citadas acima? Entre em conato conosco.