Modelagem de Ameaças para 
Pentester 
Porque nem sempre o objetivo é ganhar o Root 
Leandro Rocha 
Security BSides São Pau...
SOBRE 
• Consultor na Conviso Application Security 
• Formado em Sistemas - PUC 
• Membro do Staff H2HC 
• Pai
Palavras que não pronuncio! 
P + U + T + A 
C + U || K + U 
F + O + D + A || E || I 
M + E + R + D + A
Qual o cenário de abuso?
TROLAGEM 
PALAVRAS TROLL
UM POUCO SOBRE AMEAÇAS
ATACANTE 
Aquele que causa dano, pode ser uma 
Pessoa ou um Desastre Natural 
O dano pode ser Intencional, acidental, manu...
ATIVO 
Item de valor para o atacante 
Valor para você 
≠ 
Valor para o Atacante
VULNERABILIDADE 
É o mecanismo utilizado pelo atacante 
para realizar a ameaça 
Bugs, falhas de desenho, falhas de process...
AMEAÇA 
ATIVO 
MECANISMO ATACANTE
MITIGAÇÃO 
Ação que minimiza ou elimina o dano 
causado pela ameaça
Estrela da Morte 
X-Wing 
Luke Skywalker 
Mitigação 
Exaustor Térmico 
Tie-Fighters 
Ativo 
Atacante 
Vulnerabilidade
COMO CALCULAR O RISCO
GRAU DE RISCO 
PROBABILIDADE 
+ 
IMPACTO 
BAIXO 
MÉDIO 
ALTO 
0 < 3 
3 < 6 
6 < 9
RISCO 
GRAU DO RISCO 
IMPACTO 
ALTO MÉDIO CRÍTICO 
MÉDIO BAIXO MÉDIO ALTO 
BAIXO NOTA BAIXO MÉDIO 
BAIXO MÉDIO ALTO 
PROBA...
BOAS PRÁTICAS PARA 
PENTESTERS 
(Basedo em minha própria experiência errante)
Planejamento é tudo… 
“Falta de inteligência é estar no ringue de 
olhos vendados”. 
Gen. DAVID M. SHOUP
Obtendo melhores resultados 
✓ Entender o negócio do cliente 
✓ Definir os ativos 
✓ Definir o atacante 
✓ Mapear superfíc...
Obtendo melhores resultados 
Quem te contratou não entende de VULNERABILIDADE! 
Entende de IMPACTO!
ATIVO 
? 
MECANISMO ATACANTE 
?
Porque nem sempre o objetivo é ganhar o Root 
SER ROOT É APENAS O COMEÇO
Referência 
1. https://www.owasp.org/index.php/RiskRating 
2. https://www.owasp.org/index.php/Application_Threat_Modeling ...
Social 
@_rochax 
br.linkedin.com/in/lrocha/ 
leandro.roc@gmail.com
Modelagem ameaças para Pentester
Próximos SlideShares
Carregando em…5
×

Modelagem ameaças para Pentester

491 visualizações

Publicada em

O objetivo é mostrar como obter melhores resultados em Testes de Penetração através da metodologia utilizada em Modelagem de Ameaças.

Porque nem sempre o objetivo é ganhar o Root.

Publicada em: Internet
0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
491
No SlideShare
0
A partir de incorporações
0
Número de incorporações
9
Ações
Compartilhamentos
0
Downloads
10
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Modelagem ameaças para Pentester

  1. 1. Modelagem de Ameaças para Pentester Porque nem sempre o objetivo é ganhar o Root Leandro Rocha Security BSides São Paulo (Co0L BSidesSP) - Edição 10
  2. 2. SOBRE • Consultor na Conviso Application Security • Formado em Sistemas - PUC • Membro do Staff H2HC • Pai
  3. 3. Palavras que não pronuncio! P + U + T + A C + U || K + U F + O + D + A || E || I M + E + R + D + A
  4. 4. Qual o cenário de abuso?
  5. 5. TROLAGEM PALAVRAS TROLL
  6. 6. UM POUCO SOBRE AMEAÇAS
  7. 7. ATACANTE Aquele que causa dano, pode ser uma Pessoa ou um Desastre Natural O dano pode ser Intencional, acidental, manual, automatizada, escolhida a dedo, escolhida a esmo e etc..
  8. 8. ATIVO Item de valor para o atacante Valor para você ≠ Valor para o Atacante
  9. 9. VULNERABILIDADE É o mecanismo utilizado pelo atacante para realizar a ameaça Bugs, falhas de desenho, falhas de processo, falhas de implementação, etc…
  10. 10. AMEAÇA ATIVO MECANISMO ATACANTE
  11. 11. MITIGAÇÃO Ação que minimiza ou elimina o dano causado pela ameaça
  12. 12. Estrela da Morte X-Wing Luke Skywalker Mitigação Exaustor Térmico Tie-Fighters Ativo Atacante Vulnerabilidade
  13. 13. COMO CALCULAR O RISCO
  14. 14. GRAU DE RISCO PROBABILIDADE + IMPACTO BAIXO MÉDIO ALTO 0 < 3 3 < 6 6 < 9
  15. 15. RISCO GRAU DO RISCO IMPACTO ALTO MÉDIO CRÍTICO MÉDIO BAIXO MÉDIO ALTO BAIXO NOTA BAIXO MÉDIO BAIXO MÉDIO ALTO PROBABILIDADE ALTO
  16. 16. BOAS PRÁTICAS PARA PENTESTERS (Basedo em minha própria experiência errante)
  17. 17. Planejamento é tudo… “Falta de inteligência é estar no ringue de olhos vendados”. Gen. DAVID M. SHOUP
  18. 18. Obtendo melhores resultados ✓ Entender o negócio do cliente ✓ Definir os ativos ✓ Definir o atacante ✓ Mapear superfície de ataque ✓ Encontrar vulnerabilidades
  19. 19. Obtendo melhores resultados Quem te contratou não entende de VULNERABILIDADE! Entende de IMPACTO!
  20. 20. ATIVO ? MECANISMO ATACANTE ?
  21. 21. Porque nem sempre o objetivo é ganhar o Root SER ROOT É APENAS O COMEÇO
  22. 22. Referência 1. https://www.owasp.org/index.php/RiskRating 2. https://www.owasp.org/index.php/Application_Threat_Modeling 3.https://www.owasp.org/images/9/99/ Threat_Modeling_von_Webanwendungen_Mythen_und_Best_Practices_- _Matthias_Rohr.pdf
  23. 23. Social @_rochax br.linkedin.com/in/lrocha/ leandro.roc@gmail.com

×