ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
pentester 2.pdf
1.
2. www.eSecurity.com.br
O que temos para hoje?
Menu do dia:
Introdução ao Pentest
Pentest vs Auditoria
Processos de um Pentest
Relatório Linha do Tempo
Mapa Mental
Como valorizar um Teste de Intrusão
3. Processos de um Pentest
Para iniciarmos o serviço de Pentest, devemos efetuar 3 processos obrigatórios:
1. Efetuar o processo de Varredura
a) Realizar Scans de sistemas operacionais
b) Identificar serviços e suas versões
c) Identificar Redes e Ips
d) Procurar por arquivos desprotegidos
2. Identificar e enumerar as vulnerabilidades
a) Procurar por exploits
b) Verificar portas abertas de forma insegura
c) Procurar por serviços publicados de forma insegura
d) Procurar por senhas fracas
e) Procurar por erros de configuração e programação
3. Efetuar a exploração e documenta-las
a) Explorar falhas encontradas
b) Escalar privilégios
c) Documentar acessos indevidos
d) Efetuar Bypass de sistemas de proteção
e) Enumerar e documentar falhas encontradas
www.eSecurity.com.br
4. Relatório Linha do Tempo
É onde você descreve o que fará e o que já fez. Siga rigorosamente esta linha do
tempo para evitar processos ou problemas a você ou seu cliente.
Não existe um modelo específico, pois, cada projeto deve seguir um modelo
diferenciado.
O importante é que no seu relatório de linha do tempo, tenha o que chamamos de
transbordo, ou seja, são algumas horas adicionais que serão usadas caso você
tenha problemas ao decorrer das previsões anteriores
Esse transbordo não poderá ultrapassar 20% das horas do projeto.
www.eSecurity.com.br
5. Mapa Mental
O mapa mental lhe dará um caminho a ser seguido e poderá fazer com que você
não se esqueça de utilizar determinadas técnicas ou ferramentas.
www.eSecurity.com.br
NMAP
Service Detection
Version Trace
Version-All
TIMING
-T(0-5)
Min/Max
HostGroup
6. Relatório Linha do Tempo
Modelo básico de Relatório de Linha do tempo
www.eSecurity.com.br
7. Valorizando seu Teste de Intrusão
Esse é um processo bem problemático, por vários motivos, porém, iremos listar :
1. Como efetuar a cobrança
a) Projeto
b) Por hora
c) Por Dispositivo/Página
2. Problemas burocráticos
a) Realizar um Pentest sem CNPJ
b) Sistema de Tributação
c) Certificações
d) Indicações
e) Modelo de Relatório
www.eSecurity.com.br