Modelagem ameaças para Pentester

459 visualizações

Publicada em

O objetivo é mostrar como obter melhores resultados em Testes de Penetração através da metodologia utilizada em Modelagem de Ameaças.

Porque nem sempre o objetivo é ganhar o Root.

Publicada em: Internet
0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
459
No SlideShare
0
A partir de incorporações
0
Número de incorporações
7
Ações
Compartilhamentos
0
Downloads
10
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Modelagem ameaças para Pentester

  1. 1. Modelagem de Ameaças para Pentester Porque nem sempre o objetivo é ganhar o Root Leandro Rocha Security BSides São Paulo (Co0L BSidesSP) - Edição 10
  2. 2. SOBRE • Consultor na Conviso Application Security • Formado em Sistemas - PUC • Membro do Staff H2HC • Pai
  3. 3. Palavras que não pronuncio! P + U + T + A C + U || K + U F + O + D + A || E || I M + E + R + D + A
  4. 4. Qual o cenário de abuso?
  5. 5. TROLAGEM PALAVRAS TROLL
  6. 6. UM POUCO SOBRE AMEAÇAS
  7. 7. ATACANTE Aquele que causa dano, pode ser uma Pessoa ou um Desastre Natural O dano pode ser Intencional, acidental, manual, automatizada, escolhida a dedo, escolhida a esmo e etc..
  8. 8. ATIVO Item de valor para o atacante Valor para você ≠ Valor para o Atacante
  9. 9. VULNERABILIDADE É o mecanismo utilizado pelo atacante para realizar a ameaça Bugs, falhas de desenho, falhas de processo, falhas de implementação, etc…
  10. 10. AMEAÇA ATIVO MECANISMO ATACANTE
  11. 11. MITIGAÇÃO Ação que minimiza ou elimina o dano causado pela ameaça
  12. 12. Estrela da Morte X-Wing Luke Skywalker Mitigação Exaustor Térmico Tie-Fighters Ativo Atacante Vulnerabilidade
  13. 13. COMO CALCULAR O RISCO
  14. 14. GRAU DE RISCO PROBABILIDADE + IMPACTO BAIXO MÉDIO ALTO 0 < 3 3 < 6 6 < 9
  15. 15. RISCO GRAU DO RISCO IMPACTO ALTO MÉDIO CRÍTICO MÉDIO BAIXO MÉDIO ALTO BAIXO NOTA BAIXO MÉDIO BAIXO MÉDIO ALTO PROBABILIDADE ALTO
  16. 16. BOAS PRÁTICAS PARA PENTESTERS (Basedo em minha própria experiência errante)
  17. 17. Planejamento é tudo… “Falta de inteligência é estar no ringue de olhos vendados”. Gen. DAVID M. SHOUP
  18. 18. Obtendo melhores resultados ✓ Entender o negócio do cliente ✓ Definir os ativos ✓ Definir o atacante ✓ Mapear superfície de ataque ✓ Encontrar vulnerabilidades
  19. 19. Obtendo melhores resultados Quem te contratou não entende de VULNERABILIDADE! Entende de IMPACTO!
  20. 20. ATIVO ? MECANISMO ATACANTE ?
  21. 21. Porque nem sempre o objetivo é ganhar o Root SER ROOT É APENAS O COMEÇO
  22. 22. Referência 1. https://www.owasp.org/index.php/RiskRating 2. https://www.owasp.org/index.php/Application_Threat_Modeling 3.https://www.owasp.org/images/9/99/ Threat_Modeling_von_Webanwendungen_Mythen_und_Best_Practices_- _Matthias_Rohr.pdf
  23. 23. Social @_rochax br.linkedin.com/in/lrocha/ leandro.roc@gmail.com

×