Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Carregar

Bem-vindo(a) ao Scribd!

  • 16 visualizações

    Identificando Vulnerabilidades Através Do Teste de Invasão: Samantha Nunes

    Enviado por

    Gabriel Braga
    O documento discute testes de invasão para identificar vulnerabilidades, incluindo preparação, coleta de dados, modelagem de ameaças, análise de vulnerabilidades e geração de relatórios. É importante realizar esses testes e corrigir vulnerabilidades para proteger a segurança da informação e evitar custos elevados em caso de violações.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd

    Identificando Vulnerabilidades Através Do Teste de Invasão: Samantha Nunes

    Enviado por

    Gabriel Braga
    16 visualizações61 páginas
    O documento discute testes de invasão para identificar vulnerabilidades, incluindo preparação, coleta de dados, modelagem de ameaças, análise de vulnerabilidades e geração de relatórios. É importante realizar esses testes e corrigir vulnerabilidades para proteger a segurança da informação e evitar custos elevados em caso de violações.

    Título original

    Untitled

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    O documento discute testes de invasão para identificar vulnerabilidades, incluindo preparação, coleta de dados, modelagem de ameaças, análise de vulnerabilidades e geração de relatórios. É importante realizar esses testes e corrigir vulnerabilidades para proteger a segurança da informação e evitar custos elevados em caso de violações.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Fazer download em pdf ou txt
    16 visualizações61 páginas

    Identificando Vulnerabilidades Através Do Teste de Invasão: Samantha Nunes

    Enviado por

    Gabriel Braga
    O documento discute testes de invasão para identificar vulnerabilidades, incluindo preparação, coleta de dados, modelagem de ameaças, análise de vulnerabilidades e geração de relatórios. É importante realizar esses testes e corrigir vulnerabilidades para proteger a segurança da informação e evitar custos elevados em caso de violações.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Fazer download em pdf ou txt
    de 61

    Identificando vulnerabilidades

    através do Teste de Invasão


    Samantha Nunes
    Sobre o que vamos ●

    Segurança da Informação
    Teste de Invasão

    falar?
    ● Ferramentas que podem ser utilizadas
    ● Próximos passos com base nos
    resultados do teste
    O que é segurança da Visa preservar a integridade,

    informação?
    confidencialidade e a disponibilidade
    da informação
    Por que Segurança da
    Informação é importante?
    Quanto tempo em
    média sua empresa leva 196 dias
    para identificar uma
    violação?

    Fonte: 2018 Cost of a Data Breach Study: Benchmark research sponsored


    by IBM Security Independently conducted by Ponemon Institute LLC
    Global Overview
    Custo por registro
    perdido ou roubado

    Fonte: 2018 Cost of a Data Breach Study: Benchmark research sponsored


    by IBM Security Independently conducted by Ponemon Institute LLC
    Global Overview
    Custo por registro perdido ou roubado por setor
    Reputação da
    organização
    E qual a raíz dos problemas?
    Distribuição por tipo de causa raíz
    Custo por tipo de causa raíz
    Teste de invasão
    O primeiro passo para identificar as vulnerabilidades
    Black box Gray Box White Box

    Sem
    Vestibulum congue Conhecimento
    Vestibulum congue Conhecimento
    Vestibulum congue tempustotal
    tempus tempus
    conhecimento parcial do alvo sobre o alvo
    Lorem ipsum dolor sit amet, Lorem ipsum dolor sit amet, Lorem ipsum dolor sit amet, consectetur
    sobre o adipiscing
    consectetur alvo elit, consectetur adipiscing elit, adipiscing elit, sed do eiusmod tempor. Ipsum
    sed do eiusmod tempor. sed do eiusmod tempor. dolor sit amet elit, sed do eiusmod tempor.

    Tipos de Teste de Invasão


    Preparação

    Coleta de dados

    Modelagem de ameaças

    Fases do teste Análise de Vulnerabilidades

    de invasão Exploração de falhas

    Pós exploração de falhas

    Geração de Relatório
    Preparação
    Compreender sobre a área de Alinhamento para evitar falhas
    atuação da empresa e sobre o de comunicação
    objetivo do testes de invasão
    O que pode ser testado?

    Preparação
    Compreender sobre a área de
    atuação da empresa e sobre o
    objetivo do testes de invasão
    Ao encontrar vulnerabilidade o
    teste deve continuar?

    Preparação
    Compreender sobre a área de
    atuação da empresa e sobre o
    objetivo do testes de invasão Dependendo das vulnerabilidades
    exploradas, podem ser expostas
    informações estratégicas
    Preparação ● Quem está autorizado a
    realizar os testes?
    ● Caso algo inesperado ocorra,
    Compreender sobre a área de quem deve ser acionado?
    atuação da empresa e sobre o ● Pode utilizar engenharia
    objetivo do testes de invasão social?
    Elo fraco da segurança
    da informação
    Engenharia social
    a arte de enganar
    Ação de tentar obter informações ou influenciar alguém a realizar
    alguma ação apoiando-se na confiança de outras pessoas
    Phishing
    Coleta de Vagas de emprego

    informação Através de vagas de emprego,


    dependendo do detalhamento, é
    possível compreender toda a
    O objetivo dessa fase é conhecer
    infraestrutura e sistemas utilizados
    o alvo
    Google Hacking
    Encontrar arquivos dentro de sites,
    páginas que deveriam ser
    secretas
    backup filetype:sql

    Usando Filetype é possível encontrar


    arquivos com extensões específicas
    +site: gov.br
    +filetype:sql
    +password
    Robots.txt

    Controlam permissões de
    acesso a determinadas
    páginas ou pastas dos sites.

    O robots.txt controla qual


    informação de um site deve
    ou não deve ser indexada
    pelos sites de busca.
    Modelagem de
    ameaças
    As informações encontradas na
    fase de coleta de informações
    serão utilizadas como base para
    analisar como poderia ocorrer
    um ataque
    Análise de
    Vulnerabilidades []

    Analisar e identificar as
    vulnerabilidades
    Análise manual
    Exploração de
    falhas Nessa fase são executados exploits

    Dados, comandos ou códigos


    As informações encontradas na executáveis capazes de aproveitar
    fase de coleta de informações as vulnerabilidades de sistemas
    serão utilizadas como base para
    analisar como poderia ocorrer
    um ataque
    Demonstração
    SQL Injection
    Pós exploração de Avaliar quais dessas
    falhas vulnerabilidades são relevantes
    para a organização

    Analisar as informações sobre o


    sistema invadido e são verificadas
    o que é possível realizar com o
    acesso adquirido
    Geração de
    Incluir todos os dados sobre as
    vulnerabilidades e avaliar quanto

    relatórios
    a criticidade
    Recebi o relatório
    e agora?
    Plano de ação
    Ter uma gestão de
    incidentes e
    vulnerabilidades
    definida
    Time de Segurança da
    Informação
    Ter um membro de cada time da
    Comitê de segurança da organização

    informação
    Tem um plano de
    Com o plano é possível economizar
    mais de US $340.000 por violação em

    resposta a incidentes média

    Fonte: 2018 Cost of a Data Breach Study: Benchmark research sponsored


    by IBM Security Independently conducted by Ponemon Institute LLC
    Global Overview
    O ataque tem fases e é um momento
    de pânico, por isso é importante ter os
    Resposta a Incidentes procedimentos prontos necessários
    para agir e minimizar impactos
    Gerenciamento de
    continuidade do É possível economizar mais de US $13
    por violação em média
    negócio

    Fonte: 2018 Cost of a Data Breach Study: Benchmark research sponsored


    by IBM Security Independently conducted by Ponemon Institute LLC
    Global Overview
    Política de segurança
    da Informação
    Conscientização
    Proteção de dados
    Lei geral de proteção de dados
    (LGPD)
    Referências e atribuições Livros

    Cursos Udemy
    Referências e atribuições

    Imagens

    2018 Cost of a Data Breach Study: Benchmark research


    Artigos sponsored by IBM Security Independently conducted by
    Ponemon Institute LLC Global Overview
    http://bit.ly/2IghzZX

    Obrigada!
    Samantha Nunes
    @samanthamoraisn

    Você também pode gostar