View
111
Download
7
Category
Preview:
Citation preview
Modelagem de Ameaças para Pentester
Porque nem sempre o objetivo é ganhar o Root
Leandro RochaSecurity BSides São Paulo (Co0L BSidesSP) - Edição 10
SOBRE• Consultor na Conviso Application Security
• Formado em Sistemas - PUC
• Membro do Staff H2HC
• Pai
Palavras que não pronuncio!
P + U + T + A
C + U || K + U
F + O + D + A || E || I
M + E + R + D + A
Qual o cenário de abuso?
TROLAGEM
PALAVRAS TROLL
UM POUCO SOBRE AMEAÇAS
ATACANTE
Aquele que causa dano, pode ser uma Pessoa ou um Desastre Natural
O dano pode ser Intencional, acidental, manual, automatizada, escolhida a dedo, escolhida a esmo e etc..
ATIVOItem de valor para o atacante
Valor para o Atacante
Valor para você≠
VULNERABILIDADE
Bugs, falhas de desenho, falhas de processo, falhas de implementação, etc…
É o mecanismo utilizado pelo atacante para realizar a ameaça
AMEAÇAATIVO
MECANISMO ATACANTE
MITIGAÇÃO
Ação que minimiza ou elimina o dano causado pela ameaça
Estrela da Morte
Luke Skywalker
X-Wing
Exaustor Térmico
Tie-Fighters
Ativo
Atacante
Vulnerabilidade
Mitigação
COMO CALCULAR O RISCO
GRAU DE RISCO
IMPACTO
PROBABILIDADE
+BAIXO
MÉDIO
ALTO
0 < 3
3 < 6
6 < 9
RISCOGRAU DO RISCO
IMPACTO
ALTO MÉDIO CRÍTICO
MÉDIO BAIXO MÉDIO ALTO
BAIXO NOTA BAIXO MÉDIO
BAIXO MÉDIO ALTO
PROBABILIDADE
ALTO
BOAS PRÁTICAS PARA PENTESTERS
(Basedo em minha própria experiência errante)
Planejamento é tudo…
“Falta de inteligência é estar no ringue de olhos vendados”.
Gen. DAVID M. SHOUP
✓ Entender o negócio do cliente
✓ Definir os ativos
✓ Definir o atacante
✓ Mapear superfície de ataque
✓ Encontrar vulnerabilidades
Obtendo melhores resultados
Obtendo melhores resultados
Quem te contratou não entende de VULNERABILIDADE!
Entende de IMPACTO!
ATIVO ?
MECANISMO ATACANTE ?
Porque nem sempre o objetivo é ganhar o Root
SER ROOT É APENAS O COMEÇO
Referência1. https://www.owasp.org/index.php/RiskRating 2. https://www.owasp.org/index.php/Application_Threat_Modeling
3.https://www.owasp.org/images/9/99/Threat_Modeling_von_Webanwendungen_Mythen_und_Best_Practices_-_Matthias_Rohr.pdf
Social
@_rochax
br.linkedin.com/in/lrocha/
leandro.roc@gmail.com
Recommended