Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?

•

0 j'aime•2,432 vues

Este documento discute como um teste de invasão pode ajudar um gestor de segurança da informação. Ele explica o que é um teste de invasão, as abordagens e etapas envolvidas e os benefícios que podem ser obtidos, como conhecer riscos não mapeados e avaliar a cultura de segurança da empresa. O gestor Carlos decide contratar um teste de invasão para mudar a situação em sua empresa e obter mais investimento e visibilidade para a área de segurança.

Technologie

UM TESTE DE INVASÃO PODE
AJUDAR O GESTOR DE SI?

Por Luiz Felipe Ferreira

Este é Carlos,
um Gestor de
Segurança da
Informação

Diariamente, convive com muitos
desafios que dificultam o seu trabalho

Na empresa onde
trabalha, há
pouco
investimento em
Segurança e as
ações são sempre
reativas

Ele não
consegue ter
visibilidade das
ameaças
importantes
para o negócio

Não é fácil calcular o ROI e
mostrar o valor da sua área para a
alta direção

Ele precisa mudar o jogo.
Ele decide contratar um Teste de Invasão.

O que é um Teste
de Invasão?
Conjunto de
técnicas usadas para
verificar as
vulnerabilidades e
os riscos de sistemas
ou redes
O objetivo é a
obtenção das
informações

TESTE DE INVASÃO

ANÁLISE DE
VULNERABILIDADES

Expõe falhas não
convencionais

Expõe falhas
conhecidas

Uso de criatividade
para desviar dos
controles
Determina o risco
real das
vulnerabilidades

≠

Uso de ferramentas
automatizadas
Possíveis falsos
positivos

BlackBox

GreyBox

WhiteBox

Simula uma
situação real
de uma
invasão

Verifica se há
erros em
permissões
da rede

Analisa até o
código fonte
das
aplicações

Acesso
restrito

Acesso
limitado

Acesso
liberado

CONTRATO
Definir o objetivo
e o escopo dos
testes
Garantir a
confidencialidade
das informações
Entrega de
documentação
detalhada

FOOTPRINT
Coleta de informações iniciais sobre o alvo para
encontrar formas de invadir o ambiente
O resultado desejado é um mapa de ativos da
organização
Engenharia Social pode ser utilizada

FINGERPRINT
Informações específicas
sobre uma ou mais máquinas
(Sistema Operacional, IP, etc)
Contato direto com ativos de
rede

MAPEAMENTO E
ANÁLISE DE
VULNERABILIDADES
Scan dos ativos
localizados
Enumeração das falhas
e configurações
padrões
Utilização de falhas 0day

EXPLORAÇÃO
Uso de exploits
específicos
Tentativa de
acesso não
autorizado
Visa
comprometer os
ativos

RESULTADOS
Detalhamento
técnico das
vulnerabilidades
Classificação dos
riscos
Recomendações
para correção das
vulnerabilidades

Conhecimento de riscos não
mapeados, fornecendo insumos para
uma melhor gestão dos mesmos.

É possível avaliar o nível de cultura de
Segurança da Informação na empresa

Testar a eficácia dos controles
implementados

Contribui para a aderência a
normas e padrões de mercado

Com as evidências, é possível
convencer a alta direção da
necessidade de investimentos

Após os resultados, Carlos decide
tornar o TDI uma atividade regular na
empresa onde trabalha

CONTATOS
lfferreira@gmail.com
@lfferreiras
Créditos
Fotos por Victor1558 (Flickr)
Licenciado por Creative Commons
Agradecimentos
Andréa Greco, Bruno Souza e toda a equipe do ISRio

Contenu connexe

Similaire à Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?

[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar

GUTS-RS

Edefense catálogo de segurança (1)

wellagapto

1º webminar sobre ransonware para gestores públicos

Guilherme Neves

1º webminar sobre ransonware para gestores públicos

Guilherme Neves

Kaspersky executive briefing presentation

Bravo Tecnologia

Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.

Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ

Clavis Segurança da Informação

Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest

Joas Antonio dos Santos

Unbroken Apresentação Institucional 2018

Fernando Dulinski

Unbroken Institutional

unbrokensecurity

Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção. Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão. Palestrante: Henrique Ribeiro dos Santos Soares Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.

Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...

Clavis Segurança da Informação

Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...

Symantec Brasil

Como começar na área de PenTest - Womcy Security Day Fatec

Joas Antonio dos Santos

Aula 13 sistemas de detecção de intrusão

camila_seixas

IT2S Group

Gustavo Sana

Anos e anos de esforços no desenvolvimento de software, mas nossa percepção sobre a insegurança dos sistemas tem aumentado dia após dia. Será que há fundamento para esta percepção? O software continua mesmo inseguro? Por mais que o software seja complexo por si só, e muitos usam isso como justificativa para o grande número de falhas encontradas, a questão vai muito além disso. Os problemas envolvendo o desenvolvimento de software se estendem desde a falta de capacitação das equipes de desenvolvimento, passa pela péssima integração entre as equipes de segurança e desenvolvimento e culmina com a falta de investimento por parte dos diretores, além de outras questões. Do outro lado vemos a ascensão do mercado de vulnerabilidades acompanhado de um crescente uso de armas cibernéticas na resolução de questões geopolíticas, tudo isso contribuindo para a criação de um ecossistema ainda mais inseguro para os sistemas. Esta palestra tem como objetivo trazer luz sobre estas e outras questões em torno da problemática da segurança (ou falta de) nos sistemas de software. Pretende-se discutir o cenário atual e possíveis caminhos para um futuro melhor e mais seguro para o software.

Por quê o software continua inseguro?

Vinicius Oliveira Ferreira

5 isi-riscos, ameacas e vulnerabilidades

Humberto Xavier

Segurança na Internet

elliando dias

Ethical Hacker - Segurança da Informação

Gionni Lúcio

Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc

EloGroup

Palestra Segurança da Informação e Servidores

Cesar Augusto Pinheiro Vitor

Similaire à Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação? (20)

[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar

Edefense catálogo de segurança (1)

1º webminar sobre ransonware para gestores públicos

Kaspersky executive briefing presentation

Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ

Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest

Unbroken Apresentação Institucional 2018

Unbroken Institutional

Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...

Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...

Como começar na área de PenTest - Womcy Security Day Fatec

Aula 13 sistemas de detecção de intrusão

IT2S Group

Por quê o software continua inseguro?

5 isi-riscos, ameacas e vulnerabilidades

Segurança na Internet

Ethical Hacker - Segurança da Informação

Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc

Palestra Segurança da Informação e Servidores

Dernier

LOGÍSTICA EMPRESARIAL — ATIVIDADE DE ESTUDO 1 Olá, estudante! Iniciamos, agora, a Atividade 1. Prepare-se para colocar em prática os conceitos estudados durante a disciplina! Caso surjam dúvidas, não hesite em contatar os professores da disciplina. Desejamos sucesso na sua atividade! "A gestão da cadeia de abastecimento, também conhecida como Supply Chain Management, envolve as práticas gerenciais necessárias para que todas as empresas agreguem valor ao cliente ao longo de todo o processo, desde a fabricação dos materiais até a distribuição e entrega final dos bens e serviços (MARTINS; LAUGENI, 2015, p. 189). Essa abordagem busca integrar os diversos atores da cadeia, proporcionando uma visão abrangente e contínua de todo o processo produtivo, desde a aquisição da matéria-prima até a entrega ao cliente final. A evolução do supply chain culminou na concepção da cadeia logística integrada. a) Relacione as fases de evolução do Supply Chain Management, apresentando suas principais características. b) Descreva, de forma detalhada, o fluxo de informação da Logística Integrada. c) Quais estratégias as empresas podem adotar para integrar de forma eficaz a tecnologia da informação na cadeia logística?

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx

2m Assessoria

No mundo digital atual, a informação é considerada uma das principais matérias-primas para o desenvolvimento econômico e social. Com a evolução tecnológica e a disseminação da internet, a quantidade de dados gerados e disponíveis diariamente cresce de forma exponencial. Nesse contexto, a gestão da informação assume um papel fundamental para as organizações, uma vez que permite a captação, armazenamento, processamento, análise e disseminação dos dados de forma estruturada e eficiente. Saes, Danillo Xavier. Gestão da Informação. Maringá-Pr.: UniCesumar, 2019. [Unidade I, p. 16 a 28] Para que possamos construir uma reflexão significativa sobre a gestão da informação no mundo organizacional, vamos realizar a presente atividade em 2 momentos. 1. Defina e diferencie: DADO, INFORMAÇÃO e CONHECIMENTO. 2. Faça uma reflexão sobre o uso da informação no contexto organizacional que está inserido na sociedade do conhecimento, destacando qual a relevância do uso das tecnologias digitais como apoio para a gestão da informação.

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx

2m Assessoria

Padrões de Projeto: Proxy e Command com exemplo

Danilo Pinotti

Realizarei uma breve introdução sobre o ecossistema do Amazon Elastic Kubernetes Service (EKS) tendo em vista o que o serviço pode entregar. A palestra será dedicada à realização de assessements em clusters EKS e a implementação de práticas essenciais em Kubernetes, desde a implementação, configuração, desempenho e finanças. Explicarei o que é o assessements, em um formato hands-on utilizarei ferramentas open source para dar visibilidade ao ambiente e a partir dos relatórios gerados, como ele pode pavimentar o caminho para adoção de boas práticas no kubernetes de acordo com o nível de maturidade das equipes de DevOps e Cloud. Aqui estão alguns pontos que considerarei durante a avaliação: Introdução ao EKS: Uma visão abrangente do Amazon EKS e suas vantagens para orquestração de contêineres. Assessment em Kubernetes: Como avaliar efetivamente o desempenho e a eficiência de seus clusters EKS, utilizando ferramentas open source que não requerem instalação no cluster. As ferramentas utilizadas serão: popeye, rancher, pluto, kube-capacity e kubectl. Capacidade e Setup EKS: A capacidade e o setup eficientes são fundamentais para otimizar o desempenho do Kubernetes. Ao dimensionar a capacidade, é crucial entender as demandas da aplicação e provisionar recursos adequadamente. O setup adequado inclui a configuração do cluster, nós e redes de maneira coesa. Exemplo: configuração e avaliação de nodegroups, dimensionamento de capacidade, utilização de instâncias spot para economizar recursos financeiros, como proceder diante da necessidade de uma atualização, configuração de backup, visão sobre storage e se há monitoramento voltado para o cluster e etc. Boas práticas voltadas ao EKS Boas práticas voltadas à definição de aplicações para Kubernetes Arquitetura do Cluster: Avaliação da arquitetura do cluster Kubernetes, incluindo o número de nós (nodes), a distribuição de carga e a configuração de alta disponibilidade. Configuração: Revisão das configurações do Kubernetes para garantir que estejam alinhadas com as melhores práticas e requisitos específicos do ambiente. Monitoramento e Logging: Avaliação das soluções de monitoramento e logging para garantir a visibilidade adequada sobre o estado e o desempenho do cluster. Atualizações e Patches: Verificação do processo de atualização e aplicação de patches para garantir que o cluster esteja utilizando versões seguras e estáveis do Kubernetes. Escalabilidade: Avaliação da capacidade do cluster de escalar horizontalmente para lidar com aumentos na carga de trabalho. Gerenciamento de Aplicações: Revisão das práticas e ferramentas utilizadas para implantar e gerenciar aplicações no Kubernetes.

Assessement Boas Praticas em Kubernetes.pdf

Natalia Granato

Boas práticas de programação com Object Calisthenics

Danilo Pinotti

A margem de contribuição é uma medida fundamental para entender a lucratividade de um produto, serviço, departamento ou da empresa como um todo. Ela representa o valor que sobra da receita depois de subtrair os custos e despesas variáveis associados à produção ou venda desse produto ou serviço. Essa quantia é chamada de "margem de contribuição" porque é a parte do dinheiro que efetivamente contribui para cobrir os custos fixos e gerar lucro. Fonte: FRAGALLI, Adriana Casavechia; CASTRO, Silvio Cesar de. Custos da Produção. Maringá - PR.: Unicesumar, 2022. Dado o contexto fornecido sobre os Margem de Contribuição dentro de uma empresa, é possível expandir a análise para que seja apurada de diferentes formas dentro de uma organizacional. Essas apurações podem ser (1) Global da Empresa, (2) Global de uma filial, (3) Divisão de Negócios, (4) Departamental, (5) Total por produto e (6) Unitário. Neste sentido, explique como cada uma dessas apurações consiste no contexto prático de margem de contribuição.

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx

2m Assessoria

Dernier (6)

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx

Padrões de Projeto: Proxy e Command com exemplo

Assessement Boas Praticas em Kubernetes.pdf

Boas práticas de programação com Object Calisthenics

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx

Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?

1. UM TESTE DE INVASÃO PODE AJUDAR O GESTOR DE SI? Por Luiz Felipe Ferreira

2. Este é Carlos, um Gestor de Segurança da Informação

3. Diariamente, convive com muitos desafios que dificultam o seu trabalho

4. Na empresa onde trabalha, há pouco investimento em Segurança e as ações são sempre reativas

5. Ele não consegue ter visibilidade das ameaças importantes para o negócio

6. Não é fácil calcular o ROI e mostrar o valor da sua área para a alta direção

7. Ele precisa mudar o jogo. Ele decide contratar um Teste de Invasão.

8. 1 CONHECENDO O TESTE DE INVASÃO

9. O que é um Teste de Invasão? Conjunto de técnicas usadas para verificar as vulnerabilidades e os riscos de sistemas ou redes O objetivo é a obtenção das informações

10. TESTE DE INVASÃO ANÁLISE DE VULNERABILIDADES Expõe falhas não convencionais Expõe falhas conhecidas Uso de criatividade para desviar dos controles Determina o risco real das vulnerabilidades ≠ Uso de ferramentas automatizadas Possíveis falsos positivos

11. 2 AS ABORDAGENS UTILIZADAS

12. BlackBox GreyBox WhiteBox Simula uma situação real de uma invasão Verifica se há erros em permissões da rede Analisa até o código fonte das aplicações Acesso restrito Acesso limitado Acesso liberado

13. 3 AS ETAPAS

14. CONTRATO Definir o objetivo e o escopo dos testes Garantir a confidencialidade das informações Entrega de documentação detalhada

15. FOOTPRINT Coleta de informações iniciais sobre o alvo para encontrar formas de invadir o ambiente O resultado desejado é um mapa de ativos da organização Engenharia Social pode ser utilizada

16. FINGERPRINT Informações específicas sobre uma ou mais máquinas (Sistema Operacional, IP, etc) Contato direto com ativos de rede

17. MAPEAMENTO E ANÁLISE DE VULNERABILIDADES Scan dos ativos localizados Enumeração das falhas e configurações padrões Utilização de falhas 0day

18. EXPLORAÇÃO Uso de exploits específicos Tentativa de acesso não autorizado Visa comprometer os ativos

19. RESULTADOS Detalhamento técnico das vulnerabilidades Classificação dos riscos Recomendações para correção das vulnerabilidades

20. 4 OS BENEFÍCIOS

21. Conhecimento de riscos não mapeados, fornecendo insumos para uma melhor gestão dos mesmos.

22. É possível avaliar o nível de cultura de Segurança da Informação na empresa

23. Testar a eficácia dos controles implementados

24. Contribui para a aderência a normas e padrões de mercado

25. Com as evidências, é possível convencer a alta direção da necessidade de investimentos

26. Após os resultados, Carlos decide tornar o TDI uma atividade regular na empresa onde trabalha

27. Carlos conseguiu mudar o jogo. E você?

28. CONTATOS lfferreira@gmail.com @lfferreiras Créditos Fotos por Victor1558 (Flickr) Licenciado por Creative Commons Agradecimentos Andréa Greco, Bruno Souza e toda a equipe do ISRio

Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?

Recommandé

Recommandé

Contenu connexe

Similaire à Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?

Similaire à Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação? (20)

Dernier

Dernier (6)

Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?