UM TESTE DE INVASÃO PODE
AJUDAR O GESTOR DE SI?

Por Luiz Felipe Ferreira
Este é Carlos,
um Gestor de
Segurança da
Informação
Diariamente, convive com muitos
desafios que dificultam o seu trabalho
Na empresa onde
trabalha, há
pouco
investimento em
Segurança e as
ações são sempre
reativas
Ele não
consegue ter
visibilidade das
ameaças
importantes
para o negócio
Não é fácil calcular o ROI e
mostrar o valor da sua área para a
alta direção
Ele precisa mudar o jogo.
Ele decide contratar um Teste de Invasão.
1
CONHECENDO
O TESTE DE INVASÃO
O que é um Teste
de Invasão?
Conjunto de
técnicas usadas para
verificar as
vulnerabilidades e
os riscos de sistemas
ou red...
TESTE DE INVASÃO

ANÁLISE DE
VULNERABILIDADES

Expõe falhas não
convencionais

Expõe falhas
conhecidas

Uso de criatividad...
2
AS ABORDAGENS
UTILIZADAS
BlackBox

GreyBox

WhiteBox

Simula uma
situação real
de uma
invasão

Verifica se há
erros em
permissões
da rede

Analisa ...
3
AS ETAPAS
CONTRATO
Definir o objetivo
e o escopo dos
testes
Garantir a
confidencialidade
das informações
Entrega de
documentação
det...
FOOTPRINT
Coleta de informações iniciais sobre o alvo para
encontrar formas de invadir o ambiente
O resultado desejado é u...
FINGERPRINT
Informações específicas
sobre uma ou mais máquinas
(Sistema Operacional, IP, etc)
Contato direto com ativos de...
MAPEAMENTO E
ANÁLISE DE
VULNERABILIDADES
Scan dos ativos
localizados
Enumeração das falhas
e configurações
padrões
Utiliza...
EXPLORAÇÃO
Uso de exploits
específicos
Tentativa de
acesso não
autorizado
Visa
comprometer os
ativos
RESULTADOS
Detalhamento
técnico das
vulnerabilidades
Classificação dos
riscos
Recomendações
para correção das
vulnerabilid...
4
OS BENEFÍCIOS
Conhecimento de riscos não
mapeados, fornecendo insumos para
uma melhor gestão dos mesmos.
É possível avaliar o nível de cultura de
Segurança da Informação na empresa
Testar a eficácia dos controles
implementados
Contribui para a aderência a
normas e padrões de mercado
Com as evidências, é possível
convencer a alta direção da
necessidade de investimentos
Após os resultados, Carlos decide
tornar o TDI uma atividade regular na
empresa onde trabalha
Carlos conseguiu mudar o jogo.
E você?
CONTATOS
lfferreira@gmail.com
@lfferreiras
Créditos
Fotos por Victor1558 (Flickr)
Licenciado por Creative Commons
Agradeci...
Próximos SlideShares
Carregando em…5
×

Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?

2.326 visualizações

Publicada em

Palestra apresentada na II Edição do ISRio (www.isrio.com.br), realizado em 21/11/2013.

Apresenta para os profissionais e gestores de Segurança da Informação uma visão geral de um teste de invasão e quais são os seus benefícios para os gestores.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
2.326
No SlideShare
0
A partir de incorporações
0
Número de incorporações
81
Ações
Compartilhamentos
0
Downloads
6
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?

  1. 1. UM TESTE DE INVASÃO PODE AJUDAR O GESTOR DE SI? Por Luiz Felipe Ferreira
  2. 2. Este é Carlos, um Gestor de Segurança da Informação
  3. 3. Diariamente, convive com muitos desafios que dificultam o seu trabalho
  4. 4. Na empresa onde trabalha, há pouco investimento em Segurança e as ações são sempre reativas
  5. 5. Ele não consegue ter visibilidade das ameaças importantes para o negócio
  6. 6. Não é fácil calcular o ROI e mostrar o valor da sua área para a alta direção
  7. 7. Ele precisa mudar o jogo. Ele decide contratar um Teste de Invasão.
  8. 8. 1 CONHECENDO O TESTE DE INVASÃO
  9. 9. O que é um Teste de Invasão? Conjunto de técnicas usadas para verificar as vulnerabilidades e os riscos de sistemas ou redes O objetivo é a obtenção das informações
  10. 10. TESTE DE INVASÃO ANÁLISE DE VULNERABILIDADES Expõe falhas não convencionais Expõe falhas conhecidas Uso de criatividade para desviar dos controles Determina o risco real das vulnerabilidades ≠ Uso de ferramentas automatizadas Possíveis falsos positivos
  11. 11. 2 AS ABORDAGENS UTILIZADAS
  12. 12. BlackBox GreyBox WhiteBox Simula uma situação real de uma invasão Verifica se há erros em permissões da rede Analisa até o código fonte das aplicações Acesso restrito Acesso limitado Acesso liberado
  13. 13. 3 AS ETAPAS
  14. 14. CONTRATO Definir o objetivo e o escopo dos testes Garantir a confidencialidade das informações Entrega de documentação detalhada
  15. 15. FOOTPRINT Coleta de informações iniciais sobre o alvo para encontrar formas de invadir o ambiente O resultado desejado é um mapa de ativos da organização Engenharia Social pode ser utilizada
  16. 16. FINGERPRINT Informações específicas sobre uma ou mais máquinas (Sistema Operacional, IP, etc) Contato direto com ativos de rede
  17. 17. MAPEAMENTO E ANÁLISE DE VULNERABILIDADES Scan dos ativos localizados Enumeração das falhas e configurações padrões Utilização de falhas 0day
  18. 18. EXPLORAÇÃO Uso de exploits específicos Tentativa de acesso não autorizado Visa comprometer os ativos
  19. 19. RESULTADOS Detalhamento técnico das vulnerabilidades Classificação dos riscos Recomendações para correção das vulnerabilidades
  20. 20. 4 OS BENEFÍCIOS
  21. 21. Conhecimento de riscos não mapeados, fornecendo insumos para uma melhor gestão dos mesmos.
  22. 22. É possível avaliar o nível de cultura de Segurança da Informação na empresa
  23. 23. Testar a eficácia dos controles implementados
  24. 24. Contribui para a aderência a normas e padrões de mercado
  25. 25. Com as evidências, é possível convencer a alta direção da necessidade de investimentos
  26. 26. Após os resultados, Carlos decide tornar o TDI uma atividade regular na empresa onde trabalha
  27. 27. Carlos conseguiu mudar o jogo. E você?
  28. 28. CONTATOS lfferreira@gmail.com @lfferreiras Créditos Fotos por Victor1558 (Flickr) Licenciado por Creative Commons Agradecimentos Andréa Greco, Bruno Souza e toda a equipe do ISRio

×