Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Carregar

Bem-vindo(a) ao Scribd!

  • 62 visualizações

    Analise Vulnerabilidades Pentest

    Enviado por

    hudsonneffy
    Este documento fornece uma introdução à análise de vulnerabilidades e pentest, discutindo os tipos, escopo e objetivos de cada um. Também aborda conceitos como hacker ético, ética, autorização e considerações para a atuação profissional nesta área.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd

    Analise Vulnerabilidades Pentest

    Enviado por

    hudsonneffy
    62 visualizações36 páginas
    Este documento fornece uma introdução à análise de vulnerabilidades e pentest, discutindo os tipos, escopo e objetivos de cada um. Também aborda conceitos como hacker ético, ética, autorização e considerações para a atuação profissional nesta área.

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Este documento fornece uma introdução à análise de vulnerabilidades e pentest, discutindo os tipos, escopo e objetivos de cada um. Também aborda conceitos como hacker ético, ética, autorização e considerações para a atuação profissional nesta área.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Fazer download em pdf ou txt
    62 visualizações36 páginas

    Analise Vulnerabilidades Pentest

    Enviado por

    hudsonneffy
    Este documento fornece uma introdução à análise de vulnerabilidades e pentest, discutindo os tipos, escopo e objetivos de cada um. Também aborda conceitos como hacker ético, ética, autorização e considerações para a atuação profissional nesta área.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Fazer download em pdf ou txt
    de 36

    Uma Introdução à Análise de

    Vulnerabilidades e Pentest

    Bernardo Bensusan
    Elise Cieza
    Bernardo Bensusan Elise Cieza

    o Consultor na EY. o Consultora na EY.


    o + 4 anos de o 1 ano de
    experiência com experiência com
    SI. SI.
    o Certificações: o Mestrado em
    o CEH Ciência da
    o ISO 27002 Computação na
    o LPIC UFF.
    AVISO:

    As opiniões e reflexões aqui expostas são de


    responsabilidades dos autores e não refletem
    a opinião de seus empregadores.
    Agenda
    1. Introdução
    2. Motivação
    3. Análise de Vulnerabilidade
    4. Pentest
    5. Hacker Ético
    Introdução
    TESTE DE
    INTRUSÃO
    ANÁLISE DE
    VULNERABILIDADE TESTE DE INVASÃO

    VULNERABILITY
    TESTE DE
    ASSESSMENT
    PENETRAÇÃO

    VULNERABILITY SCAN
    PENETRATION TEST
    PENTEST
    VULNERABILITY ANALYSIS
    Motivação
    Resultados de Pesquisa

    597,9 K

    Análise de Vulnerabilidades 3,9M

    1,7M

    421,8 K

    Teste de Invasão 2,9M

    1,1M
    Análise de Vulnerabilidade Vs.
    Valor Médio de Resultados de Análise de Vulnerabilidade e Pentest
    Pentest
    3,5

    3,4M
    3

    2,5

    2
    Milhões

    1,5 1,4M

    509K
    0,5
    105K
    105K
    0
    Tema que Tema ainda é
    gera dúvida pouco
    Hot Topics explorado
    Análise de Vulnerabilidade
    Escopo
    Escopo

    Planejamento Scan de
    Reportar
    Vulnerabilidades
    O que esperar do resultado de uma Análise de
    Vulnerabilidade?
    É esperado... Não é esperado...

     Saber qual o nível de × Que as


    exposição dos ativos vulnerabilidades
    analisados sejam exploradas
     Saber quais são as × Que sejam
    vulnerabilidades mais identificadas novas
    críticas vulnerabilidades
     Abrangência. × Conduta Antiética.
    Teste de Invasão
    Objetivos
    Objetivos
    Nova Informação

    Obtenção de Acesso

    Escalação de Privilégios
    Levantamento Definir cenários
    de de ataques Exploração
    Informações Enumeração de Informações do Ativo
    Comprometido

    Manutenção do Acesso

    Reportar
    O que esperar do resultado de um Teste de
    Invasão?
    É esperado... Não é esperado...

     Um atacante externo × Abrangência


    não explore mais a × Que os objetivos sejam
    vulnerabilidade sempre alcançados
    reportada × Conduta Antiética.
     Entender como os
    objetivos do teste
    foram alcançados.
    Análise de Vulnerabilidade Teste de Invasão

    Existe um escopo acordado a ser avaliado. Existem objetivos a serem alcançados

    Identificar as vulnerabilidades, classificar e Explorar vulnerabilidades de forma a atingir


    reportar. objetivo.

    Realizada periodicamente. Realizado pontualmente.

    Atividade manual, depende do conhecimento


    Atividade que pode ser automatizada.
    técnico do profissional

    Relatório com descrição de cada


    Relatório com lista das vulnerabilidades
    vulnerabilidade, dos riscos e como foi
    detectadas e classificadas por criticidade.
    explorada.
    Hacker Ético
    Hacker Ético Como?

    “...são geralmente Revisão de


    Análises de
    profissionais de código fonte
    vulnerabilidades
    segurança que usam
    suas habilidades e
    ferramentas com
    propósito de segurança Teste de
    Invasão
    e defesa…”
    Por quê as
    empresas
    contratam os
    serviços do hacker
    ético?
    • Qualidade nos serviços
    • Perspectiva dos pontos fortes e pontos
    fracos
    • Otimização do investimento em medidas
    de segurança
    • Identificar se ativos estão protegidos
    adequadamente
    • Identificar a capacidade de resposta e
    detecção da empresa
    • Atender a requisitos legais (exemplo: PCI).
    O que é Ética?

     Etimologia: Ethos - Bons costumes


     “Ética é a investigação geral sobre aquilo que é bom.”
     “A Ética tem por objetivo facilitar a realização das pessoas.
    Que o ser humano chegue a realizar-se a sí mesmo como
    tal, isto é, como pessoa. (...) A Ética se ocupa e pretende a
    perfeição do ser humano.”
    Ética (ou bons costumes)
    A Ordem dos Advogados do Brasil
    possui um código de ética.
    Médicos, na ocasião de sua
    formação, fazem o juramento de
    Hipócrates.
    Contadores possuem código de ética
    próprio.
    Ética (ou bons costumes)
    A Ordem dos Advogados do Brasil
    possui um código de ética.
    Médicos, na ocasião de sua
    formação, fazem o juramento de
    Hipócrates.
    Contadores possuem código de
    ética próprio.
    E os hackers éticos?
    Código de ética
    do ISC2
    Compilação de
    princípios e
    regras para a
    atuação do
    hacker ético
    Experiência
    profissional dos
    palestrantes
    Autorização
    Na ausência de autorização prévia configura-se crime, conforme
    Art. 154-A do Código Penal Brasileiro, acrescentado pela Lei nº
    12.737 de 30 de novembro de 2012:
    Art. 154-A. Invadir dispositivo informático
    alheio, conectado ou não à rede de
    computadores, mediante violação indevida de
    mecanismo de segurança e com o fim de obter,
    adulterar ou destruir dados ou informações sem
    autorização expressa ou tácita do titular do
    dispositivo ou instalar vulnerabilidades para
    obter vantagem ilícita:

    Pena - detenção, de 3 (três) meses a 1 (um)


    ano, e multa.
    Confidencialidade
    Assinatura de Non Disclosure Agreement (NDA) ou
    Termo de Confidencialidade

    Incluem cláusulas como: não divulgação de dados; proibição de cópia da


    informações; proibição de uso de know-how adquirido etc.

    As informações obtidas não devem ser utilizadas para benefício próprio.


    Transparência

    Accountability - dever de prestar contas

    Ter registro das atividades realizadas

    Admitir erros cometidos

    Envio de status diários.


    Postura profissional

    Evitar fazer check-ins, ou tirar fotos no


    ambiente do cliente
    Ser imparcial ao relatar/comentar resultados.
    Precisão

    Ater-se ao escopo acordado


    Coletar evidências durante o teste
    Relatórios apurados:
     Quantas senhas foram obtidas
     Quais usuários foram utilizados
     Quais sistemas foram acessados
     Quais endereços IPs foram utilizados.
    Considerações Finais
    Material elaborado com
    Referências base na experiência
    utilizadas no final dos palestrantes e as
    do material referências

    Obrigado!

    É uma introdução
    ao tema de Análise
    de Vulnerabilidade e
    Pentest
    Uma Introdução a Análise de
    Vulnerabilidades e Pentest

    Bernardo Bensusan
    blanzab@gmail.com
    Dúvidas?

    Elise Cieza
    Elise.Cieza@gmail.com
    1. Understand the Types, Scope and Objectives
    of Penetration Testing, Gatner, Fevereiro de
    2016.
    2. Penetration Testing Guidance, PCI Security
    Standards Council, Março de 2015.
    3. NIST SP800-115, 2008.
    4. https://www.isc2.org/uploadedfiles/landing_
    pages/brazil_forms/coe000.8r_code%20of%2
    0ethics.pdf, ISC2.
    5. https://www.isc2.org/ethics-complaint-
    procedures.aspx, ISC2.
    6. http://ethics-wg.org/framework.html, Ethics
    Working Group.
    7. https://www.ufrgs.br/bioetica/etica.htm
    8. http://www.eripi.ufpi.br/images/Minicursos/
    minicurso06.pdf
    9. http://www.oab.org.br/visualizador/19/codig
    o-de-etica-e-disciplina
    10. Resolução CFC nº 803 de 10/10/1996
    11. http://www.eripi.ufpi.br/images/Minicursos/
    minicurso06.pdf

    Você também pode gostar