Scribd Logo
Upload

Welcome to Scribd!

  • Apresentação Pen Test

    Uploaded by

    Eduardo Honorato
    120 views13 pages
    pen test

    Copyright

    © © All Rights Reserved

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    pen test

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    120 views13 pages

    Apresentação Pen Test

    Uploaded by

    Eduardo Honorato
    pen test

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 13

    Penetration Test

    CONFORMIDADE

    Acrdo no 1.603/2008-Plenrio

    orientem sobre a importncia do gerenciamento da segurana da

    informao, promovendo, inclusive mediante normatizao, aes

    que visem estabelecer e/ou aperfeioar a gesto da continuidade

    do negcio, a gesto de mudanas, a gesto de capacidade, a

    classificao da informao, a gerncia de incidentes, a anlise de

    riscos de TI, a rea especfica para gerenciamento da segurana da

    informao, a poltica de segurana da informao e os

    procedimentos de controle de acesso;

    75% dos 255 rgos jurisdicionados NO fazem


    CONFORMIDADE

    Normas ISO NBR ISO/IEC 27K / BS7799

    COBIT ITIL SOX FMEA


    Controles
    Common Criteria HIPPA PCI CVM FTA

    Governamentais FIPS 200 / Sarbanes-Oxley / NIST

    Militares DoD / DISA / NIST / SPAWAR / CBOSS / DARPA


    INTRODUO
    Teste de Penetrao uma prtica onde so utilizadas ferramentas com o
    objetivo de avaliar a segurana em um ambiente computacional de uma
    organizao.

    Estes testes podem ser executados com metodologia interna e/ou


    externa, e conduzido por equipes parte da prpria organizao ou
    terceiros.

    O processo se baseia na busca de vulnerabilidades dos sistemas, falhas


    nas configuraes ou falhas em softwares ou hardwares.

    So executados testes reais de penetrao exatamente com as mesmas


    tcnicas utilizadas em uma tentativa de invaso no planejada ao
    ambiente computacional.

    Ao final dos testes gerado um relatrio e o mapa de riscos, onde so


    apresentados os resultados, os impactos dos problemas, a probabilidade e
    as medidas a serem tomadas para minimizar ou mitigar ao mximo os
    riscos do ambiente testado.
    MOTIVAES

    Evoluo dos tipos de ataque julho 2011 a setembro 2011 - Fonte: CERT BR 2011

    Top Ataques por portas (Servios)


    Fonte: AKAMAI 2011
    BENEFCOS
    A execuo de testes de penetrao na empresa permite que se tenha em
    mos o controle do ambiente, e ainda possibilitam corrigir eventuais falhas
    e/ou vulnerabilidades, deixando assim toda a equipe mais preparada e
    pronta para responder eventuais sinistros de segurana.

    Em consequncia deste maior controle, a equipe ter mais tempo e


    conhecimento para pesquisas que certamente traro melhorias para a
    organizao.

    Passar mais tempo na preveno que na reao.

    J no alto escalo, a diretoria, que na maioria das vezes barra


    investimentos em segurana, percebendo a segurana e melhoria na
    continuidade do negcio, ter uma melhor percepo do retorno de
    investimento na execuo de testes de penetrao na empresa.

    Como resultado dos testes gerado recomendaes para manuteno do


    ambiente, mitigao dos riscos, resposta a incidentes e correes de
    possveis vulnerabilidades encontradas.
    O PROCESSO DO TESTE DE PENETRAO
    Existem duas abordagens para Testes de Penetrao, a primeira,
    chamada de Black Box, onde o executor do teste no tem conhecimento
    do ambiente a ser testado, e a segunda chamada de White Box, onde o
    executor do teste tem total conhecimento do ambiente a ser testado.

    O teste utilizando a abordagem Black Box tenta se aproximar de um


    suposto ataque inimigo, ou seja, buscando informaes disponveis
    publicamente.

    Fazem parte do processo de testes:


    Planejamento
    Levantamento de informaes
    Verificao das vulnerabilidades
    Utilizao de exploits
    Limpeza
    Relatrios.
    METODOLOGIA
    Para execuo de uma tarefa complexa que envolva um conjunto de
    atividades, necessrio que estas atividades sejam executadas de forma
    estruturada.

    Com Testes de Penetrao no diferente, devemos adotar uma


    metodologia para que possamos ter sucesso em nosso objetivo.

    Abordarei neste artigo duas metodologias:


    Open Source Security Testing Methodology Manual OSSTMM
    The Open Web Application Security Project OWASP
    METODOLOGIA
    O Open Source Security Testing Methodology Manual (OSSTMM) fornece
    uma metodologia para testes de segurana.

    O manual foi desenvolvido por uma comunidade aberta, livre de


    qualquer influncia comercial ou poltica, sob a licena Open Source que
    permite a contribuio de qualquer analista de segurana, alm disto,
    permite a livre divulgao das informaes e propriedade intelectual.

    O projeto mantido pelo Institute for Security and Open Methodologies


    (ISECOM) e patrocinado atravs de parcerias, assinaturas, certificaes,
    licenciamento e estudo de casos baseados em pesquisas.
    METODOLOGIA
    Desenvolvido pela Fundao Open Web Application Security Project
    (OWASP) o Guia de Testes OWASP, foi criado com o intuito de ajudar as
    pessoas a entenderem, o qu, o porqu, onde e como testar suas
    aplicaes Web.

    OWASP uma organizao internacional e suportada pela fundao


    OWASP em todo o mundo.

    A fundao OWASP foi fundada no final de 2001 como uma organizao


    sem fins lucrativos.

    uma comunidade aberta dedicada a permitir organizaes conceber,


    desenvolver, adquirir, operar, e manter as aplicaes que possam ser
    confiveis.

    Todas as ferramentas, documentos e fruns so gratuitos para quem


    quiser utiliz-los.

    A fundao no tem nenhum tipo de vnculo com nenhum produto ou


    empresa, por isto, garante total imparcialidade nas informaes sobre
    segurana nas aplicaes.
    RELATORIO
    gerado um Relatrio de Risco de Segurana da Informao que contm
    informaes sobre os riscos encontrados, consideraes sobre
    conformidade, impacto, possveis mitigaes e correes.

    Cabe observarmos que cada item do relatrio de risco apresentou de


    maneira uniforme uma coleo de informaes fundamental para
    anlise das partes interessadas. As informaes tipificam-se em:

    Impacto
    Criticidade
    Mitigao
    Agravante
    O que Afeta
    Probabilidade Incidente
    Origem do Risco
    Descrio
    RELATORIO - TESTES
    So executados os seguintes testes e mostrados no relatrio:

    Testes de Negao de Servio


    C1,0 - Exausto de Instncias Apache Web Server
    C1,1 - Resilincia a Syn Flood
    C1,2 - Resilincia a Syn Flood no Firewall ou Infraestrutura
    C1,3 - Indisponibilidade em elencamento de usurios HTTP
    Varredura de Vulnerabilidades e Testes de Conformidade
    N1,0 - Mltiplas Vulnerabilidades Cisco IOS
    N1,1 - Mltiplas Vulnerabilidades Comuns em Mltiplos Equipamentos
    N1,2 - Negao de Servio Servidores DNS
    Anlise de Vulnerabilidade e Testes de Penetrao
    PT1,0 - Vulnerabilidades de XSS(Cross Site-Scripting)
    PT1,1 - Local File Inclusion (LFI) / Directory Traversal
    PT1,2 Escala de Privilgio Kernel 2.6.18-194.el5
    PT1,3 LFI no arquivo download.jsp
    PT1,4 DBMan - Exposio de Informaes
    PT1,5 SQL Injection
    PT1,6 Cross-Frame Scripting (XFS) no /info/pdf/index.jsp
    PT1,7 Local Path Disclosure provocado remotamente
    PT1,8 PHPinfo() Information Disclosure
    RELATORIO MAPAS DE RISCO

    You might also like