SlideShare uma empresa Scribd logo

Modelagem de Ameaças para Pentester - menos de

Leandro Rocha
Leandro Rocha

O objetivo é mostrar como obter melhores resultados em Testes de Penetração através da metodologia utilizada em Modelagem de Ameaças. Porque nem sempre o objetivo é ganhar o Root.

Internet
1 de 24
Baixar para ler offline
Modelagem de Ameaças para Pentester Porque nem sempre o objetivo é ganhar o Root Leandro Rocha Security BSides São Paulo (Co0L BSidesSP) - Edição 10
SOBRE • Consultor na Conviso Application Security • Formado em Sistemas - PUC • Membro do Staff H2HC • Pai
Palavras que não pronuncio! P + U + T + A C + U || K + U F + O + D + A || E || I M + E + R + D + A
Qual o cenário de abuso?
TROLAGEM PALAVRAS TROLL
UM POUCO SOBRE AMEAÇAS
ATACANTE Aquele que causa dano, pode ser uma Pessoa ou um Desastre Natural O dano pode ser Intencional, acidental, manual, automatizada, escolhida a dedo, escolhida a esmo e etc..
ATIVO Item de valor para o atacante Valor para você ≠ Valor para o Atacante
VULNERABILIDADE É o mecanismo utilizado pelo atacante para realizar a ameaça Bugs, falhas de desenho, falhas de processo, falhas de implementação, etc…
AMEAÇA ATIVO MECANISMO ATACANTE
MITIGAÇÃO Ação que minimiza ou elimina o dano causado pela ameaça
Estrela da Morte X-Wing Luke Skywalker Mitigação Exaustor Térmico Tie-Fighters Ativo Atacante Vulnerabilidade
COMO CALCULAR O RISCO
GRAU DE RISCO PROBABILIDADE + IMPACTO BAIXO MÉDIO ALTO 0 < 3 3 < 6 6 < 9
RISCO GRAU DO RISCO IMPACTO ALTO MÉDIO CRÍTICO MÉDIO BAIXO MÉDIO ALTO BAIXO NOTA BAIXO MÉDIO BAIXO MÉDIO ALTO PROBABILIDADE ALTO
BOAS PRÁTICAS PARA PENTESTERS (Basedo em minha própria experiência errante)
Planejamento é tudo… “Falta de inteligência é estar no ringue de olhos vendados”. Gen. DAVID M. SHOUP
Obtendo melhores resultados ✓ Entender o negócio do cliente ✓ Definir os ativos ✓ Definir o atacante ✓ Mapear superfície de ataque ✓ Encontrar vulnerabilidades
Obtendo melhores resultados Quem te contratou não entende de VULNERABILIDADE! Entende de IMPACTO!
ATIVO ? MECANISMO ATACANTE ?
Porque nem sempre o objetivo é ganhar o Root SER ROOT É APENAS O COMEÇO
Referência 1. https://www.owasp.org/index.php/RiskRating 2. https://www.owasp.org/index.php/Application_Threat_Modeling 3.https://www.owasp.org/images/9/99/ Threat_Modeling_von_Webanwendungen_Mythen_und_Best_Practices_- _Matthias_Rohr.pdf
Social @_rochax br.linkedin.com/in/lrocha/ leandro.roc@gmail.com

Recomendados

Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?
Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?
Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?Luiz Felipe Ferreira
 
Gerenciamento de riscos conceitos básicos
Gerenciamento de riscos conceitos básicosGerenciamento de riscos conceitos básicos
Gerenciamento de riscos conceitos básicosUniversidade Federal Fluminense
 
Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
Análise de Risco
Análise de RiscoAnálise de Risco
Análise de RiscoLuiz Ignacio Neumann
 
Técnicas de analise de risco
Técnicas de analise de risco Técnicas de analise de risco
Técnicas de analise de risco Victor Akuma
 
!Model canvas
!Model canvas!Model canvas
!Model canvasAlexsander Fim
 
Agr análise e gerenciamento riscos - 02748 - [ e 1 ]
Agr análise e gerenciamento riscos - 02748 - [ e 1 ]Agr análise e gerenciamento riscos - 02748 - [ e 1 ]
Agr análise e gerenciamento riscos - 02748 - [ e 1 ]Sergio Salinet
 
Estudos de análise de riscos
Estudos de análise de riscosEstudos de análise de riscos
Estudos de análise de riscosGabriel Marildo
 

Recomendados

Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?
Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?
Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?Luiz Felipe Ferreira
 
Gerenciamento de riscos conceitos básicos
Gerenciamento de riscos conceitos básicosGerenciamento de riscos conceitos básicos
Gerenciamento de riscos conceitos básicosUniversidade Federal Fluminense
 
Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
Análise de Risco
Análise de RiscoAnálise de Risco
Análise de RiscoLuiz Ignacio Neumann
 
Técnicas de analise de risco
Técnicas de analise de risco Técnicas de analise de risco
Técnicas de analise de risco Victor Akuma
 
!Model canvas
!Model canvas!Model canvas
!Model canvasAlexsander Fim
 
Agr análise e gerenciamento riscos - 02748 - [ e 1 ]
Agr análise e gerenciamento riscos - 02748 - [ e 1 ]Agr análise e gerenciamento riscos - 02748 - [ e 1 ]
Agr análise e gerenciamento riscos - 02748 - [ e 1 ]Sergio Salinet
 
Estudos de análise de riscos
Estudos de análise de riscosEstudos de análise de riscos
Estudos de análise de riscosGabriel Marildo
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
teste de invasão
teste de invasãoteste de invasão
teste de invasãoClaudio Francisco Joaquim Joaquim
 
ANÁLISE E GERENCIAMENTO DE RISCOS.pptx
ANÁLISE E GERENCIAMENTO DE RISCOS.pptxANÁLISE E GERENCIAMENTO DE RISCOS.pptx
ANÁLISE E GERENCIAMENTO DE RISCOS.pptxAlessandro Tobias Matos
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?tdc-globalcode
 
Desenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIODesenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIOAugusto Marinho
 
Estrategias Ágeis para testes sob pressão
Estrategias Ágeis para testes sob pressãoEstrategias Ágeis para testes sob pressão
Estrategias Ágeis para testes sob pressãoKleitor Franklint Correa Araujo
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...E-Commerce Brasil
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internetelliando dias
 
Prasys gerenciamento de riscos ágil
Prasys gerenciamento de riscos ágilPrasys gerenciamento de riscos ágil
Prasys gerenciamento de riscos ágilAlexandre Lyra
 
Curso Ger. Riscos - Dia 02 / Parte 2
Curso Ger. Riscos - Dia 02 / Parte 2Curso Ger. Riscos - Dia 02 / Parte 2
Curso Ger. Riscos - Dia 02 / Parte 2Peter Mello
 
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUPREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUibliss-seguranca
 
PREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOU
PREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOUPREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOU
PREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOUiBLISS Segurança & Inteligência
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?Paulo Renato Lopes Seixas
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisMauro Risonho de Paula Assumpcao
 
Site blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite Blindado S.A.
 
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...FecomercioSP
 

Mais conteúdo relacionado

Semelhante a Modelagem de Ameaças para Pentester - menos de

Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?tdc-globalcode
 
Desenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIODesenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIOAugusto Marinho
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...E-Commerce Brasil
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internetelliando dias
 
Prasys gerenciamento de riscos ágil
Prasys gerenciamento de riscos ágilPrasys gerenciamento de riscos ágil
Prasys gerenciamento de riscos ágilAlexandre Lyra
 
Curso Ger. Riscos - Dia 02 / Parte 2
Curso Ger. Riscos - Dia 02 / Parte 2Curso Ger. Riscos - Dia 02 / Parte 2
Curso Ger. Riscos - Dia 02 / Parte 2Peter Mello
 
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUPREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUibliss-seguranca
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisMauro Risonho de Paula Assumpcao
 
Site blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite Blindado S.A.
 
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...FecomercioSP
 

Semelhante a Modelagem de Ameaças para Pentester - menos de (20)

Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
 
teste de invasão
teste de invasãoteste de invasão
teste de invasão
 
ANÁLISE E GERENCIAMENTO DE RISCOS.pptx
ANÁLISE E GERENCIAMENTO DE RISCOS.pptxANÁLISE E GERENCIAMENTO DE RISCOS.pptx
ANÁLISE E GERENCIAMENTO DE RISCOS.pptx
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
 
Desenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIODesenvolvimento Seguro Android GDG RIO
Desenvolvimento Seguro Android GDG RIO
 
Estrategias Ágeis para testes sob pressão
Estrategias Ágeis para testes sob pressãoEstrategias Ágeis para testes sob pressão
Estrategias Ágeis para testes sob pressão
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Segurança na Internet
Segurança na InternetSegurança na Internet
Segurança na Internet
 
Prasys gerenciamento de riscos ágil
Prasys gerenciamento de riscos ágilPrasys gerenciamento de riscos ágil
Prasys gerenciamento de riscos ágil
 
Curso Ger. Riscos - Dia 02 / Parte 2
Curso Ger. Riscos - Dia 02 / Parte 2Curso Ger. Riscos - Dia 02 / Parte 2
Curso Ger. Riscos - Dia 02 / Parte 2
 
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUPREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
 
PREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOU
PREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOUPREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOU
PREVENÇÃO VS RESPOSTA À INCIDENTES: O FOCO MUDOU
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender mais
 
Site blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender mais
 
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
 

Modelagem de Ameaças para Pentester - menos de