Modelagem ameaças para Pentester

Modelagem de Ameaças para Pentester

Porque nem sempre o objetivo é ganhar o Root

Leandro RochaSecurity BSides São Paulo (Co0L BSidesSP) - Edição 10

SOBRE• Consultor na Conviso Application Security

• Formado em Sistemas - PUC

• Membro do Staff H2HC

• Pai

Palavras que não pronuncio!

P + U + T + A

C + U || K + U

F + O + D + A || E || I

M + E + R + D + A

Qual o cenário de abuso?

TROLAGEM

PALAVRAS TROLL

UM POUCO SOBRE AMEAÇAS

ATACANTE

Aquele que causa dano, pode ser uma Pessoa ou um Desastre Natural

O dano pode ser Intencional, acidental, manual, automatizada, escolhida a dedo, escolhida a esmo e etc..

ATIVOItem de valor para o atacante

Valor para o Atacante

Valor para você≠

VULNERABILIDADE

Bugs, falhas de desenho, falhas de processo, falhas de implementação, etc…

É o mecanismo utilizado pelo atacante para realizar a ameaça

AMEAÇAATIVO

MECANISMO ATACANTE

MITIGAÇÃO

Ação que minimiza ou elimina o dano causado pela ameaça

Estrela da Morte

Luke Skywalker

X-Wing

Exaustor Térmico

Tie-Fighters

Ativo

Atacante

Vulnerabilidade

Mitigação

COMO CALCULAR O RISCO

GRAU DE RISCO

IMPACTO

PROBABILIDADE

+BAIXO

MÉDIO

ALTO

0 < 3

3 < 6

6 < 9

RISCOGRAU DO RISCO

IMPACTO

ALTO MÉDIO CRÍTICO

MÉDIO BAIXO MÉDIO ALTO

BAIXO NOTA BAIXO MÉDIO

BAIXO MÉDIO ALTO

PROBABILIDADE

ALTO

BOAS PRÁTICAS PARA PENTESTERS

(Basedo em minha própria experiência errante)

Planejamento é tudo…

“Falta de inteligência é estar no ringue de olhos vendados”.

Gen. DAVID M. SHOUP

✓ Entender o negócio do cliente

✓ Definir os ativos

✓ Definir o atacante

✓ Mapear superfície de ataque

✓ Encontrar vulnerabilidades

Obtendo melhores resultados

Obtendo melhores resultados

Quem te contratou não entende de VULNERABILIDADE!

Entende de IMPACTO!

ATIVO ?

MECANISMO ATACANTE ?

Porque nem sempre o objetivo é ganhar o Root

SER ROOT É APENAS O COMEÇO

Referência1. https://www.owasp.org/index.php/RiskRating 2. https://www.owasp.org/index.php/Application_Threat_Modeling

3.https://www.owasp.org/images/9/99/Threat_Modeling_von_Webanwendungen_Mythen_und_Best_Practices_-_Matthias_Rohr.pdf

Social

@_rochax

br.linkedin.com/in/lrocha/

leandro.roc@gmail.com