O documento discute a importância de testes de invasão para proteção de redes corporativas. Ele explica que tais testes simulam ataques para entender os reais riscos de segurança e ajudar a corrigir vulnerabilidades comuns como falta de atualizações, políticas de senha fracas e configurações inseguras de servidores. O documento também descreve problemas de segurança frequentes em cada uma dessas áreas e conclui que auditorias abrangentes são necessárias para identificar falhas básicas de segurança.
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Teste de Invasão para Proteção de Redes
1. Auditorias Teste de Invasão para
Proteção de Redes Corporativas
Henrique Soares
Clavis Segurança da Informação
henrique@clavis.com.br
2. $ whoami
• Analista do Grupo Clavis
• Mestre em Informática pela UFRJ
• Detecção e resposta a incidentes de
segurança
• Testes de invasão em redes, sistemas e
aplicações.
3. Introdução
Definição
“Avaliação da Segurança da Informação em
Redes, Sistemas ou Aplicações através da
simulação de Ataques”
4. Introdução
Por que fazer?
• Entender reais riscos presentes no seu negócio
• Conformidade com normas nacionais e
internacionais
• Homologação
5. Introdução
Principais causas de vulnerabilidades
• Ausência ou desrespeito à política de atualização
de software
• Ausência ou desrespeito à política de senhas
• Negligência na configuração de servidores
• Exposição de Informação
6. Política de Atualização
Do que se trata?
• Aplicação de correções de segurança
disponibilizadas
• Monitoramento da publicação de novas
vulnerabilidades
• Aplicação de medidas de mitigação (work
arounds)
7. Política de Atualização
Problemas de segurança
mais comuns
• Execução de código arbitrário
• Ataques de negação de serviço
• Ataques de injeção
8. Política de Senhas
Do que se trata?
• Controle da complexidade das credenciais
de acesso utilizadas
• Controle da frequência com que senhas
devem ser trocadas
9. Política de Senhas
Problemas de segurança
mais comuns
• Senhas padrão não modificadas
• Senhas baseadas em informações divulgadas
em meios públicos
10. Configuração de Servidores
Do que se trata?
• Aplicação das funcionalidades de segurança
oferecidas pelas aplicações
• Controle de quais aplicações estão em
execução nos ativos
• Monitoramento de funcionalidades com prazo
de validade
11. Configuração de Servidores
Problemas de segurança
mais comuns
• Community Names SNMP Padrão
• Vazamento de informação em diretórios
compartilhados
• BEAST Attack e Cifras Fracas
12. Exposição de Informação
Do que se trata?
• Falhas em Controles de Acesso
• Falha na Cultura de Segurança
• Divulgações Inadvertidas
13. Exposição de Informação
Problemas de segurança
mais comuns
• Descarte Inseguro
• Problemas de Autenticação / Autorização
• Postagens em Sites, Blogs, listas de discussão,
Mídias Sociais e etc.
• Anúncios de vagas e conhecimentos requeridos
14. Conclusões
Auditorias abrangentes para identificação de
falhas básicas
Ataques simples são responsáveis por
grande parte dos incidentes
Nível de Segurança X Complexidade dos
Ataques
17. Muito Obrigado!
Henrique Soares
Clavis Segurança da Informação
henrique@clavis.com.br
Notes de l'éditeur
Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL - Fórum Internacional de Software Livre, EnCSIRTs - Encontro de CSIRTs Acadêmicos, SegInfo - Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL - Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web, Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA. Tem especial interesse nas seguintes áreas: Análise forense computacional; Detecção e resposta a incidentes de segurança; Testes de invasão e auditorias de rede, sistemas e aplicações.