24
Modelagem de Ameaças para Pentester Porque nem sempre o objetivo é ganhar o Root Leandro Rocha Security BSides São Paulo (Co0L BSidesSP) - Edição 10

Modelagem ameaças para Pentester

Embed Size (px)

Citation preview

Page 1: Modelagem ameaças para Pentester

Modelagem de Ameaças para Pentester

Porque nem sempre o objetivo é ganhar o Root

Leandro RochaSecurity BSides São Paulo (Co0L BSidesSP) - Edição 10

Page 2: Modelagem ameaças para Pentester

SOBRE• Consultor na Conviso Application Security

• Formado em Sistemas - PUC

• Membro do Staff H2HC

• Pai

Page 3: Modelagem ameaças para Pentester

Palavras que não pronuncio!

P + U + T + A

C + U || K + U

F + O + D + A || E || I

M + E + R + D + A

Page 4: Modelagem ameaças para Pentester

Qual o cenário de abuso?

Page 5: Modelagem ameaças para Pentester

TROLAGEM

PALAVRAS TROLL

Page 6: Modelagem ameaças para Pentester

UM POUCO SOBRE AMEAÇAS

Page 7: Modelagem ameaças para Pentester

ATACANTE

Aquele que causa dano, pode ser uma Pessoa ou um Desastre Natural

O dano pode ser Intencional, acidental, manual, automatizada, escolhida a dedo, escolhida a esmo e etc..

Page 8: Modelagem ameaças para Pentester

ATIVOItem de valor para o atacante

Valor para o Atacante

Valor para você≠

Page 9: Modelagem ameaças para Pentester

VULNERABILIDADE

Bugs, falhas de desenho, falhas de processo, falhas de implementação, etc…

É o mecanismo utilizado pelo atacante para realizar a ameaça

Page 10: Modelagem ameaças para Pentester

AMEAÇAATIVO

MECANISMO ATACANTE

Page 11: Modelagem ameaças para Pentester

MITIGAÇÃO

Ação que minimiza ou elimina o dano causado pela ameaça

Page 12: Modelagem ameaças para Pentester

Estrela da Morte

Luke Skywalker

X-Wing

Exaustor Térmico

Tie-Fighters

Ativo

Atacante

Vulnerabilidade

Mitigação

Page 13: Modelagem ameaças para Pentester

COMO CALCULAR O RISCO

Page 14: Modelagem ameaças para Pentester

GRAU DE RISCO

IMPACTO

PROBABILIDADE

+BAIXO

MÉDIO

ALTO

0 < 3

3 < 6

6 < 9

Page 15: Modelagem ameaças para Pentester

RISCOGRAU DO RISCO

IMPACTO

ALTO MÉDIO CRÍTICO

MÉDIO BAIXO MÉDIO ALTO

BAIXO NOTA BAIXO MÉDIO

BAIXO MÉDIO ALTO

PROBABILIDADE

ALTO

Page 16: Modelagem ameaças para Pentester

BOAS PRÁTICAS PARA PENTESTERS

(Basedo em minha própria experiência errante)

Page 17: Modelagem ameaças para Pentester

Planejamento é tudo…

“Falta de inteligência é estar no ringue de olhos vendados”.

Gen. DAVID M. SHOUP

Page 18: Modelagem ameaças para Pentester

✓ Entender o negócio do cliente

✓ Definir os ativos

✓ Definir o atacante

✓ Mapear superfície de ataque

✓ Encontrar vulnerabilidades

Obtendo melhores resultados

Page 19: Modelagem ameaças para Pentester

Obtendo melhores resultados

Quem te contratou não entende de VULNERABILIDADE!

Entende de IMPACTO!

Page 20: Modelagem ameaças para Pentester

ATIVO ?

MECANISMO ATACANTE ?

Page 21: Modelagem ameaças para Pentester

Porque nem sempre o objetivo é ganhar o Root

SER ROOT É APENAS O COMEÇO

Page 22: Modelagem ameaças para Pentester
Page 23: Modelagem ameaças para Pentester

Referência1. https://www.owasp.org/index.php/RiskRating 2. https://www.owasp.org/index.php/Application_Threat_Modeling

3.https://www.owasp.org/images/9/99/Threat_Modeling_von_Webanwendungen_Mythen_und_Best_Practices_-_Matthias_Rohr.pdf

https://www.owasp.org/index.php/RiskRating
https://www.owasp.org/index.php/Application_Threat_Modeling
Page 24: Modelagem ameaças para Pentester

Social

@_rochax

br.linkedin.com/in/lrocha/

[email protected]

http://br.linkedin.com/in/lrocha/
mailto:[email protected]

Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas

Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas

Technology
Ameaças a tecnologia VoIP

Ameaças a tecnologia VoIP

Technology
AmeaçAs Do Mundo Actual

AmeaçAs Do Mundo Actual

Documents
Uma Proposta de Modelagem para Secadores de Macarrão …maua.br/files/dissertacoes/uma-proposta-de-modelagem-para-sec... · Lucato, Marcio Uma proposta de modelagem para secadores

Uma Proposta de Modelagem para Secadores de Macarrão …maua.br/files/dissertacoes/uma-proposta-de-modelagem-para-sec... · Lucato, Marcio Uma proposta de modelagem para secadores

Documents
Desenvolvimento de Software Seguro - Blog do Prof. PC · PDF file29/03/15 4 ! Necessidade de Sistemas Seguros. ! Princípios de Segurança a Serem Seguidos. ! Modelagem das Ameaças

Desenvolvimento de Software Seguro - Blog do Prof. PC · PDF file29/03/15 4 ! Necessidade de Sistemas Seguros. ! Princípios de Segurança a Serem Seguidos. ! Modelagem das Ameaças

Documents
Dados para Modelagem

Dados para Modelagem

Documents
MODELAGEM DINÂMICA PARA ANÁLISE DE ...tpqb.eq.ufrj.br/download/modelagem-dinamica-para-analise...iv Q384m Queiroz, Luiz Fernando Trevisan. Modelagem dinâmica para análise de sobrepressão

MODELAGEM DINÂMICA PARA ANÁLISE DE ...tpqb.eq.ufrj.br/download/modelagem-dinamica-para-analise...iv Q384m Queiroz, Luiz Fernando Trevisan. Modelagem dinâmica para análise de sobrepressão

Documents
MODELAGEM DE AMEAÇAS ANTIFORENSES APLICADA AO … · MODELAGEM DE AMEAÇAS ANTIFORENSES APLICADA AO PROCESSO FORENSE DIGITAL Autor: Marcelo Brito Maués Orientador: Bruno Werneck

MODELAGEM DE AMEAÇAS ANTIFORENSES APLICADA AO … · MODELAGEM DE AMEAÇAS ANTIFORENSES APLICADA AO PROCESSO FORENSE DIGITAL Autor: Marcelo Brito Maués Orientador: Bruno Werneck

Documents
Redes sociais:oportunidades e ameaças

Redes sociais:oportunidades e ameaças

Technology
Aula02 - Ameaças, Ataques e Vulnerabilidades

Aula02 - Ameaças, Ataques e Vulnerabilidades

Documents
AMEAÇAS À DIVERSIDADE BIOLÓGICA. Ameaças à diversidade biológica Ambiente conservado ECOSSISTEMAS COMUNIDADES ESPÉCIES

AMEAÇAS À DIVERSIDADE BIOLÓGICA. Ameaças à diversidade biológica Ambiente conservado ECOSSISTEMAS COMUNIDADES ESPÉCIES

Documents
Oportunidades, Ameaças e Perspectivas para a Contabilidade - 7E7a_Pesp_Contab_7.pdf · Contador Eduardo Araújo de Azevedo. Oportunidades, Ameaças e Perspectivas para a Contabilidade

Oportunidades, Ameaças e Perspectivas para a Contabilidade - 7E7a_Pesp_Contab_7.pdf · Contador Eduardo Araújo de Azevedo. Oportunidades, Ameaças e Perspectivas para a Contabilidade

Documents
Principais Ameaças na Internet e Recomendações para Prevenção

Principais Ameaças na Internet e Recomendações para Prevenção

Documents
Principais ameaças à biodiversidade

Principais ameaças à biodiversidade

Education
Ameaças à Biodiversidade

Ameaças à Biodiversidade

Documents
Desenvolvimento de Software Seguro - Blog do Prof. PC · PDF file22/02/14 4 ! Necessidade de Sistemas Seguros. ! Princípios de Segurança a Serem Seguidos. ! Modelagem das Ameaças

Desenvolvimento de Software Seguro - Blog do Prof. PC · PDF file22/02/14 4 ! Necessidade de Sistemas Seguros. ! Princípios de Segurança a Serem Seguidos. ! Modelagem das Ameaças

Documents
SimQuest - ferramenta de modelagem computacional para o ... · tura cient¶‡flca duas ferramentas de modelagem com- ... SimQuest - ferramenta de modelagem computacional para o

SimQuest - ferramenta de modelagem computacional para o ... · tura cient¶‡flca duas ferramentas de modelagem com- ... SimQuest - ferramenta de modelagem computacional para o

Documents
Unidade 2.2 ameaças

Unidade 2.2 ameaças

Technology
MODELAGEM DE AMEAÇAS ANTIFORENSES …repositorio.unb.br/bitstream/10482/23033/1/2016_MarceloBritoMaués.pdf · Tabela 3.8: Exemplo de pontuação dos fatores amplificadores

MODELAGEM DE AMEAÇAS ANTIFORENSES …repositorio.unb.br/bitstream/10482/23033/1/2016_MarceloBritoMaués.pdf · Tabela 3.8: Exemplo de pontuação dos fatores amplificadores

Documents
As ameaças de revogação da Lei Kandir e seus impactos para

As ameaças de revogação da Lei Kandir e seus impactos para

Documents
Aspectos de ecologia de paisagem e ameaças à 479 ASPECTOS ... › pdf › rarv › v37n3 › a11v37n3.pdf · ameaças, de forma a subsidiar estratégias de conservação para a

Aspectos de ecologia de paisagem e ameaças à 479 ASPECTOS ... › pdf › rarv › v37n3 › a11v37n3.pdf · ameaças, de forma a subsidiar estratégias de conservação para a

Documents
Ameaças Fitossanitárias para o Brasil – A visão da Indústria

Ameaças Fitossanitárias para o Brasil – A visão da Indústria

Science
Avaliação de Ameaças A Procura por Ameaças Críticas Rede de Treinadores em Conservação Capacitando Novos Treinadores

Avaliação de Ameaças A Procura por Ameaças Críticas Rede de Treinadores em Conservação Capacitando Novos Treinadores

Documents
Serviços de detecção de ameaças§os de detecção de ameaças Serviços de cibersegurança industrial para a Connected Enterprise Benefícios: • Visibilidade: obtenha uma perspectiva

Serviços de detecção de ameaças§os de detecção de ameaças Serviços de cibersegurança industrial para a Connected Enterprise Benefícios: • Visibilidade: obtenha uma perspectiva

Documents
Ameaças e Oportunidades Para a Competitividade Da Industria Brasileirea de Software

Ameaças e Oportunidades Para a Competitividade Da Industria Brasileirea de Software

Documents
Uma Metodologia para Modelagem de Ameaças em Ambientes ... fileVICTOR ALEXANDRE DE OLIVEIRA SILVA Uma Metodologia para Modelagem de Ameaças em Ambientes Baseados na Internet das

Uma Metodologia para Modelagem de Ameaças em Ambientes ... fileVICTOR ALEXANDRE DE OLIVEIRA SILVA Uma Metodologia para Modelagem de Ameaças em Ambientes Baseados na Internet das

Documents
CONTROLE Instituto alerta para o crescimento das ameaças à

CONTROLE Instituto alerta para o crescimento das ameaças à

Documents
Avaliação de Ameaças

Avaliação de Ameaças

Documents
Workshop Ameaças Sanitárias para Cadeias Produtivas de Carnes

Workshop Ameaças Sanitárias para Cadeias Produtivas de Carnes

Documents
PREPARAÇÃO PARA A COPA 2014 OPORTUNIDADES E AMEAÇAS

PREPARAÇÃO PARA A COPA 2014 OPORTUNIDADES E AMEAÇAS

Documents