Uma Introdução à Análise de Vulnerabilidades e Pentest. Bernardo Bensusan Elise Cieza

Transcrição

1 Uma Introdução à Análise de Vulnerabilidades e Pentest Bernardo Bensusan Elise Cieza

2 Bernardo Bensusan Elise Cieza o o o Consultor na EY. + 4 anos de experiência com SI. Certificações: o CEH o ISO o LPIC o o o Consultora na EY. 1 ano de experiência com SI. Mestrado em Ciência da Computação na UFF.

3 AVISO: As opiniões e reflexões aqui expostas são de responsabilidades dos autores e não refletem a opinião de seus empregadores.

4 Agenda 1. Introdução 2. Motivação 3. Análise de Vulnerabilidade 4. Pentest 5. Hacker Ético

5 Introdução

6 ANÁLISE DE VULNERABILIDADE TESTE DE INTRUSÃO TESTE DE INVASÃO VULNERABILITY ASSESSMENT TESTE DE PENETRAÇÃO VULNERABILITY SCAN VULNERABILITY ANALYSIS PENETRATION TEST PENTEST

7 Motivação

8 Resultados de Pesquisa 597,9 K Análise de Vulnerabilidades 3,9M 1,7M 421,8 K Teste de Invasão 2,9M 1,1M

9 Milhões Valor Médio de Resultados de Análise de Vulnerabilidade e Pentest 3,5 3 3,4M Análise de Vulnerabilidade Vs. Pentest 2,5 2 1,5 1,4M 1 0, K 105K

10 Hot Topics Tema que gera dúvida Tema ainda é pouco explorado

11 Análise de Vulnerabilidade

12 Escopo

13 Escopo Planejamento Scan de Vulnerabilidades Reportar

14 O que esperar do resultado de uma Análise de Vulnerabilidade? É esperado... Saber qual o nível de exposição dos ativos analisados Saber quais são as vulnerabilidades mais críticas Abrangência. Não é esperado... Que as vulnerabilidades sejam exploradas Que sejam identificadas novas vulnerabilidades Conduta Antiética.

15 Teste de Invasão

16 Objetivos

17 Objetivos Nova Informação Obtenção de Acesso Levantamento de Informações Definir cenários de ataques Exploração Escalação de Privilégios Enumeração de Informações do Ativo Comprometido Manutenção do Acesso Reportar

18 O que esperar do resultado de um Teste de Invasão? É esperado... Um atacante externo não explore mais a vulnerabilidade reportada Entender como os objetivos do teste foram alcançados. Não é esperado... Abrangência Que os objetivos sejam sempre alcançados Conduta Antiética.

19 Análise de Vulnerabilidade Teste de Invasão Existe um escopo acordado a ser avaliado. Existem objetivos a serem alcançados Identificar as vulnerabilidades, classificar e reportar. Explorar vulnerabilidades de forma a atingir objetivo. Realizada periodicamente. Realizado pontualmente. Atividade que pode ser automatizada. Relatório com lista das vulnerabilidades detectadas e classificadas por criticidade. Atividade manual, depende do conhecimento técnico do profissional Relatório com descrição de cada vulnerabilidade, dos riscos e como foi explorada.

20 Hacker Ético

21 Hacker Ético Como?...são geralmente profissionais de segurança que usam suas habilidades e ferramentas com propósito de segurança e defesa Análises de vulnerabilidades Teste de Invasão Revisão de código fonte

22 Por quê as empresas contratam os serviços do hacker ético?

23 Qualidade nos serviços Perspectiva dos pontos fortes e pontos fracos Otimização do investimento em medidas de segurança Identificar se ativos estão protegidos adequadamente Identificar a capacidade de resposta e detecção da empresa Atender a requisitos legais (exemplo: PCI).

24 O que é Ética? Etimologia: Ethos - Bons costumes Ética é a investigação geral sobre aquilo que é bom. A Ética tem por objetivo facilitar a realização das pessoas. Que o ser humano chegue a realizar-se a sí mesmo como tal, isto é, como pessoa. (...) A Ética se ocupa e pretende a perfeição do ser humano.

25 Ética (ou bons costumes) A Ordem dos Advogados do Brasil possui um código de ética. Médicos, na ocasião de sua formação, fazem o juramento de Hipócrates. Contadores possuem código de ética próprio.

26 Ética (ou bons costumes) E os hackers éticos? A Ordem dos Advogados do Brasil possui um código de ética. Médicos, na ocasião de sua formação, fazem o juramento de Hipócrates. Contadores possuem código de ética próprio.

27 Compilação de princípios e regras para a atuação do hacker ético Código de ética do ISC 2 Experiência profissional dos palestrantes

28 Autorização Na ausência de autorização prévia configura-se crime, conforme Art. 154-A do Código Penal Brasileiro, acrescentado pela Lei nº de 30 de novembro de 2012: Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

29 Confidencialidade Assinatura de Non Disclosure Agreement (NDA) ou Termo de Confidencialidade Incluem cláusulas como: não divulgação de dados; proibição de cópia da informações; proibição de uso de know-how adquirido etc. As informações obtidas não devem ser utilizadas para benefício próprio.

30 Transparência Accountability - dever de prestar contas Ter registro das atividades realizadas Admitir erros cometidos Envio de status diários.

31 Postura profissional Evitar fazer check-ins, ou tirar fotos no ambiente do cliente Ser imparcial ao relatar/comentar resultados.

32 Precisão Ater-se ao escopo acordado Coletar evidências durante o teste Relatórios apurados: Quantas senhas foram obtidas Quais usuários foram utilizados Quais sistemas foram acessados Quais endereços IPs foram utilizados.

33 Considerações Finais

34 Referências utilizadas no final do material Material elaborado com base na experiência dos palestrantes e as referências Obrigado! É uma introdução ao tema de Análise de Vulnerabilidade e Pentest

35 Uma Introdução a Análise de Vulnerabilidades e Pentest Bernardo Bensusan Dúvidas? blanzab@gmail.com Elise Cieza Elise.Cieza@gmail.com

36 1. Understand the Types, Scope and Objectives of Penetration Testing, Gatner, Fevereiro de Penetration Testing Guidance, PCI Security Standards Council, Março de NIST SP , pages/brazil_forms/coe000.8r_code%20of%2 0ethics.pdf, ISC ISC Ethics Working Group minicurso06.pdf 9. o-de-etica-e-disciplina 10. Resolução CFC nº 803 de 10/10/ minicurso06.pdf