SlideShare uma empresa Scribd logo

[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar

GUTS-RS
GUTS-RS

Princípios de testes de segurança e planeamento de testes de segurança, evento de 13 anos do GUTS 27/08/2021

Tecnologia
1 de 18
Baixar para ler offline
TESTES DE SEGURANÇA "O que preciso saber para planejar" Agosto 2021 Especial de aniversário
QUEM SOMOS? Fábio Araújo QA Team Lead na Via Bacharel em Sistema de Informação e Gestão de qualidade Professor de engenharia de qualidade na EBAC + 20 anos na área de TI => + 12 anos em qualidade Passei pela Magneti Marelli, Valor Econômico, Ticket com grande foco em evolução e trabalhando por um "Mundo bem melhor" Ernesto Barbosa Solutions Engineer na CWI Bacharel em Ciência da computação (Feevale/RS) Mestre em Computação aplicada. (Unisinos/RS) Professor no curso de Engenharia de Qualidade na EBAC (Escola Britânica de Artes Criativas) Instrutor voluntário do +praTi + 10 anos na área de TI buscando aprender e compartilhar
AGENDA • Produção de conteúdo em teste de qualidade de software: da comunidade para a comunidade Júlio de Lima • Testes de segurança - O que preciso saber para planejar: => Parte 1 - Conceitos: Testes de segurança, estrategia, tipos e técnicas Fábio Araújo => Parte II - Hands-On José Ernesto Barbosa Agosto 2021 Especial de aniversário
Você já sofreu algum tipo de fraude? ⓘ Start presenting to display the poll results on this slide.
493% De aumento de casos de invasão em 2021 VOCÊ ESTÁ SEGURO? 612% De tentativas de fraudes digitais em serviços financeiros. 66% só em dispositivos móveis R$ 2.7 bi Prejuízo estimado com fraudes financeiras 223.000.000 De brasileiros com dados vazados, incluindo fotos, endereços, documentos e renda. 1.566% De aumento de pessoas tentando se passar por outra 12 às 0hs Horário dos golpes. Houve uma mudança no comportamento dos fraudadores.
MOTIVOS DE INVASÕES Ideologia Política, ativismo , discordância sociais, Liberdade de expressão… Alguns casos chamados de Hacktvistas. Trabalho Hacker do bem, contratados para achar vulnerabilidades no Sistema. Também conhecidos como Ethical Hacker. Curiosidade & Desafio A porta de entrada da maioria dos hackers é a curiosidade e para se desafiar. Além disto muitos fazem por diversão. Ciúmes Pessoas desconfiadas que estão sendo traídas, passam dos seus limites. Roubo & Espionagem Agir por interesse próprio ou por quadrilhas especializadas e espionagem empresarial.
QUEM SÃO OS HACKERS? A origem do termo hacker surgiu na década de 60, nos EUA. O uso da expressão “hack” era para designar uma solução inovadora para qualquer problema. Com o passar dos anos, o termo foi associado aos programadores. O mercado de trabalho é amplo para os hackers: Segurança de informação, perícia, pesquisas de vulnerabilidade, desenv. de softwares, testes de invasão, gestão de riscos, etc... Hackers são pessoas com um conhecimento profundo de engenharia de software e hardware.
Blue Team Time de defesa: Avalia a segurança de rede e identifica possíveis vulnerabilidades. Seu foco em detecção de ameaças e resposta de incidentes, ou seja, seu principal objetivo é aplicar estratégias de defesa e manter a segurança dos sistemas e aplicações. Red team Time de ataque: Tem como função a realização de testes de penetração. Imita ataques do mundo real, fazendo uso de todas as etapas e habilidades que um invasor usaria para, assim, identificar falhas e ameaças à segurança. VS SIMULAÇÃO DE SEGURANÇA INTERNA
DDoS “Negação Atribuída de Serviço", sobrecarrega as atividades computacionais, provocando lentidão e tornando os sites indisponíveis. PRINCIPAIS TIPOS DE ATAQUE Cavalo de tróia Malware que opera com “autorização” do usuário. Ex. Execução de algum anexo de email ou download de softwares. Ransomware “Sequestrador Virtual” tem por objetivo bloquear o acesso a todos os dados, que são liberados somente após o pagamento por criptomoeda. Port Scanning Através de malwares que faz uma busca pelo servidor na tentativa de encontrar alguma vulnerabilidade no Sistema. Força bruta Consiste basicamente em furtar senhas através de diversas tentativas de combinações de usuário e senha. Phishing Geralmente realizado na forma de e-mail, usuários são levados a revelarem informações sigilosas: documentos, senhas e dados bancários. Engenharia social Essa técnica vem da psicologia e explora os erros humanos, conversas envolventes ou espionagem de comportamentos da vítima.
TESTES DE SEGURANÇA É um tipo de Teste de Software não funcional, que descobre vulnerabilidades em um sistema para evitar ataques maliciosos de intrusos. Tem como objetivo desenterrar todas as lacunas e fraquezas possíveis do sistema de software que podem resultar em vazamentos de dados e invasão. É parte integrante do teste de software com um ciclo de vida completo, especialmente em um ambiente de implementação ágil e cultura DevSecOps
6 - Não repúdio 4 - Autorização 2 - Integridade 5 - Confidencialidade 1 - Disponibilidade 3 - Autenticação Garantia de que um serviço ou sistema está funcional e disponível e está fazendo o que se espera que faça. PRINCÍPIOS DE TESTE DE SEGURANÇA Consiste em confirmar a identidade de uma pessoa / sistema, tentando acessar um recurso protegido em outro sistema. É um processo de segurança que protege os dados do mundo externo por meio de criptografia / hash etc. Garantia de que os dados ou resultados são consistentes e precisos em todas as plataformas. É o processo de definir as funções que um cliente* tem permissão para realizar ações em um recurso protegido residente em um servidor. O não repúdio é usado para garantir que uma mensagem transmitida foi enviada e recebida pela pessoa que afirma ter enviado e recebido a mensagem.
ESTRATÉGIAS 1. VARREDURA DE VULNERABILIDADE: Isso é feito por meio de ferramentas de software automatizadas para varrer um sistema contra vulnerabilidades conhecidas. 2. VARREDURA DE SEGURANÇA: envolve a identificação de fraquezas da rede e do sistema por meio de ferramentas manuais e automatizadas e fornece soluções para reduzir esses riscos. 3. TESTE DE PENETRAÇÃO (Pentest): Este teste envolve a análise de um determinado sistema / serviço / aplicativo para verificar possíveis vulnerabilidades por meio da simulação de uma tentativa de hacking. 4. AVALIAÇÃO DE RISCO: Este teste envolve a análise de riscos de segurança e sua classificação como Baixo, Médio e Alto. Este teste recomenda controles e medidas para reduzir o risco. 5. AUDITORIA DE SEGURANÇA: Esta é uma inspeção interna de Aplicativos / Sistemas / Serviços para incidentes de violação de segurança. 6. HACKER ÉTICO: Hackear os sistemas de software de uma empresa com a intenção de expor falhas de segurança no sistema. 7. AVALIAÇÃO DE POSTURA: Combina varredura de segurança, hackeamento ético e avaliações de risco para mostrar uma postura geral de segurança de uma organização
SAST Static Application Security Testing Teste de segurança de aplicativo estático é um método de teste de caixa branca que examina o código-fonte para encontrar falhas e pontos fracos de software, como injeção de SQL, XML, JSON, registro e monitoramento insuficientes DAST Dynamic Application Security Testing Teste de segurança de aplicativo dinâmico é um método de teste de caixa preta que examina um aplicativo em seu tempo de execução para encontrar vulnerabilidades que um invasor potencial pode explorar. ANÁLISE ESTÁTICA vs DINÂMICA
Um plano de teste de segurança deve ter: ○ Casos de teste ou cenários descrevendo seu objetivo e alvos; ○ Massa de dados de teste utilizados para reproduzir os "ataques" ○ Ferramentas de teste necessárias para testes de segurança (estáticas e dinâmicas); ○ Análise dos resultados dos testes em diferentes ferramentas de segurança. PLANO DE TESTE
O OWASP (Open Web Application Security Project) mantém uma lista com as 10 falhas de segurança de aplicativos Web mais perigosas, juntamente com os métodos mais eficazes para lidar com elas. Do maior para o menor: TOP 10 FALHAS DE SEGURANÇA 1 Injection 2 3 4 5 Broken Authentication Sensitive data exposure XML External Entities Broken Access Control Security Misconfiguration Insecure Deserialization Using Components with know vulnerabilities Insufficient Logging & Monitoring Cross-site scripting XSS 6 7 8 9 10
○ Acunetix ○ Netsparker ○ ZED Attack Proxy (ZAP) ○ Suite Burp ○ SonarQube ○ Klocwork ○ Github Security FERRAMENTAS DE TESTES DE SEGURANÇA
HANDS ON Agosto 2021 Especial de aniversário
REFERÊNCIAS • https://backupgarantido.com.br/blog/tipos-de-ataque-hacker/ • https://blog.konduto.com/pt/2021/07/censo-da-fraude-2021-como-e-o-comportamento-do-fraudador- no-brasil/ • https://g1.globo.com/economia/noticia/2021/06/24/cresce-no-de-consumidores-vitimas-de-fraudes-fin anceiras-no-brasil-veja-ranking-das-mais-recorrentes.ghtml • https://valorinveste.globo.com/produtos/servicos-financeiros/noticia/2021/07/06/tentativas-de-frau des-digitais-em-servicos-financeiros-crescem-612percent-no-brasil-em-2021.ghtml • https://medium.com/it-security-best-practices-methodologies-loopholes/security-testing-basics-that-y ou-should-know-999f02084dc3 • https://www.sonarqube.org/features/security/owasp/ • https://www.alura.com.br/conteudo/owasp-application-security-verification-standard?gclid=Cj0KCQj wjo2JBhCRARIsAFG667X9Wh8Rc9Fs97o0FCnqmfNWfi306xNZYmNguV0TZPCFFI1OUYfhq3EaAhrf EALw_wcB • https://owasp.org/www-project-top-ten/ • https://ebaconline.com.br/engenheiro-de-qualidade • https://ebaconline.com.br/qualidade-de-software

Recomendados

Java security
Java securityJava security
Java securityarmeniocardoso
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Documento Técnico - Simulado do Exame CASE
Documento Técnico - Simulado do Exame CASEDocumento Técnico - Simulado do Exame CASE
Documento Técnico - Simulado do Exame CASETI Safe
 

Recomendados

Java security
Java securityJava security
Java securityarmeniocardoso
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Dss 3
Dss 3Dss 3
Dss 3Jean Carlos da Silva
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMArtigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Documento Técnico - Simulado do Exame CASE
Documento Técnico - Simulado do Exame CASEDocumento Técnico - Simulado do Exame CASE
Documento Técnico - Simulado do Exame CASETI Safe
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
Relatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioRelatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioVitor Melo
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de códigoWanderlei Silva do Carmo
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCarlos Eduardo Motta de Castro
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil Bruno Dantas
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilBruno Dantas
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Aplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingAplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingVitor Melo
 
Estudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webEstudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webTiago Carmo
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app webKleitor Franklint Correa Araujo
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoGionni Lúcio
 

Mais conteúdo relacionado

Mais procurados

Relatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioRelatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioVitor Melo
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil Bruno Dantas
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilBruno Dantas
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Aplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingAplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingVitor Melo
 
Estudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webEstudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webTiago Carmo
 

Mais procurados (19)

Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
Relatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioRelatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticio
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de código
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos Confiaveis
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
 
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
CPBR11 - DevSecOps: Adotando uma cultura de segurança ágil
 
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágilDevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
DevOpsDays Brasilia - DevSecOps: Adotando uma cultura de segurança ágil
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dados
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 
Aplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingAplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentesting
 
Estudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webEstudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações web
 

Semelhante a [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar

Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoGionni Lúcio
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewData Security
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoEndrigo Antonini
 

Semelhante a [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar (20)

Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da Informação
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento Seguro
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
 
Aula11.pdf
Aula11.pdfAula11.pdf
Aula11.pdf
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - Overview
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
IT2S Group
IT2S GroupIT2S Group
IT2S Group
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuo
 

Mais de GUTS-RS

[GUTS-RS] Testes de Performance
[GUTS-RS] Testes de Performance [GUTS-RS] Testes de Performance
[GUTS-RS] Testes de PerformanceGUTS-RS
 
Evento novembro 2018 - Desafios do QA - Da automação ao Ágil
Evento novembro 2018 - Desafios do QA - Da automação ao ÁgilEvento novembro 2018 - Desafios do QA - Da automação ao Ágil
Evento novembro 2018 - Desafios do QA - Da automação ao ÁgilGUTS-RS
 
Evento setembro 2018 - Criando comunidades de prática na organização
Evento setembro 2018 - Criando comunidades de prática na organizaçãoEvento setembro 2018 - Criando comunidades de prática na organização
Evento setembro 2018 - Criando comunidades de prática na organizaçãoGUTS-RS
 
10 ANOS DE GUTS-RS E A EVOLUÇÃO DO QA NESSES 10 ANOS
10 ANOS DE GUTS-RS E A EVOLUÇÃO DO QA NESSES 10 ANOS10 ANOS DE GUTS-RS E A EVOLUÇÃO DO QA NESSES 10 ANOS
10 ANOS DE GUTS-RS E A EVOLUÇÃO DO QA NESSES 10 ANOSGUTS-RS
 
[GUTS-RS] Evento Julho 2018 - Testes de Software em ambientes ERP SAP
[GUTS-RS] Evento Julho 2018 - Testes de Software em ambientes ERP SAP[GUTS-RS] Evento Julho 2018 - Testes de Software em ambientes ERP SAP
[GUTS-RS] Evento Julho 2018 - Testes de Software em ambientes ERP SAPGUTS-RS
 
[GUTS-RS]​ Evento Maio 2018 - Carreira na área de Testes
[GUTS-RS]​ Evento Maio 2018 - Carreira na área de Testes[GUTS-RS]​ Evento Maio 2018 - Carreira na área de Testes
[GUTS-RS]​ Evento Maio 2018 - Carreira na área de TestesGUTS-RS
 
[GUTS-RS] Evento Abril 2018 - Qualidade de código para automação de testes
[GUTS-RS] Evento Abril 2018 - Qualidade de código para automação de testes[GUTS-RS] Evento Abril 2018 - Qualidade de código para automação de testes
[GUTS-RS] Evento Abril 2018 - Qualidade de código para automação de testesGUTS-RS
 
GUTS Talks Março 2018
GUTS Talks Março 2018GUTS Talks Março 2018
GUTS Talks Março 2018GUTS-RS
 
[GUTS-RS] GUTS Talks - Automação de Testes
[GUTS-RS] GUTS Talks - Automação de Testes[GUTS-RS] GUTS Talks - Automação de Testes
[GUTS-RS] GUTS Talks - Automação de TestesGUTS-RS
 
[GUTS-RS] Evento Outubro 2017 - Entrega contínua do zero ao sucesso
[GUTS-RS] Evento Outubro 2017 - Entrega contínua do zero ao sucesso[GUTS-RS] Evento Outubro 2017 - Entrega contínua do zero ao sucesso
[GUTS-RS] Evento Outubro 2017 - Entrega contínua do zero ao sucessoGUTS-RS
 
[GUTS-RS] Evento Setembro 2017 - Continuous Integration, Delivery e Deploymen...
[GUTS-RS] Evento Setembro 2017 - Continuous Integration, Delivery e Deploymen...[GUTS-RS] Evento Setembro 2017 - Continuous Integration, Delivery e Deploymen...
[GUTS-RS] Evento Setembro 2017 - Continuous Integration, Delivery e Deploymen...GUTS-RS
 
[GUTS-RS] GUDay 2017: Qualidade impulsionando negócios, criando marcas e prod...
[GUTS-RS] GUDay 2017: Qualidade impulsionando negócios, criando marcas e prod...[GUTS-RS] GUDay 2017: Qualidade impulsionando negócios, criando marcas e prod...
[GUTS-RS] GUDay 2017: Qualidade impulsionando negócios, criando marcas e prod...GUTS-RS
 
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...GUTS-RS
 
[GUTS-RS] GUTS Talks - Soft Skills
[GUTS-RS] GUTS Talks - Soft Skills[GUTS-RS] GUTS Talks - Soft Skills
[GUTS-RS] GUTS Talks - Soft SkillsGUTS-RS
 
[GUTS-RS] Workshop de Introdução ao Behaviour-Driven Development
[GUTS-RS] Workshop de Introdução ao Behaviour-Driven Development[GUTS-RS] Workshop de Introdução ao Behaviour-Driven Development
[GUTS-RS] Workshop de Introdução ao Behaviour-Driven DevelopmentGUTS-RS
 
[GUTS-RS] Test Thinking
[GUTS-RS] Test Thinking[GUTS-RS] Test Thinking
[GUTS-RS] Test ThinkingGUTS-RS
 
[GUTS-RS] GUTS Universitário - Carreira de Testes
[GUTS-RS] GUTS Universitário - Carreira de Testes[GUTS-RS] GUTS Universitário - Carreira de Testes
[GUTS-RS] GUTS Universitário - Carreira de TestesGUTS-RS
 
[GUTS-RS] MBehavior, um framework de automação de testes multiplataforma para...
[GUTS-RS] MBehavior, um framework de automação de testes multiplataforma para...[GUTS-RS] MBehavior, um framework de automação de testes multiplataforma para...
[GUTS-RS] MBehavior, um framework de automação de testes multiplataforma para...GUTS-RS
 
[GUTS-RS] Mobile Testing
[GUTS-RS] Mobile Testing[GUTS-RS] Mobile Testing
[GUTS-RS] Mobile TestingGUTS-RS
 
[GUTS-RS] Testar Interfaces com UX
[GUTS-RS] Testar Interfaces com UX[GUTS-RS] Testar Interfaces com UX
[GUTS-RS] Testar Interfaces com UXGUTS-RS
 

Mais de GUTS-RS (20)

[GUTS-RS] Testes de Performance
[GUTS-RS] Testes de Performance [GUTS-RS] Testes de Performance
[GUTS-RS] Testes de Performance
 
Evento novembro 2018 - Desafios do QA - Da automação ao Ágil
Evento novembro 2018 - Desafios do QA - Da automação ao ÁgilEvento novembro 2018 - Desafios do QA - Da automação ao Ágil
Evento novembro 2018 - Desafios do QA - Da automação ao Ágil
 
Evento setembro 2018 - Criando comunidades de prática na organização
Evento setembro 2018 - Criando comunidades de prática na organizaçãoEvento setembro 2018 - Criando comunidades de prática na organização
Evento setembro 2018 - Criando comunidades de prática na organização
 
10 ANOS DE GUTS-RS E A EVOLUÇÃO DO QA NESSES 10 ANOS
10 ANOS DE GUTS-RS E A EVOLUÇÃO DO QA NESSES 10 ANOS10 ANOS DE GUTS-RS E A EVOLUÇÃO DO QA NESSES 10 ANOS
10 ANOS DE GUTS-RS E A EVOLUÇÃO DO QA NESSES 10 ANOS
 
[GUTS-RS] Evento Julho 2018 - Testes de Software em ambientes ERP SAP
[GUTS-RS] Evento Julho 2018 - Testes de Software em ambientes ERP SAP[GUTS-RS] Evento Julho 2018 - Testes de Software em ambientes ERP SAP
[GUTS-RS] Evento Julho 2018 - Testes de Software em ambientes ERP SAP
 
[GUTS-RS]​ Evento Maio 2018 - Carreira na área de Testes
[GUTS-RS]​ Evento Maio 2018 - Carreira na área de Testes[GUTS-RS]​ Evento Maio 2018 - Carreira na área de Testes
[GUTS-RS]​ Evento Maio 2018 - Carreira na área de Testes
 
[GUTS-RS] Evento Abril 2018 - Qualidade de código para automação de testes
[GUTS-RS] Evento Abril 2018 - Qualidade de código para automação de testes[GUTS-RS] Evento Abril 2018 - Qualidade de código para automação de testes
[GUTS-RS] Evento Abril 2018 - Qualidade de código para automação de testes
 
GUTS Talks Março 2018
GUTS Talks Março 2018GUTS Talks Março 2018
GUTS Talks Março 2018
 
[GUTS-RS] GUTS Talks - Automação de Testes
[GUTS-RS] GUTS Talks - Automação de Testes[GUTS-RS] GUTS Talks - Automação de Testes
[GUTS-RS] GUTS Talks - Automação de Testes
 
[GUTS-RS] Evento Outubro 2017 - Entrega contínua do zero ao sucesso
[GUTS-RS] Evento Outubro 2017 - Entrega contínua do zero ao sucesso[GUTS-RS] Evento Outubro 2017 - Entrega contínua do zero ao sucesso
[GUTS-RS] Evento Outubro 2017 - Entrega contínua do zero ao sucesso
 
[GUTS-RS] Evento Setembro 2017 - Continuous Integration, Delivery e Deploymen...
[GUTS-RS] Evento Setembro 2017 - Continuous Integration, Delivery e Deploymen...[GUTS-RS] Evento Setembro 2017 - Continuous Integration, Delivery e Deploymen...
[GUTS-RS] Evento Setembro 2017 - Continuous Integration, Delivery e Deploymen...
 
[GUTS-RS] GUDay 2017: Qualidade impulsionando negócios, criando marcas e prod...
[GUTS-RS] GUDay 2017: Qualidade impulsionando negócios, criando marcas e prod...[GUTS-RS] GUDay 2017: Qualidade impulsionando negócios, criando marcas e prod...
[GUTS-RS] GUDay 2017: Qualidade impulsionando negócios, criando marcas e prod...
 
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...
 
[GUTS-RS] GUTS Talks - Soft Skills
[GUTS-RS] GUTS Talks - Soft Skills[GUTS-RS] GUTS Talks - Soft Skills
[GUTS-RS] GUTS Talks - Soft Skills
 
[GUTS-RS] Workshop de Introdução ao Behaviour-Driven Development
[GUTS-RS] Workshop de Introdução ao Behaviour-Driven Development[GUTS-RS] Workshop de Introdução ao Behaviour-Driven Development
[GUTS-RS] Workshop de Introdução ao Behaviour-Driven Development
 
[GUTS-RS] Test Thinking
[GUTS-RS] Test Thinking[GUTS-RS] Test Thinking
[GUTS-RS] Test Thinking
 
[GUTS-RS] GUTS Universitário - Carreira de Testes
[GUTS-RS] GUTS Universitário - Carreira de Testes[GUTS-RS] GUTS Universitário - Carreira de Testes
[GUTS-RS] GUTS Universitário - Carreira de Testes
 
[GUTS-RS] MBehavior, um framework de automação de testes multiplataforma para...
[GUTS-RS] MBehavior, um framework de automação de testes multiplataforma para...[GUTS-RS] MBehavior, um framework de automação de testes multiplataforma para...
[GUTS-RS] MBehavior, um framework de automação de testes multiplataforma para...
 
[GUTS-RS] Mobile Testing
[GUTS-RS] Mobile Testing[GUTS-RS] Mobile Testing
[GUTS-RS] Mobile Testing
 
[GUTS-RS] Testar Interfaces com UX
[GUTS-RS] Testar Interfaces com UX[GUTS-RS] Testar Interfaces com UX
[GUTS-RS] Testar Interfaces com UX
 

[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar

  • 1. TESTES DE SEGURANÇA "O que preciso saber para planejar" Agosto 2021 Especial de aniversário
  • 2. QUEM SOMOS? Fábio Araújo QA Team Lead na Via Bacharel em Sistema de Informação e Gestão de qualidade Professor de engenharia de qualidade na EBAC + 20 anos na área de TI => + 12 anos em qualidade Passei pela Magneti Marelli, Valor Econômico, Ticket com grande foco em evolução e trabalhando por um "Mundo bem melhor" Ernesto Barbosa Solutions Engineer na CWI Bacharel em Ciência da computação (Feevale/RS) Mestre em Computação aplicada. (Unisinos/RS) Professor no curso de Engenharia de Qualidade na EBAC (Escola Britânica de Artes Criativas) Instrutor voluntário do +praTi + 10 anos na área de TI buscando aprender e compartilhar
  • 3. AGENDA • Produção de conteúdo em teste de qualidade de software: da comunidade para a comunidade Júlio de Lima • Testes de segurança - O que preciso saber para planejar: => Parte 1 - Conceitos: Testes de segurança, estrategia, tipos e técnicas Fábio Araújo => Parte II - Hands-On José Ernesto Barbosa Agosto 2021 Especial de aniversário
  • 4. Você já sofreu algum tipo de fraude? ⓘ Start presenting to display the poll results on this slide.
  • 5. 493% De aumento de casos de invasão em 2021 VOCÊ ESTÁ SEGURO? 612% De tentativas de fraudes digitais em serviços financeiros. 66% só em dispositivos móveis R$ 2.7 bi Prejuízo estimado com fraudes financeiras 223.000.000 De brasileiros com dados vazados, incluindo fotos, endereços, documentos e renda. 1.566% De aumento de pessoas tentando se passar por outra 12 às 0hs Horário dos golpes. Houve uma mudança no comportamento dos fraudadores.
  • 6. MOTIVOS DE INVASÕES Ideologia Política, ativismo , discordância sociais, Liberdade de expressão… Alguns casos chamados de Hacktvistas. Trabalho Hacker do bem, contratados para achar vulnerabilidades no Sistema. Também conhecidos como Ethical Hacker. Curiosidade & Desafio A porta de entrada da maioria dos hackers é a curiosidade e para se desafiar. Além disto muitos fazem por diversão. Ciúmes Pessoas desconfiadas que estão sendo traídas, passam dos seus limites. Roubo & Espionagem Agir por interesse próprio ou por quadrilhas especializadas e espionagem empresarial.
  • 7. QUEM SÃO OS HACKERS? A origem do termo hacker surgiu na década de 60, nos EUA. O uso da expressão “hack” era para designar uma solução inovadora para qualquer problema. Com o passar dos anos, o termo foi associado aos programadores. O mercado de trabalho é amplo para os hackers: Segurança de informação, perícia, pesquisas de vulnerabilidade, desenv. de softwares, testes de invasão, gestão de riscos, etc... Hackers são pessoas com um conhecimento profundo de engenharia de software e hardware.
  • 8. Blue Team Time de defesa: Avalia a segurança de rede e identifica possíveis vulnerabilidades. Seu foco em detecção de ameaças e resposta de incidentes, ou seja, seu principal objetivo é aplicar estratégias de defesa e manter a segurança dos sistemas e aplicações. Red team Time de ataque: Tem como função a realização de testes de penetração. Imita ataques do mundo real, fazendo uso de todas as etapas e habilidades que um invasor usaria para, assim, identificar falhas e ameaças à segurança. VS SIMULAÇÃO DE SEGURANÇA INTERNA
  • 9. DDoS “Negação Atribuída de Serviço", sobrecarrega as atividades computacionais, provocando lentidão e tornando os sites indisponíveis. PRINCIPAIS TIPOS DE ATAQUE Cavalo de tróia Malware que opera com “autorização” do usuário. Ex. Execução de algum anexo de email ou download de softwares. Ransomware “Sequestrador Virtual” tem por objetivo bloquear o acesso a todos os dados, que são liberados somente após o pagamento por criptomoeda. Port Scanning Através de malwares que faz uma busca pelo servidor na tentativa de encontrar alguma vulnerabilidade no Sistema. Força bruta Consiste basicamente em furtar senhas através de diversas tentativas de combinações de usuário e senha. Phishing Geralmente realizado na forma de e-mail, usuários são levados a revelarem informações sigilosas: documentos, senhas e dados bancários. Engenharia social Essa técnica vem da psicologia e explora os erros humanos, conversas envolventes ou espionagem de comportamentos da vítima.
  • 10. TESTES DE SEGURANÇA É um tipo de Teste de Software não funcional, que descobre vulnerabilidades em um sistema para evitar ataques maliciosos de intrusos. Tem como objetivo desenterrar todas as lacunas e fraquezas possíveis do sistema de software que podem resultar em vazamentos de dados e invasão. É parte integrante do teste de software com um ciclo de vida completo, especialmente em um ambiente de implementação ágil e cultura DevSecOps
  • 11. 6 - Não repúdio 4 - Autorização 2 - Integridade 5 - Confidencialidade 1 - Disponibilidade 3 - Autenticação Garantia de que um serviço ou sistema está funcional e disponível e está fazendo o que se espera que faça. PRINCÍPIOS DE TESTE DE SEGURANÇA Consiste em confirmar a identidade de uma pessoa / sistema, tentando acessar um recurso protegido em outro sistema. É um processo de segurança que protege os dados do mundo externo por meio de criptografia / hash etc. Garantia de que os dados ou resultados são consistentes e precisos em todas as plataformas. É o processo de definir as funções que um cliente* tem permissão para realizar ações em um recurso protegido residente em um servidor. O não repúdio é usado para garantir que uma mensagem transmitida foi enviada e recebida pela pessoa que afirma ter enviado e recebido a mensagem.
  • 12. ESTRATÉGIAS 1. VARREDURA DE VULNERABILIDADE: Isso é feito por meio de ferramentas de software automatizadas para varrer um sistema contra vulnerabilidades conhecidas. 2. VARREDURA DE SEGURANÇA: envolve a identificação de fraquezas da rede e do sistema por meio de ferramentas manuais e automatizadas e fornece soluções para reduzir esses riscos. 3. TESTE DE PENETRAÇÃO (Pentest): Este teste envolve a análise de um determinado sistema / serviço / aplicativo para verificar possíveis vulnerabilidades por meio da simulação de uma tentativa de hacking. 4. AVALIAÇÃO DE RISCO: Este teste envolve a análise de riscos de segurança e sua classificação como Baixo, Médio e Alto. Este teste recomenda controles e medidas para reduzir o risco. 5. AUDITORIA DE SEGURANÇA: Esta é uma inspeção interna de Aplicativos / Sistemas / Serviços para incidentes de violação de segurança. 6. HACKER ÉTICO: Hackear os sistemas de software de uma empresa com a intenção de expor falhas de segurança no sistema. 7. AVALIAÇÃO DE POSTURA: Combina varredura de segurança, hackeamento ético e avaliações de risco para mostrar uma postura geral de segurança de uma organização
  • 13. SAST Static Application Security Testing Teste de segurança de aplicativo estático é um método de teste de caixa branca que examina o código-fonte para encontrar falhas e pontos fracos de software, como injeção de SQL, XML, JSON, registro e monitoramento insuficientes DAST Dynamic Application Security Testing Teste de segurança de aplicativo dinâmico é um método de teste de caixa preta que examina um aplicativo em seu tempo de execução para encontrar vulnerabilidades que um invasor potencial pode explorar. ANÁLISE ESTÁTICA vs DINÂMICA
  • 14. Um plano de teste de segurança deve ter: ○ Casos de teste ou cenários descrevendo seu objetivo e alvos; ○ Massa de dados de teste utilizados para reproduzir os "ataques" ○ Ferramentas de teste necessárias para testes de segurança (estáticas e dinâmicas); ○ Análise dos resultados dos testes em diferentes ferramentas de segurança. PLANO DE TESTE
  • 15. O OWASP (Open Web Application Security Project) mantém uma lista com as 10 falhas de segurança de aplicativos Web mais perigosas, juntamente com os métodos mais eficazes para lidar com elas. Do maior para o menor: TOP 10 FALHAS DE SEGURANÇA 1 Injection 2 3 4 5 Broken Authentication Sensitive data exposure XML External Entities Broken Access Control Security Misconfiguration Insecure Deserialization Using Components with know vulnerabilities Insufficient Logging & Monitoring Cross-site scripting XSS 6 7 8 9 10
  • 16. ○ Acunetix ○ Netsparker ○ ZED Attack Proxy (ZAP) ○ Suite Burp ○ SonarQube ○ Klocwork ○ Github Security FERRAMENTAS DE TESTES DE SEGURANÇA
  • 17. HANDS ON Agosto 2021 Especial de aniversário
  • 18. REFERÊNCIAS • https://backupgarantido.com.br/blog/tipos-de-ataque-hacker/ • https://blog.konduto.com/pt/2021/07/censo-da-fraude-2021-como-e-o-comportamento-do-fraudador- no-brasil/ • https://g1.globo.com/economia/noticia/2021/06/24/cresce-no-de-consumidores-vitimas-de-fraudes-fin anceiras-no-brasil-veja-ranking-das-mais-recorrentes.ghtml • https://valorinveste.globo.com/produtos/servicos-financeiros/noticia/2021/07/06/tentativas-de-frau des-digitais-em-servicos-financeiros-crescem-612percent-no-brasil-em-2021.ghtml • https://medium.com/it-security-best-practices-methodologies-loopholes/security-testing-basics-that-y ou-should-know-999f02084dc3 • https://www.sonarqube.org/features/security/owasp/ • https://www.alura.com.br/conteudo/owasp-application-security-verification-standard?gclid=Cj0KCQj wjo2JBhCRARIsAFG667X9Wh8Rc9Fs97o0FCnqmfNWfi306xNZYmNguV0TZPCFFI1OUYfhq3EaAhrf EALw_wcB • https://owasp.org/www-project-top-ten/ • https://ebaconline.com.br/engenheiro-de-qualidade • https://ebaconline.com.br/qualidade-de-software