Vulnerabilidades x Invasao

Carlos A. Latzke - latzke7@gmail.com

AGENDA

Teste de Vulnerabilidades x Teste de Invasão

- Conceitos

- Características do teste de vulnerabilidade

- Características do teste de invasão

- Testes de Invasão: Manual x Sistemático

- Serviços x Softwares

Carlos A. Latzke - latzke7@gmail.com

Conceitos

Teste de Vulnerabilidade

Denominado igualmente de scaneamento/identificação de

vulnerabilidade.

Este procedimento pode envolver desde aanálise de código fonte ao scaneamento deportas.

Carlos A. Latzke - latzke7@gmail.com

Conceitos

Teste de Invasão

Procedimento que objetiva determinar o quanto um determinado sistema está

exposto às vulnerabilidades.

Este procedimento é executado de forma proativa visando identificar a eficácia dos mecanismos de segurança e suas defesas.

Carlos A. Latzke - latzke7@gmail.com

Comparando

Atividade...

Compare os seguintes aspectos, com relação a teste de vulnerabilidade e invasão:

– Escopo– Relevância da vulnerabilidade– Grau de utilidade– Resultados do teste– Grau de correlação (Ativos x conexão/acesso)

Carlos A. Latzke - latzke7@gmail.com Ver/explorar as demais “guias”...

Comparando

Atividade...

Compare os seguintes aspectos, com relação a teste de vulnerabilidade e invasão:

– Auxílio à remediação– Eficácia (mundo real/produção)– Avaliação de Risco

Carlos A. Latzke - latzke7@gmail.com

Testes de InvasãoManual x Sistemático

Manual

– Complexidade: especialidades x cenário– Desenvolvimento de ferramentas próprias– Utilização de Kits OPEN

Carlos A. Latzke - latzke7@gmail.com

Testes de InvasãoManual x SistemáticoSistemático

– Ferramentas atualizadas– Produtividade– Pacotes

Carlos A. Latzke - latzke7@gmail.com

Comparando

Atividade...

Compare os procedimentos com relação aos seguintes aspectos:

– Procedimento/processo– Modificações/adaptações nos ativos/rede– Atualização das ferramentas– Restauração dos Ativos (cleanup)– Escalação de privilégios (upload)– Relatórios

Carlos A. Latzke - latzke7@gmail.com

Comparando

Atividade...

Compare os procedimentos com relação aos seguintes aspectos:

– Log e auditoria– Treinamento

Carlos A. Latzke - latzke7@gmail.com

Serviços x Softwares

A escolha quanto a forma...

Está relacionada à sua realidade, sendo possível a sua realização através de consultorias e/ou softwares.

Devem ser observados os aspectos legais e regulatórios, bem como a periodicidade e os reais objetivos!