Embed Size (px)
DESCRIPTION
Palestra apresentada na II Edição do ISRio (www.isrio.com.br), realizado em 21/11/2013. Apresenta para os profissionais e gestores de Segurança da Informação uma visão geral de um teste de invasão e quais são os seus benefícios para os gestores.
Citation preview
UM TESTE DE INVASÃO PODE
AJUDAR O GESTOR DE SI?
Por Luiz Felipe Ferreira
Este é Carlos,
um Gestor de
Segurança da
Informação
Diariamente, convive com muitos
desafios que dificultam o seu trabalho
Na empresa onde
trabalha, há
pouco
investimento em
Segurança e as
ações são sempre
reativas
Ele não
consegue ter
visibilidade das
ameaças
importantes
para o negócio
Não é fácil calcular o ROI e
mostrar o valor da sua área para a
alta direção
Ele precisa mudar o jogo.
Ele decide contratar um Teste de Invasão.
1
CONHECENDO
O TESTE DE INVASÃO
Conjunto de
técnicas usadas para
verificar as
vulnerabilidades e
os riscos de sistemas
ou redes
O objetivo é a
obtenção das
informações
O que é um Teste
de Invasão?
≠
Expõe falhas não
convencionais
Uso de criatividade
para desviar dos
controles
TESTE DE INVASÃO
Expõe falhas
conhecidas
Uso de ferramentas
automatizadas
ANÁLISE DE
VULNERABILIDADES
Possíveis falsos
positivos
Determina o risco
real das
vulnerabilidades
2
AS ABORDAGENS
UTILIZADAS
GreyBox
Verifica se há
erros em
permissões
da rede
Acesso
limitado
BlackBox
Simula uma
situação real
de uma
invasão
Acesso
restrito
WhiteBox
Analisa até o
código fonte
das
aplicações
Acesso
liberado
3
AS ETAPAS
Definir o objetivo e o escopo dos testes
Entrega de
documentação
detalhada
CONTRATO
Garantir a
confidencialidade
das informações
Coleta de informações iniciais sobre o alvo para
encontrar formas de invadir o ambiente
O resultado desejado é um mapa de ativos da
organização
FOOTPRINT
Engenharia Social pode ser utilizada
Informações específicas
sobre uma ou mais máquinas
(Sistema Operacional, IP, etc)
FINGERPRINT
Contato direto com ativos de
rede
Scan dos ativos
localizados
Enumeração das falhas
e configurações
padrões
MAPEAMENTO E
ANÁLISE DE
VULNERABILIDADES
Utilização de falhas 0-
day
Uso de exploits
específicos
Visa
comprometer os
ativos
EXPLORAÇÃO
Tentativa de
acesso não
autorizado
Detalhamento técnico das vulnerabilidades
Recomendações
para correção das
vulnerabilidades
RESULTADOS
Classificação dos
riscos
4
OS BENEFÍCIOS
Conhecimento de riscos não mapeados, fornecendo insumos para
uma melhor gestão dos mesmos.
É possível avaliar o nível de cultura de
Segurança da Informação na empresa
Testar a eficácia dos controles
implementados
Contribui para a aderência a
normas e padrões de mercado
Com as evidências, é possível convencer a alta direção da
necessidade de investimentos
Após os resultados, Carlos decide tornar o TDI uma atividade regular na
empresa onde trabalha
Carlos conseguiu mudar o jogo.
E você?
CONTATOS
@lfferreiras
Créditos Fotos por Victor1558 (Flickr)
Licenciado por Creative Commons
Agradecimentos Andréa Greco, Bruno Souza e toda a equipe do ISRio
