Uma Introdução à Análise de Vulnerabilidades e Pentest. Bernardo Bensusan Elise Cieza

Documentos relacionados
Direito digital e código penal. Prof. Nataniel Vieira

ARQUIVOLOGIA. Legislação Arquivística. Parte 3. Excertos (Constituição, Código Cicvil e Código Penal) Prof. Antonio Botão

Políticas de Segurança

Daniel Moreno. Novatec

PROVA DISCURSIVA P 4

PROVA DISCURSIVA - DIREITO ANTES DE FAZER A PROVA, LEIA COM ATENÇÃO AS INSTRUÇÕES ABAIXO:

O tratamento penal dos crimes digitais no Brasil

Forense em RAM Identificando Malware

Rabobank Segurança Cibernética

Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini /

SEGURANÇA DE SISTEMAS E REDES. TÁSSIO JOSÉ GONÇALVES GOMES

Segurança Informática em Redes e Sistemas

PROFISSÃO PENTESTER (ETHICAL HACKER) marcosflavio.com.br

PLANO DE CURSO. Formação para Profissionais. PORTUGAL ANGOLA MOÇAMBIQUE CABO VERDE SÃO TOMÉ E PRÍNCIPE BRASIL

Manual de Direito Digital

Introdução em Segurança de Redes

Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi

Soluções de cibersegurança para sistemas de segurança electrónica

Cyber Security Novas Tecnologias com Novos Riscos Visões Preventiva e Legal

3/9/2011. Segurança da Informação. Segurança da Informação. O que é Segurança e seguro? Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas

Crimes Digitais.

GTER-34: II Semana da Infraestrutura da Internet no Brasil. Questões Jurídicas Atuais da Segurança da Informação

Petter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional

Noções de Direito e Legislação em Informática

CRIMES CONTRA A LIBERDADE INDIVIDUAL

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de alterações da Versão 3.0 para a 3.1 do PCI DSS

Ativos Críticos: Habilidades Recursos

Gerenciamento e Interoperabilidade de Redes

Política de Tratamento de Incidentes de Segurança da Informação da UFRGS

Declaração de Segurança

ASPECTOS GERAIS DA CONSUMERIZAÇÃO BYOD. Bruna Manhago Serro Advogada

TÓPICOS ESPECIAIS II

TECNOLOGIA DA INFORMAÇÃO

Direito Penal. Crimes contra a propriedade imaterial. Prof.ª Maria Cristina

Também conhecidos como programas. Conjunto de instruções organizadas que o processador irá executar. É o software que torna o computador útil.

UNIVERSIDADE DO VALE DO ITAJAÍ UNIVALI CENTRO DE CIÊNCIAS JURÍDICAS E SOCIAIS CURSO DE DIREITO UNIDADE KOBRASOL

Miriane Aparecida Batista Instituto Federal do Triângulo Mineiro Campus Paracatu Tecnólogo em Análises e Desenvolvimento de Sistemas. Cert.

(...) SEÇÃO III DOS CRIMES CONTRA A INVIOLABILIDADE DO SISTEMA INFORMÁTICO

ITAÚ UNIBANCO HOLDING S.A.

Simulado Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

Redes de Computadores Turma : TADS M

WEBINAR Resolução 4658 BACEN

SSC120 - Sistemas de Informação Segurança em Sistemas de Informação

Segurança da Informação

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

Legislação Aplicada a Informática. Alberto Felipe Friedrichs Barros

INTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

INSTRUMENTO ADITIVO AO CONTRATO DE TRABALHO

I Workshop de Tecnologias de Redes do PoP-RR. Análise Forense Digital. Ronnei Rodrigues PoP-RR

PORTFÓLIO DE SERVIÇOS E SOLUÇÕES. Departamento Comercial DOCUMENTO PÚBLICO RESTRIÇÃO: SEM RESTRIÇÃO

POLÍTICA DE SEGURANÇA CIBERTNÉTICA, SEGURANÇA DE INFORMAÇÃO E CONTINUIDADE.

A consciência digital, independente da idade, é o caminho mais seguro para o bom uso da internet, sujeita às mesmas regras de ética, educação e

COMITÊ DE OPERAÇÕES REGIMENTO INTERNO

Pentest Profissional KEEP LEARNING

OS RISCOS CIBERNÉTICOS NA AGENDA DAS CORPORAÇÕES BRASIL E GLOBAL. Cyber Insurance

VISÃO GERAL SOBRE A. LEI Nº /2012 ( Lei Carolina Dieckmann )

O objetivo do Aplicativo Vinil é divulgar a cultura, música e artistas respeitando os interesses dos envolvidos.

HACKEAR SITES BRUNA POSSATY LUDMYLLA MIRELLA VITÓRIA CRUZ

Inicialmente as redes passaram a ser utilizadas principalmente para o compartilhamento de periféricos, principalmente discos rígidos.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Especialista fala sobre riscos cibernéticos, principais coberturas e como se prevenir contra ataques

Gerência de Redes Áreas Carlos Gustavo Araújo da Rocha. Gerência de Redes

POLÍTICA CONHEÇA SEU COLABORADOR

Segurança de redes com Backtrack

Segurança da Informação

DIREITO DA SOCIEDADE DA INFORMAÇÃO

Introdução a Segurança da Informação

Processo de Desenvolvimento. Prof. Paulo Cesar F. de Oliveira, BSc, PhD

Segurança em Computadores. <Nome> <Instituição> < >

Projeto de Lei N 84/99

Segurança - Conceitos Básicos. Conceitos Básicos. Segurança. Mundo Virtual X Mundo Real 18/08/11. Segurança em Redes de Computadores

INSTITUTO DE SERVIÇOS EDUCACIONAIS VALE DO PARANAPANEMA LTDA CNPJ: / FACULDADES INTEGRADAS DE TAGUAÍ

Propriedade Intelectual. Noções preliminares para empreendedores

Código de Conduta Ética e Profissional

Segurança da Informação

COMITÊ DE RECURSOS HUMANOS REGIMENTO INTERNO

Ferramentas de Pentest

CURSO DE COMPLIANCE RIO DE JANEIRO

Segurança e Controle em Sistemas de Informação. Profa. Ellen Francine ICMC-USP

Segurança da informação

Público-Alvo (Áreas envolvidas)

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

POLÍTICA DE PRIVACIDADE Trust Dashboard

GIS-P-ISP-09. Procedimento de Classificação da Informação

Segurança de Redes. Gestão de Segurança da Informação. Prof. João Henrique Kleinschmidt

Transcrição:

Uma Introdução à Análise de Vulnerabilidades e Pentest Bernardo Bensusan Elise Cieza

Bernardo Bensusan Elise Cieza o o o Consultor na EY. + 4 anos de experiência com SI. Certificações: o CEH o ISO 27002 o LPIC o o o Consultora na EY. 1 ano de experiência com SI. Mestrado em Ciência da Computação na UFF.

AVISO: As opiniões e reflexões aqui expostas são de responsabilidades dos autores e não refletem a opinião de seus empregadores.

Agenda 1. Introdução 2. Motivação 3. Análise de Vulnerabilidade 4. Pentest 5. Hacker Ético

Introdução

ANÁLISE DE VULNERABILIDADE TESTE DE INTRUSÃO TESTE DE INVASÃO VULNERABILITY ASSESSMENT TESTE DE PENETRAÇÃO VULNERABILITY SCAN VULNERABILITY ANALYSIS PENETRATION TEST PENTEST

Motivação

Resultados de Pesquisa 597,9 K Análise de Vulnerabilidades 3,9M 1,7M 421,8 K Teste de Invasão 2,9M 1,1M

Milhões Valor Médio de Resultados de Análise de Vulnerabilidade e Pentest 3,5 3 3,4M Análise de Vulnerabilidade Vs. Pentest 2,5 2 1,5 1,4M 1 0,5 0 509K 105K

Hot Topics Tema que gera dúvida Tema ainda é pouco explorado

Análise de Vulnerabilidade

Escopo

Escopo Planejamento Scan de Vulnerabilidades Reportar

O que esperar do resultado de uma Análise de Vulnerabilidade? É esperado... Saber qual o nível de exposição dos ativos analisados Saber quais são as vulnerabilidades mais críticas Abrangência. Não é esperado... Que as vulnerabilidades sejam exploradas Que sejam identificadas novas vulnerabilidades Conduta Antiética.

Teste de Invasão

Objetivos

Objetivos Nova Informação Obtenção de Acesso Levantamento de Informações Definir cenários de ataques Exploração Escalação de Privilégios Enumeração de Informações do Ativo Comprometido Manutenção do Acesso Reportar

O que esperar do resultado de um Teste de Invasão? É esperado... Um atacante externo não explore mais a vulnerabilidade reportada Entender como os objetivos do teste foram alcançados. Não é esperado... Abrangência Que os objetivos sejam sempre alcançados Conduta Antiética.

Análise de Vulnerabilidade Teste de Invasão Existe um escopo acordado a ser avaliado. Existem objetivos a serem alcançados Identificar as vulnerabilidades, classificar e reportar. Explorar vulnerabilidades de forma a atingir objetivo. Realizada periodicamente. Realizado pontualmente. Atividade que pode ser automatizada. Relatório com lista das vulnerabilidades detectadas e classificadas por criticidade. Atividade manual, depende do conhecimento técnico do profissional Relatório com descrição de cada vulnerabilidade, dos riscos e como foi explorada.

Hacker Ético

Hacker Ético Como?...são geralmente profissionais de segurança que usam suas habilidades e ferramentas com propósito de segurança e defesa Análises de vulnerabilidades Teste de Invasão Revisão de código fonte

Por quê as empresas contratam os serviços do hacker ético?

Qualidade nos serviços Perspectiva dos pontos fortes e pontos fracos Otimização do investimento em medidas de segurança Identificar se ativos estão protegidos adequadamente Identificar a capacidade de resposta e detecção da empresa Atender a requisitos legais (exemplo: PCI).

O que é Ética? Etimologia: Ethos - Bons costumes Ética é a investigação geral sobre aquilo que é bom. A Ética tem por objetivo facilitar a realização das pessoas. Que o ser humano chegue a realizar-se a sí mesmo como tal, isto é, como pessoa. (...) A Ética se ocupa e pretende a perfeição do ser humano.

Ética (ou bons costumes) A Ordem dos Advogados do Brasil possui um código de ética. Médicos, na ocasião de sua formação, fazem o juramento de Hipócrates. Contadores possuem código de ética próprio.

Ética (ou bons costumes) E os hackers éticos? A Ordem dos Advogados do Brasil possui um código de ética. Médicos, na ocasião de sua formação, fazem o juramento de Hipócrates. Contadores possuem código de ética próprio.

Compilação de princípios e regras para a atuação do hacker ético Código de ética do ISC 2 Experiência profissional dos palestrantes

Autorização Na ausência de autorização prévia configura-se crime, conforme Art. 154-A do Código Penal Brasileiro, acrescentado pela Lei nº 12.737 de 30 de novembro de 2012: Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

Confidencialidade Assinatura de Non Disclosure Agreement (NDA) ou Termo de Confidencialidade Incluem cláusulas como: não divulgação de dados; proibição de cópia da informações; proibição de uso de know-how adquirido etc. As informações obtidas não devem ser utilizadas para benefício próprio.

Transparência Accountability - dever de prestar contas Ter registro das atividades realizadas Admitir erros cometidos Envio de status diários.

Postura profissional Evitar fazer check-ins, ou tirar fotos no ambiente do cliente Ser imparcial ao relatar/comentar resultados.

Precisão Ater-se ao escopo acordado Coletar evidências durante o teste Relatórios apurados: Quantas senhas foram obtidas Quais usuários foram utilizados Quais sistemas foram acessados Quais endereços IPs foram utilizados.

Considerações Finais

Referências utilizadas no final do material Material elaborado com base na experiência dos palestrantes e as referências Obrigado! É uma introdução ao tema de Análise de Vulnerabilidade e Pentest

Uma Introdução a Análise de Vulnerabilidades e Pentest Bernardo Bensusan Dúvidas? blanzab@gmail.com Elise Cieza Elise.Cieza@gmail.com

1. Understand the Types, Scope and Objectives of Penetration Testing, Gatner, Fevereiro de 2016. 2. Penetration Testing Guidance, PCI Security Standards Council, Março de 2015. 3. NIST SP800-115, 2008. 4. https://www.isc2.org/uploadedfiles/landing_ pages/brazil_forms/coe000.8r_code%20of%2 0ethics.pdf, ISC2. 5. https://www.isc2.org/ethics-complaintprocedures.aspx, ISC2. 6. http://ethics-wg.org/framework.html, Ethics Working Group. 7. https://www.ufrgs.br/bioetica/etica.htm 8. http://www.eripi.ufpi.br/images/minicursos/ minicurso06.pdf 9. http://www.oab.org.br/visualizador/19/codig o-de-etica-e-disciplina 10. Resolução CFC nº 803 de 10/10/1996 11. http://www.eripi.ufpi.br/images/minicursos/ minicurso06.pdf

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback