Uma Introdução à Análise de Vulnerabilidades e Pentest Bernardo Bensusan Elise Cieza
Bernardo Bensusan Elise Cieza o o o Consultor na EY. + 4 anos de experiência com SI. Certificações: o CEH o ISO 27002 o LPIC o o o Consultora na EY. 1 ano de experiência com SI. Mestrado em Ciência da Computação na UFF.
AVISO: As opiniões e reflexões aqui expostas são de responsabilidades dos autores e não refletem a opinião de seus empregadores.
Agenda 1. Introdução 2. Motivação 3. Análise de Vulnerabilidade 4. Pentest 5. Hacker Ético
Introdução
ANÁLISE DE VULNERABILIDADE TESTE DE INTRUSÃO TESTE DE INVASÃO VULNERABILITY ASSESSMENT TESTE DE PENETRAÇÃO VULNERABILITY SCAN VULNERABILITY ANALYSIS PENETRATION TEST PENTEST
Motivação
Resultados de Pesquisa 597,9 K Análise de Vulnerabilidades 3,9M 1,7M 421,8 K Teste de Invasão 2,9M 1,1M
Milhões Valor Médio de Resultados de Análise de Vulnerabilidade e Pentest 3,5 3 3,4M Análise de Vulnerabilidade Vs. Pentest 2,5 2 1,5 1,4M 1 0,5 0 509K 105K
Hot Topics Tema que gera dúvida Tema ainda é pouco explorado
Análise de Vulnerabilidade
Escopo
Escopo Planejamento Scan de Vulnerabilidades Reportar
O que esperar do resultado de uma Análise de Vulnerabilidade? É esperado... Saber qual o nível de exposição dos ativos analisados Saber quais são as vulnerabilidades mais críticas Abrangência. Não é esperado... Que as vulnerabilidades sejam exploradas Que sejam identificadas novas vulnerabilidades Conduta Antiética.
Teste de Invasão
Objetivos
Objetivos Nova Informação Obtenção de Acesso Levantamento de Informações Definir cenários de ataques Exploração Escalação de Privilégios Enumeração de Informações do Ativo Comprometido Manutenção do Acesso Reportar
O que esperar do resultado de um Teste de Invasão? É esperado... Um atacante externo não explore mais a vulnerabilidade reportada Entender como os objetivos do teste foram alcançados. Não é esperado... Abrangência Que os objetivos sejam sempre alcançados Conduta Antiética.
Análise de Vulnerabilidade Teste de Invasão Existe um escopo acordado a ser avaliado. Existem objetivos a serem alcançados Identificar as vulnerabilidades, classificar e reportar. Explorar vulnerabilidades de forma a atingir objetivo. Realizada periodicamente. Realizado pontualmente. Atividade que pode ser automatizada. Relatório com lista das vulnerabilidades detectadas e classificadas por criticidade. Atividade manual, depende do conhecimento técnico do profissional Relatório com descrição de cada vulnerabilidade, dos riscos e como foi explorada.
Hacker Ético
Hacker Ético Como?...são geralmente profissionais de segurança que usam suas habilidades e ferramentas com propósito de segurança e defesa Análises de vulnerabilidades Teste de Invasão Revisão de código fonte
Por quê as empresas contratam os serviços do hacker ético?
Qualidade nos serviços Perspectiva dos pontos fortes e pontos fracos Otimização do investimento em medidas de segurança Identificar se ativos estão protegidos adequadamente Identificar a capacidade de resposta e detecção da empresa Atender a requisitos legais (exemplo: PCI).
O que é Ética? Etimologia: Ethos - Bons costumes Ética é a investigação geral sobre aquilo que é bom. A Ética tem por objetivo facilitar a realização das pessoas. Que o ser humano chegue a realizar-se a sí mesmo como tal, isto é, como pessoa. (...) A Ética se ocupa e pretende a perfeição do ser humano.
Ética (ou bons costumes) A Ordem dos Advogados do Brasil possui um código de ética. Médicos, na ocasião de sua formação, fazem o juramento de Hipócrates. Contadores possuem código de ética próprio.
Ética (ou bons costumes) E os hackers éticos? A Ordem dos Advogados do Brasil possui um código de ética. Médicos, na ocasião de sua formação, fazem o juramento de Hipócrates. Contadores possuem código de ética próprio.
Compilação de princípios e regras para a atuação do hacker ético Código de ética do ISC 2 Experiência profissional dos palestrantes
Autorização Na ausência de autorização prévia configura-se crime, conforme Art. 154-A do Código Penal Brasileiro, acrescentado pela Lei nº 12.737 de 30 de novembro de 2012: Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
Confidencialidade Assinatura de Non Disclosure Agreement (NDA) ou Termo de Confidencialidade Incluem cláusulas como: não divulgação de dados; proibição de cópia da informações; proibição de uso de know-how adquirido etc. As informações obtidas não devem ser utilizadas para benefício próprio.
Transparência Accountability - dever de prestar contas Ter registro das atividades realizadas Admitir erros cometidos Envio de status diários.
Postura profissional Evitar fazer check-ins, ou tirar fotos no ambiente do cliente Ser imparcial ao relatar/comentar resultados.
Precisão Ater-se ao escopo acordado Coletar evidências durante o teste Relatórios apurados: Quantas senhas foram obtidas Quais usuários foram utilizados Quais sistemas foram acessados Quais endereços IPs foram utilizados.
Considerações Finais
Referências utilizadas no final do material Material elaborado com base na experiência dos palestrantes e as referências Obrigado! É uma introdução ao tema de Análise de Vulnerabilidade e Pentest
Uma Introdução a Análise de Vulnerabilidades e Pentest Bernardo Bensusan Dúvidas? blanzab@gmail.com Elise Cieza Elise.Cieza@gmail.com
1. Understand the Types, Scope and Objectives of Penetration Testing, Gatner, Fevereiro de 2016. 2. Penetration Testing Guidance, PCI Security Standards Council, Março de 2015. 3. NIST SP800-115, 2008. 4. https://www.isc2.org/uploadedfiles/landing_ pages/brazil_forms/coe000.8r_code%20of%2 0ethics.pdf, ISC2. 5. https://www.isc2.org/ethics-complaintprocedures.aspx, ISC2. 6. http://ethics-wg.org/framework.html, Ethics Working Group. 7. https://www.ufrgs.br/bioetica/etica.htm 8. http://www.eripi.ufpi.br/images/minicursos/ minicurso06.pdf 9. http://www.oab.org.br/visualizador/19/codig o-de-etica-e-disciplina 10. Resolução CFC nº 803 de 10/10/1996 11. http://www.eripi.ufpi.br/images/minicursos/ minicurso06.pdf