Aikido

pentest de IA conformidade

Escrito por
Jens Gellynck

Os testes de penetração autónomos podem cumprir os requisitos de conformidade?

Há duas décadas que o conceito de «testes de penetração» tem o mesmo significado: uma vez por ano, contrata-se uma empresa, um testador passa uma ou duas semanas a analisar os seus sistemas e recebe-se um PDF. A maioria dos quadros de conformidade foi concebida em torno precisamente desse ritual: um processo lento, manual e pontual.

O software já não é lançado uma vez por ano. É lançado várias vezes por dia. O teste de penetração anual já era, por si só, um instantâneo que ficava desatualizado no momento em que era aprovado; num mundo de implementação contínua, é um instantâneo de um sistema que já não existe.

Os testes de penetração com IA Aikidoforam concebidos a pensar nessa realidade: testes contínuos e autónomos que são executados nas suas aplicações e APIs à medida que estas evoluem e que geram um relatório que pode ser apresentado a um auditor. A questão que qualquer CISO ou responsável pela conformidade coloca é: esse relatório será aceite para efeitos de conformidade?

A resposta curta é : «Para a maioria dos quadros normativos, sim; e para alguns que exigem um profissional acreditado, não.» Este artigo analisa os principais quadros normativos e apresenta uma conclusão clara.

Como funciona o teste de penetração autónomo Aikido

Aikido uma frota de agentes de IA Aikido pelas mesmas fases que um pentester humano segue:

  1. Validação do âmbito e da titularidade. Os alvos são definidos antecipadamente e divididos em «atacáveis» e «acessíveis». Para evitar abusos, verificamos se é o proprietário dos ativos incluídos no âmbito (por exemplo, através da verificação de registos DNS) antes de enviar qualquer tráfego de teste.
  2. Enumeração e modelação de ameaças. Os agentes mapeiam todas as funcionalidades, pontos finais e APIs abrangidos pelo âmbito do projeto. Em intervenções de caixa branca, a própria base de código constitui a fonte de enumeração e os agentes elaboram um relatório de reconhecimento e um plano de ataque. Em intervenções de caixa cinzenta/preta, recorrem à exploração de sites, ao fuzzing e à geração de listas de palavras.
  3. Identificação e exploração de vulnerabilidades. Os agentes testam e exploram ativamente as falhas de segurança, mas apenas na medida do necessário para comprovar o impacto. Não tentam obter acesso persistente aos seus sistemas, o que significa que não há destruição de dados, nem negação de serviço, nem movimentação lateral na infraestrutura, nem backdoors.
  4. Validação. Agentes de validação especializados reproduzem cada descoberta para confirmar que é real e explorável, o que distingue um teste de penetração de um scanner de vulnerabilidades. Assim que o teste de penetração estiver concluído, todos os dados e artefactos gerados durante a avaliação são removidos dos nossos sistemas.
  5. Relatórios. Recebe um resumo executivo, bem como todos os detalhes técnicos: descrição, gravidade, avaliação do impacto, passos para reproduzir a falha e recomendações de correção para cada falha confirmada.
  6. Correção. Em vez de se limitar a deixar-lhe uma lista de tarefas, AI AutoFix Aikidogera AI AutoFix pull requests ou patches para vulnerabilidades confirmadas (sempre que possível). Isto permite-lhe corrigir as falhas detetadas instantaneamente e voltar a testar de imediato para confirmar que o risco foi eliminado.

O que testamos. A metodologia abrange (mas não se limita a) o Top 10 OWASP, Top 10 OWASP Aplicações Agentes e o segurança de API 10 da OWASP segurança de API , incluindo as categorias que os scanners automatizados não detetam: controle de acesso quebrado Autorização Comprometida ao Nível do Objeto (BOLA), falhas de autenticação, injeção, SSRF, configuração de segurança incorreta e abuso da lógica de negócio. Como os agentes são baseados em comportamento e não em assinaturas, encadeiam etapas e interpretam o contexto da mesma forma que um atacante, parando apenas na prova de impacto.

Por que razão o relatório constitui prova de auditoria

Uma ferramenta autónoma só é útil para fins de conformidade se for possível confiar nela e comprovar o seu comportamento. Os testes Aikidoassentam numa metodologia estruturada e num conjunto de medidas de segurança aplicadas a nível técnico, com o objetivo de garantir que os testes autónomos sejam seguros, delimitados e auditáveis.

Na prática, isso traduz-se em controlos que são importantes para os auditores:

  • Barreiras de segurança rígidas, não avisos. O âmbito é imposto ao nível da rede e tudo o que estiver fora desse âmbito é automaticamente bloqueado. As barreiras de segurança são tecnicamente impostas através de uma sandbox ao nível do kernel, da qual o agente não possui credenciais para escape, nunca através de instruções «suaves» na forma de avisos.
  • Contenção e segurança. Os agentes são executados em ambientes isolados (sandboxes), estão sujeitos a restrições de desempenho e têm os recursos limitados, e é aplicada, por definição, uma lista de ações proibidas (ferramentas de DoS, exfiltração de dados, operações destrutivas e ataques de força bruta a credenciais).
  • Um «kill switch» e um registo de auditoria imutável. Todas as ações, comandos, pedidos e o raciocínio do agente são registados num registo à prova de adulteração e mantidos durante, pelo menos, um ano. O tráfego inclui um cabeçalho HTTP único e tem origem em IPs estáticos dedicados, pelo que é rastreável e pode ser incluído numa lista de permissões.
  • Precisão. Os resultados são validados para evitar falsos positivos e qualquer alteração no modelo de IA é submetida a testes comparativos exaustivos antes de entrar em produção, garantindo um sistema em constante aperfeiçoamento.
  • Transparência total e cobertura verificável. Proporcionamos tanto aos clientes como aos auditores visibilidade sobre todo o processo de testes, fornecendo capturas de ecrã, uma visão geral abrangente da cobertura e o raciocínio explícito por trás de cada ação do agente. Ao contrário dos testes de penetração tradicionais realizados por humanos, que muitas vezes apenas apresentam as conclusões finais sem fornecer provas do que foi efetivamente executado, Aikido provas completas do trabalho realizado, para que possa verificar exatamente o que foi testado.

Esta combinação constitui a prova que a maioria das auditorias exige: testes realizados por entidades terceiras independentes, resultados reproduzíveis, um registo de auditoria transparente e um relatório estruturado com orientações para a correção de falhas.

Um teste de penetração com âmbito adequado tem valor como prova?

Um teste de penetração «rightsized» é uma avaliação baseada em IA que adapta dinamicamente a sua profundidade e preço para corresponder ao tamanho exato e à complexidade arquitetónica da sua aplicação. Aikido os seus repositórios, pontos finais e funções, definindo automaticamente o âmbito adequado. Aplicação pequena, preço baixo. Plataforma complexa, cobertura exaustiva.

Fundamentalmente, um teste de penetração com definição automática do âmbito não é muito diferente dos nossos testes de penetração «normais». A principal diferença reside no facto de o âmbito ser definido automaticamente, em vez de manualmente. Continua a ser da responsabilidade do cliente rever e garantir que o âmbito está definido corretamente. Como tal, estes testes de penetração com definição automática do âmbito continuam a cumprir os requisitos dos quadros de conformidade que permitem a realização de testes de penetração autónomos.

O que os auditores procuram

É útil saber o que os auditores ou as normas procuram, na prática, num teste de penetração:

  • Uma metodologia documentada e repetível: não se trata de tentativas aleatórias.
  • Independência: a equipa de testes não é a mesma que desenvolve ou opera o sistema.
  • Testes reais de eficácia: ir além da análise automatizada de vulnerabilidades.
  • Evidência: resultados, gravidade e comprovação.
  • Correção e nova análise dos resultados.

Repare no que normalmente não é especificado: que é necessário que uma pessoa prima as teclas. Algumas estruturas exigem testes realizados por pessoas ou manualmente; é a essas que se deve prestar atenção.

Visão Geral

Testes de penetração autónomos — Mapeamento do quadro de conformidade
Framework Requisito exato Teste de penetração autónomo? Como o relatório ajuda
Regulamento
NIS2 Art. 21.º, n.º 2, alíneas e) e f); CIR 2024/2690, § 6.10, § 7.1 Sim Testes automatizados e de penetração expressamente previstos
GDPR Art. 32.º, n.º 1, alínea d) Sim Demonstra um processo de testes regular
CRA Anexo I, Parte II, n.º 3; Parte I Sim Testes de ciclo de vida «eficazes e regulares»
Internacional
SOC 2 TSC CC4.1, CC7.1 Sim Provas independentes das «avaliações em curso»
ISO 27001 Anexo A, pontos 8.8, 8.25 e 8.29 Sim Testes «planeados, documentados e repetíveis»
Cuidados de saúde
HIPAA 45 CFR § 164.308(a)(8); NPRM de 2024 Sim Comprova a realização de avaliações técnicas periódicas; está preparado para o teste de penetração anual proposto
HITRUST Controlo 06.h (Verificação da conformidade técnica); anual/contínua Sim Teste autónomo aceite; o avaliador externo valida as provas
FDA FD&C § 524B + orientações pré-comercialização Sim Fornece o relatório de teste de penetração exigido para a apresentação pré-comercialização
MDR da UE Anexo I, GSPR 17.2, 17.4; MDCG 2019-16 Sim Provas válidas de V&V ao longo de todo o ciclo de vida
IEC 81001-5-1 §5.7.4 (SVV-4), §5.7.5 Sim A independência em relação a terceiros cumpre diretamente o SVV-4
Automóvel
ISO/SAE 21434 Sim
Governo
ENS Auditoria da Medida mp.s.3; Artigo 31.º Sim Cumpre o disposto no n.º 3 do artigo 3.º; a cadência contínua excede os mínimos
NIST 800-53 CA-8, CA-8(1), CA-8(2) Sim, com aprovação Independente, «para além da análise»; confirmar com o avaliador
EO 14028 SP 800-218 PW.8 / PW.8.2 Sim O mecanismo subjacente à auto-declaração da CISA
FedRAMP CA-8 + Orientações sobre testes de penetração (3PAO) Não Os testes de penetração de autorização e os testes anuais devem ser realizados por uma entidade 3PAO acreditada
FISMA 800-53 CA-8 via RMF Sim, a critério da agência Espelhos CA-8
Finanças
PCI DSS Requisitos 11.4.1 a 11.4.6 Não O teste de penetração 11.4 deve ser realizado por um testador humano qualificado; um relatório autónomo não é aceite como prova desse teste
DORA Art. 24-25 / Art. 26-27 (TLPT) Sim para 24/25; Não para TLPT Cumpre o programa de testes previsto nos artigos 24.º e 25.º; o artigo 26.º do TLPT exige a participação de especialistas externos em simulação de ataques (red-teamers)
Medidas de proteção da FTC 16 CFR §314.4(d)(2) Sim monitoramento contínuo um substituto explícito do teste de penetração anual
NYDFS 23 NYCRR §500.5 Sim monitoramento contínuo, ou um teste de penetração anual, juntamente com uma avaliação semestral

Conclusão: As normas estão atrasadas em relação à tecnologia

As normas que estabelecem que «se deve testar regularmente a eficácia dos controlos» (RGPD, CRA, NIS2, SOC 2, ISO 27001, HIPAA, as orientações da FDA, IEC 81001-5-1, o SSDF) foram elaboradas com base num resultado e permitem a realização de testes contínuos e autónomos sem dificuldades. Pode-se argumentar que várias delas favorecem essa abordagem.

As normas que enfrentam dificuldades são aquelas que codificaram o modelo de implementação de 2010 no próprio mecanismo de controlo: um processo anual, manual e dependente de credenciais humanas (acreditação 3PAO, equipas «red teams» do TLPT, as «técnicas manuais» da PCI). Não estão erradas ao valorizar a experiência humana. Simplesmente foram elaboradas numa altura em que a única forma de realizar testes de penetração era contratar uma pessoa durante uma semana, uma vez por ano. Não estavam preparadas para sistemas autônomos que testam cada compilação, comprovam cada descoberta, registam cada ação e, em seguida, corrigem e voltam a testar o que encontram.

Especificações do setor

Setor Financeiro

PCI DSS

O requisito: a norma PCI DSS é o quadro regulamentar mais prescritivo neste contexto. Exige uma metodologia documentada de testes de penetração, a realização de testes de penetração internos e externos pelo menos uma vez por ano e após alterações significativas, a repetição dos testes em tudo o que for corrigido e a realização de testes separados dos controlos que segmentam o ambiente de dados dos titulares de cartões (com maior frequência no caso dos prestadores de serviços). O teste tem de ser realizado por um técnico qualificado que seja organizacionalmente independente dos sistemas em teste.

Será que os testes autónomos podem satisfazer este requisito? Não. As próprias Orientações sobre Testes de Penetração da PCI estabelecem uma distinção entre um teste de penetração e uma análise de vulnerabilidades: uma análise é automatizada, enquanto um teste de penetração é um processo manual de exploração que depende da competência de um testador qualificado e independente. As ferramentas automatizadas podem ajudar, mas as orientações consideram que o trabalho manual constitui o próprio teste. Um teste de penetração autónomo não será aceite como o teste de penetração exigido pela PCI.

Os agentes Aikidoexploram a lógica de negócio, o BOLA e falhas em cadeia, pelo que vale a pena executá-los como testes de segurança contínuos das atividades obrigatórias, incluindo após alterações significativas. Trata-se de um benefício de segurança e de uma fonte de provas de correção, não de uma certificação PCI. Planeie o teste de penetração humano qualificado separadamente.

Conclusão: Não cumpre o requisito. O teste de penetração deve ser realizado por um técnico qualificado. Os testes autónomos não serão aceites como teste de penetração PCI.

Referência: Requisito 11.4 (11.4.1 a 11.4.6) da norma PCI DSS v4.0.1; Orientações do PCI SSC sobre testes de penetração.

DORA

O requisito: a DORA prevê dois níveis de testes. O nível geral consiste num programa de testes de resiliência operacional digital que todas as entidades financeiras devem implementar, sendo que os testes de penetração constituem um dos métodos que devem utilizar. O nível avançado exige a realização de Testes de Penetração Orientados para Ameaças (TLPT) pelo menos uma vez a cada três anos para as entidades financeiras de maior dimensão, com regras rigorosas quanto a quem os pode realizar.

Será que os testes autónomos satisfazem este requisito? Sim, no caso do programa geral; não, no caso do TLPT. O programa geral é flexível em termos de métodos e os métodos nele enumerados incluem testes de penetração, pelo que os testes autónomos contínuos se enquadram nele e vão além do mínimo periódico exigido. O TLPT é diferente. Baseia-se no quadro TIBER-EU do BCE e exige a participação de membros externos e qualificados de uma «equipa vermelha», bem como de um prestador externo de informações sobre ameaças, sendo que as instituições de crédito de grande dimensão são obrigadas a recorrer exclusivamente a testadores externos. Trata-se, por definição, de um envolvimento humano da «equipa vermelha».

Conclusão: Sim, no que diz respeito ao programa de testes geral. Este não cumprirá o requisito do TLPT, que exige a participação de especialistas externos em simulação de ataques (red-teamers). Utilize Aikido executar e documentar o programa geral. O TLPT é um processo distinto que deve ser realizado por pessoas.

Referência: DORA (Regulamento (UE) n.º 2022/2554), artigos 24.º e 25.º (programa de ensaios), artigos 26.º e 27.º (TLPT).

Regra de Salvaguardas da FTC

O requisito: A Regra de Medidas de Proteção da FTC regula a forma como as instituições financeiras protegem as informações dos clientes. Exige a realização de testes regulares para avaliar a eficácia das suas medidas de proteção e oferece duas formas de o fazer: monitoramento contínuo ou, na sua ausência, um teste de penetração anual, além de avaliações de vulnerabilidade pelo menos a cada seis meses. Também é necessário realizar testes após alterações significativas nas operações.

Os testes autónomos podem satisfazer esse requisito? Sim. monitoramento contínuo apresentado como uma alternativa direta ao teste de penetração anual, que é precisamente o que os testes autónomos contínuos proporcionam. Para uma instituição que prefira a abordagem periódica, um único programa autónomo permite realizar tanto o teste anual como as avaliações semestrais. A norma não estabelece qualquer requisito relativo ao pessoal ou à acreditação do responsável pelos testes.

Conclusão: Sim. monitoramento contínuo um substituto explícito do teste de penetração anual.

Referência: Regra de Salvaguardas da FTC, 16 CFR 314.4(d) e 314.4(d)(2).

Regulamento do NYDFS em matéria de cibersegurança

O requisito: A regulamentação de cibersegurança dos serviços financeiros de Nova Iorque aplica-se a bancos, seguradoras e outras entidades licenciadas em Nova Iorque, sendo considerada fora do estado como uma referência para o setor financeiro. A secção relativa aos testes de penetração exige que os testes sejam concebidos com base na avaliação de riscos da sua entidade, estruturados quer como monitoramento contínuo um teste de penetração anual, a par de avaliações de vulnerabilidade semestrais.

Os testes autónomos podem satisfazer este requisito? Sim. Tal como acontece com a norma da FTC, o regulamento considera monitoramento contínuo o teste de penetração anual como alternativas. Os testes autónomos contínuos correspondem à via do monitoramento contínuo e, para as entidades que optam pela via periódica, também resultam no teste anual e nas avaliações semestrais. O regulamento não estabelece qualquer requisito de acreditação dos testadores.

Conclusão: Sim. monitoramento contínuo , por si só, monitoramento contínuo o requisito.

Referência: Regulamento de Cibersegurança do NYDFS, 23 NYCRR 500.5 (Segunda Alteração, 2023).

Setor da Saúde

HIPAA

O requisito: a Regra de Segurança da HIPAA não menciona explicitamente os testes de penetração. O seu critério de avaliação exige uma avaliação periódica, tanto técnica como não técnica, das suas medidas de segurança, sendo este o âmbito em que os testes de penetração normalmente se enquadram. Uma atualização proposta para dezembro de 2024 tornaria isso explícito, exigindo a realização de análises de vulnerabilidades pelo menos de seis em seis meses e de testes de penetração pelo menos uma vez por ano. Em meados de 2026, essa atualização ainda não estava finalizada, mas a orientação é clara.

Os testes autónomos podem satisfazer esse requisito? Sim. Nem a norma de avaliação atual nem a atualização proposta exigem a intervenção de um testador humano. Um relatório autónomo constitui, atualmente, prova de uma avaliação técnica periódica e satisfaria, no futuro, a obrigação proposta de realizar testes de penetração anuais, com testes contínuos que excedem uma frequência anual.

Conclusão: Sim, e estamos prontos para a regra proposta.

Referência: Regra de Segurança da HIPAA, 45 CFR 164.308(a)(8); NPRM de 2024 (RIN 0945-AA22).

HITRUST CSF

O requisito: O HITRUST CSF é um quadro de certificação utilizado pelas organizações de cuidados de saúde dos EUA e pelos seus fornecedores para demonstrar a proteção das Informações de Saúde Protegidas (PHI). Os testes de penetração fazem parte dos seus requisitos de conformidade técnica e de avaliação de segurança. Para a certificação de nível superior (r2), os testes devem ser realizados num período contínuo de 12 meses e decorrer como um programa contínuo, em vez de um evento anual único, com os resultados a serem acompanhados e submetidos a novos testes.

Os testes autónomos podem satisfazer este requisito? Sim, a HITRUST não exige a intervenção de um testador humano ou acreditado para o teste de penetração, e a sua preferência por um programa contínuo em vez de um evento anual está em consonância com os testes autónomos contínuos. Um relatório de teste de penetração autónomo constitui prova válida para o avaliador.

Conclusão: Sim, no que diz respeito ao requisito de testes de penetração. A validação pelo Avaliador Externo constitui uma etapa de auditoria distinta.

Referência: Controlo 06.h do HITRUST CSF (Verificação da Conformidade Técnica).

Orientações da FDA sobre cibersegurança antes da comercialização

O requisito: O documento de orientação da FDA intitulado «Cibersegurança em dispositivos médicos: considerações relativas ao sistema de qualidade e conteúdo dos pedidos de autorização de comercialização» recomenda uma abordagem de testes de segurança em camadas, mas, na prática, exige a apresentação de um relatório de teste de penetração durante os pedidos de autorização de comercialização.

Os testes autónomos podem satisfazer esses requisitos? Sim. As orientações são orientadas para os resultados: pretendem provas de que os testes foram realizados, por quem, qual foi o âmbito, o que foi detetado e, mais importante ainda, o que foi feito a esse respeito. Em última análise, trata-se de garantir que os riscos de segurança estão sob controlo. O relatório de testes de penetração com IA Aikidocumpre essas expectativas.

Conclusão: Sim, mas indique o âmbito do documento, os métodos utilizados e a independência na proposta.

Referência: Secção 524B da Lei FD&C; orientações da FDA sobre cibersegurança antes da comercialização (2025).

Regulamento da UE relativo aos dispositivos médicos (MDR)

O requisito: Os requisitos gerais de segurança e desempenho do MDR exigem que o software dos dispositivos médicos seja desenvolvido de acordo com o estado da arte, com verificação e validação, bem como medidas mínimas de segurança informática ao longo de todo o ciclo de vida do produto. As orientações da UE sobre cibersegurança dos dispositivos médicos (MDCG 2019-16) referem os testes de penetração como parte dessa verificação e validação, a par dos testes às funcionalidades de segurança, do fuzzing e da deteção de vulnerabilidades.

Será que os testes autónomos satisfazem este requisito? Sim. O MDR e as suas orientações são neutros em termos de método, e um teste de penetração autónomo constitui uma prova válida de verificação e validação. Os testes contínuos também se adequam melhor à ênfase no ciclo de vida do que um teste pontual. À semelhança das orientações da FDA, o que importa é provar que os riscos de segurança estão sob controlo.

Conclusão: Sim.

Referência: MDR da UE (Regulamento (UE) n.º 2017/745), Anexo I, GSPR 17.2 e 17.4; orientação MDCG 2019-16.

IEC 81001-5-1

O requisito: Trata-se da norma relativa ao ciclo de vida seguro do software para software na área da saúde, que será harmonizada com o MDR. As suas atividades de teste de sistemas de software incluem testes de requisitos de segurança, testes de mitigação de ameaças, testes de vulnerabilidades e testes de penetração. A norma exige que os testes de penetração sejam realizados por um departamento ou organização independente dos programadores e inclui uma disposição específica sobre a gestão de conflitos de interesses entre os testadores e os programadores.

Os testes autónomos podem satisfazer esse requisito? Sim, e o requisito de independência é um ponto a seu favor. O que a norma exige é independência organizacional em relação aos programadores, não em relação a um testador humano. Enquanto entidade externa, Aikido esse requisito de independência, ao mesmo tempo que a metodologia autónoma e a pista de auditoria proporcionam a atividade documentada e repetível que a norma espera.

Conclusão: Sim, a independência de terceiros cumpre o requisito.

Referência: IEC 81001-5-1:2021, cláusulas 5.7.4 (correspondente à SVV-4) e 5.7.5.

Automóvel

ISO/SAE 21434

O requisito: A cibersegurança automóvel baseia-se na norma ISO/SAE 21434, a norma de engenharia relativa à cibersegurança dos veículos, na sua metodologia de risco e na Análise de Ameaças e Avaliação de Riscos («TARA»). A norma refere os testes de penetração como uma forma de validar que os objetivos de cibersegurança foram cumpridos.

Os testes autónomos podem satisfazer esse requisito? Sim, nas partes a que conseguem aceder. A norma baseia-se nos resultados. Os testes de penetração são um dos vários métodos de validação (por exemplo, fuzzing, SAST, DAST, …), e um relatório de teste de penetração autónomo constitui uma prova válida, sendo que os testes contínuos também se enquadram na ênfase dada ao ciclo de vida. Uma ressalva: os veículos são construídos com componentes incorporados, pelo que os testes de segurança física ao nível do hardware não podem ser realizados através de métodos autónomos.

Conclusão: Sim, no que diz respeito à superfície de ataque das ligações e do backend. A norma é flexível em termos de métodos e aceita testes autónomos como prova de validação.

Referência: Validação da cibersegurança segundo a norma ISO/SAE 21434:2021 (Cláusula 11, RQ-11-01).

Governo e setor público

ENS

O requisito: O Esquema Nacional de Segurança de Espanha inclui os testes de penetração como uma medida de segurança explícita. São obrigatórios para os sistemas de categoria elevada e recomendados para os sistemas de categoria média, e os resultados recentes servem de base para a auditoria periódica do quadro regulamentar.

Os testes autónomos podem satisfazer este requisito? Sim. A norma ENS especifica que o que importa é o teste, e não quem o realiza. Os resultados dos testes de penetração autónomos satisfazem este requisito, e os testes contínuos superam as frequências recomendadas: anual (alta) e bienal (média).

Conclusão: Sim, os testes de penetração autónomos cumprem o requisito.

Referência: ENS (Decreto-Real n.º 311/2022), Anexo II, medida mp.s.3; auditoria periódica nos termos do artigo 31.º.

NIST SP 800-53

O requisito: A norma NIST 800-53 inclui um controlo específico relativo aos testes de penetração. Este exige a realização de testes de penetração com a frequência definida pela organização, prevê a contratação de um agente ou equipa independente para a realização desses testes e acrescenta exercícios de «red team» como medida de reforço. O controlo especifica explicitamente que os testes de penetração vão além da análise automatizada de vulnerabilidades e são realizados por agentes e equipas com competências comprovadas.

Será que os testes autónomos satisfazem este requisito? Em grande medida, sim, mais do que o PCI. O controlo centra-se na independência e em ir além da simples análise, requisitos que Aikido : é uma entidade terceira independente e explora e valida, em vez de se limitar a analisar. O controlo chega mesmo a utilizar a palavra «agentes». A avaliação final, ou seja, se um agente autónomo demonstra as «competências» exigidas, cabe à autoridade avaliadora; por isso, confirme a aceitação junto do seu avaliador.

Veredicto: Sim, com o consentimento do avaliador. Os critérios de independência e de «ir além da simples análise superficial» estão claramente preenchidos.

Referência: NIST SP 800-53 Rev. 5, controlo CA-8 (com CA-8(1) e CA-8(2)).

Decreto Presidencial n.º 14028 dos EUA

O requisito: Este decreto presidencial dos EUA deu origem ao Quadro de Desenvolvimento Seguro de Software (SSDF). O quadro inclui uma prática de teste de código executável para detetar vulnerabilidades, que abrange os testes dinâmicos, o fuzzing e os testes de penetração. Os fornecedores das agências federais dos EUA declaram, por meio de um formulário de atestado da CISA, que cumprem o quadro.

Os testes autónomos podem satisfazer esse requisito? Sim. O quadro é tecnologicamente neutro. Um teste de penetração autónomo é uma forma legítima de cumprir a prática de teste de código, e o seu relatório constitui a prova subjacente à auto-declaração.

Conclusão: Sim, não é necessário realizar testes manuais ou realizados por pessoas.

Referência: EO 14028, secção 4(e); práticas PW.8 e PW.8.2 do SSDF do NIST (SP 800-218); Formulário de Certificação de Desenvolvimento Seguro de Software da CISA (OMB M-22-18).

FedRAMP

O requisito: O FedRAMP exige a realização de um teste de penetração anual em todas as suas linhas de base, executado com base num conjunto obrigatório de vetores de ataque e realizado por uma organização de avaliação independente acreditada (uma 3PAO) para sistemas com classificação «Moderada» e «Elevada».

Os testes autónomos podem satisfazer esse requisito? Não. O teste de penetração subjacente a uma autorização FedRAMP, bem como o teste de penetração anual que a mantém, devem ser realizados por uma 3PAO acreditada. Um teste autónomo realizado por uma entidade que não seja uma 3PAO não será aceite num dossiê de autorização nem numa avaliação anual. Pode ser realizado entre esses processos como um teste de segurança adicional, mas não constitui prova para efeitos de autorização.

Conclusão: Não cumpre o requisito. Os testes de penetração devem ser realizados por uma organização externa acreditada.

Referência: Orientações do FedRAMP relativas aos testes de penetração; controlo CA-8 da norma NIST SP 800-53; acreditação 3PAO pela A2LA.

FISMA

O requisito: a FISMA baseia as suas expectativas em matéria de testes na norma NIST 800-53, aplicada através do Quadro de Gestão de Risco do NIST. O âmbito e o rigor são definidos pela agência e pela categorização do sistema.

Os testes autónomos podem satisfazer esse requisito? Em geral, sim, seguindo a mesma lógica do controlo NIST 800-53, sujeito aos requisitos de avaliação da agência. No caso de sistemas que também procurem obter uma autorização externa ao abrigo de regras relativas a avaliadores acreditados (como o FedRAMP), devem respeitar-se as restrições desse programa.

Conclusão: Sim, mas fica ao critério da agência.

Referência: FISMA através da norma NIST SP 800-53 (CA-8) e da norma NIST SP 800-37 (Quadro de Gestão de Risco).

Normas internacionais

SOC 2

O requisito: a norma SOC 2 não exige explicitamente um teste de penetração, mas os Critérios de Serviços de Confiança da AICPA (o organismo regulador responsável pela norma SOC 2) apontam para tal: o critério de monitorização menciona os testes de penetração como um método de avaliação aceitável, e o critério relativo à deteção de novas vulnerabilidades é apoiado por testes ativos. Na prática, os auditores esperam receber provas de testes de penetração, especialmente no caso de um relatório de Tipo II, dentro do período de auditoria, juntamente com provas das medidas corretivas e dos novos testes.

Os testes autónomos podem satisfazer esse requisito? Sim. Um teste realizado por uma entidade terceira independente constitui uma prova mais sólida do que um teste interno, e a formulação «avaliações contínuas ou separadas» aponta para a realização de testes contínuos.

Conclusão: Sim. Os testes contínuos correspondem diretamente às «avaliações contínuas».

Referência: Critérios de Serviços Fiduciários da AICPA CC4.1 e CC7.1

ISO/IEC 27001

O requisito: Alguns dos controlos do Anexo A da norma ISO 27001 constituem os pontos-chave: um relativo à gestão de vulnerabilidades técnicas, que exige «testes de penetração ou avaliações de vulnerabilidade planeados, documentados e repetíveis, realizados por pessoas competentes e autorizadas»; outro relativo aos testes de segurança nas fases de desenvolvimento e aceitação; e outro relativo ao ciclo de vida do desenvolvimento seguro.

Os testes autónomos podem satisfazer este requisito? Sim. A formulação da norma é praticamente uma descrição dos testes autónomos, e a reprodutibilidade está incorporada na forma como os agentes funcionam. Os auditores aceitam os testes automatizados e contínuos realizados por terceiros como prova neste contexto, e o relatório e a pista de auditoria fornecem a parte «documentada».

Conclusão: Sim. Os testes «repetíveis» encaixam-se na perfeição.

Referência: ISO/IEC 27001:2022, Anexo A; ISO/IEC 27002:2022, controlos 8.8, 8.25 e 8.29.

Regulamentos europeus

Diretiva NIS2

O requisito: A NIS2 exige que as organizações abrangidas pela norma tratem as vulnerabilidades e disponham de políticas para avaliar a eficácia das suas medidas de segurança. O regulamento de execução especifica isto através de gerenciamento de vulnerabilidades e gerenciamento de vulnerabilidades testes de segurança automatizados ou manuais, testes de penetração e análises de vulnerabilidades, realizados regularmente e após alterações significativas.

Os testes autónomos podem satisfazer este requisito? Sim, explicitamente. O regulamento de execução da NIS2 é um dos poucos instrumentos que menciona os testes automatizados e os testes de penetração como métodos aceitáveis. Os testes autónomos contínuos correspondem à formulação «de forma regular e após alterações significativas», e o relatório constitui prova tanto para as obrigações de gestão de vulnerabilidades como para as de avaliação da eficácia.

Conclusão: Sim. Os testes automatizados e de penetração estão expressamente previstos.

Referência: Diretiva NIS2 (UE) 2022/2555, artigo 21.º, n.º 2, alíneas e) e f); Regulamento de Execução (UE) 2024/2690, anexo, pontos 6.10 e 7.1.

GDPR

O requisito: O RGPD exige um processo para testar, analisar e avaliar regularmente a eficácia das suas medidas de segurança técnicas e organizacionais.

Os testes autónomos podem satisfazer esse requisito? Sim. O RGPD não impõe um método específico e dá ênfase à realização de testes regulares; por isso, os testes autónomos contínuos constituem uma demonstração mais sólida de um processo em curso do que um relatório anual em formato PDF. O relatório comprova tanto a realização dos testes como o ciclo de correção.

Conclusão: Sim, favorece os testes contínuos.

Referência: RGPD (Regulamento (UE) 2016/679), artigo 32.º, n.º 1, alínea d).

Lei de Ciber-Resiliência

O requisito: A CRA exige que os produtos com elementos digitais sejam colocados no mercado sem vulnerabilidades exploráveis conhecidas e que, no âmbito da gestão das vulnerabilidades ao longo do ciclo de vida do produto, sejam realizados testes e análises eficazes e regulares da segurança do produto.

Será que os testes autónomos podem satisfazer esses requisitos? Sim. Os testes «eficazes e regulares» são precisamente o que pentest autônomo contínuos e pentest autônomo ao longo de todo o ciclo de vida do produto, e o relatório corrobora tanto a obrigação de realizar testes como o requisito de «ausência de vulnerabilidades exploráveis conhecidas» no momento do lançamento.

Conclusão: Sim, os testes «regulares» favorecem os testes de penetração autónomos.

Referência: Lei de Ciber-Resiliência Regulamento (UE) n.º 2024/2847), Anexo I (Parte I e Parte II, ponto 3); artigo 13.º.

Compartilhar:

https://www.aikido.dev/blog/ai-pentesting-for-compliance

Assine para receber notícias

4.7/5
Cansado de falsos positivos?

Experimente Aikido como 100 mil outros.
Começar Agora
Obtenha um tour personalizado

Confiado por mais de 100 mil equipes

Agende Agora
Escaneie seu aplicativo em busca de IDORs e caminhos de ataque reais

Confiado por mais de 100 mil equipes

Iniciar Escaneamento
Veja como o pentest de IA testa seu aplicativo

Confiado por mais de 100 mil equipes

Iniciar Testes

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.