SlideShare uma empresa Scribd logo

Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest

Transferir como PPTX, PDF
J
Joas Antonio dos Santos

O que é PenTest? Como funciona? PenTest vs Analise de Vulnerabilidade, qual é a dierença? Como desenvolver suas Habilidades?

Tecnologia
1 de 18
Cyber-Educação para jovens: Desenvolvendo suas habilidades em PenTest
WHOAMI • Cyber Security Consultant Red Team – ACADI-TI • WOMCY CTF Team • Escritor Hacker Culture • 18 anos • +42 certificações e +500 certificados
O QUE É PENTEST? • PenTest (Penetration Testing) ou Teste de invasão tem como objetivo, testar a infraestrutura de uma organização, seja uma rede, aplicações, sistemas e até mesmo usuários simulando um ataque; • Sendo uma maneira de determinar se os controles, politicas de segurança e as tecnologias estão seguras ou vulneráveis;
O QUE É PENTEST?
TIPOS DE PENTEST BLACK BOX WHITE BOX GRAY BOX
TIPOS DE PENTEST • Black Box: O profissional não possui conhecimentos do ambiente, assim será necessário procurar a melhor forma de comprometer um ambiente; Os testes são classificados em dois tipos: • Blind Testing • Double-Blind Testing
TIPOS DE PENTEST Blind Testing É um processo demorado e caro, em que a equipe de PenTest tem informações limitadas ou nenhuma informação. Este teste verifica se um criminoso pode lançar um ataque com informações severamente limitadas. Geralmente, os pentesters recebem só o nome da organização.
TIPOS DE PENTEST Double-Blind Testing Alguns na empresa sabem sobre o pentest. Ele avalia o monitoramento de segurança, a identificação de ataques e o processo de resposta. - Leva o Blind Test em um passo adiante. Nesse método, apenas um ou dois funcionários da organização têm conhecimento da realização do teste. Assim o Double-Blind Testing verifica a eficácia do monitoramento de segurança da organização, identificação de incidentes e o processos de resposta.
TIPOS DE PENTEST • White Box: Você já possui conhecimentos de toda à infraestrutura da organização, o seu objetivo é apenas testar as vulnerabilidades e descobrir potências brechas também; • Gray Box: Já combina as duas analise, você vai ter algumas informações essenciais para atuar, geralmente esses acessos consistem só o acesso a rede e assim realizar os testes;
QUAL A NECESSIDADE DE UM PENTEST?
QUAL A NECESSIDADE DE UM PENTEST? • Identificar as ameaças e determinar a probabilidade da sua organização sofrer um ataque; • O Pentest vai prover o nível de maturidade e aceitação de risco da sua organização; • Entender os principais vetores de ataque e seu impacto no negócio; • Auxiliar no passo a passo na prevenção de vulnerabilidades; • Compliance com regulamentações e padrões (ISO 27001, PCI-DSS, LGPD, etc); • Avaliar a eficiência de dispositivos de segurança da sua rede (Firewalls, IDS, IPS, etc.);
PENTEST X ANALISE E AVALIAÇÃO DE VULNERABILIDADE • Quando a gente fala de PenTest e Analise de vulnerabilidade, ambos são tarefas distintas; • Enquanto a analise e avaliação de vulnerabilidade tem como objetivo levantar todos os riscos, ameaças e vulnerabilidades da sua organização e relatar os potenciais risco; • O PenTest ele tem com o objetivo, explorar as vulnerabilidades do ambiente e determinar o grau de risco e impacto que um invasor pode desenvolver, seja por meio de Escalação de Privilégios, Movimentos Laterais, Pivoting e etc;
QUAL É A BASE PARA COMEÇAR? • Fundamentos em Tecnologia da Informação; • Entender os principais vetores de ataques; • Aprender lógica e linguagens de programação; • Fundamentos de segurança da informação; • Desenvolver habilidades práticas em diferente tipos de tecnologias; • Buscar conhecimentos por meio de cursos ou certificações reconhecidas;
COMO APRIMORAR AS MINHAS HABILIDADES? Sempre fique por dentro de novos métodos de ataque; Pratique bastante em laboratórios e CTFs; Assista palestras, webinars e dê uma olhada nos conteúdos de outros profissionais; Interaja com a comunidade e troque conhecimento; Junte a teoria com a prática; Pense sempre fora da caixa, seja Try Harder; Desenvolva suas própria ferramentas e seus laboratórios; Se aprofunde em frameworks e metodologias de Segurança Ofensiva;
CERTIFICAÇÕES EM PENTEST • As certificações são essências, seja para o mercado de trabalho, como para desenvolver suas habilidades também;
QUAL É A MELHOR CERTIFICAÇÃO? • Comparar certificações não é o melhor a se fazer, por exemplo: – O propósito que cada uma traz são bem distintas – Cada uma tem sua relevância no mercado; Por isso, na hora de escolher uma certificação veja qual cabe no seu bolso e que vai preencher sua necessidade no momento;
DÚVIDAS? MEU LINKEDIN

Recomendados

Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day Fatec
Joas Antonio dos Santos
 
Pentest cool
Pentest coolPentest cool
Pentest cool
Adilson Da Rocha
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
Alcyon Ferreira de Souza Junior, MSc
 
Iscte security events workshop multicert-pt2
Iscte security events workshop multicert-pt2Iscte security events workshop multicert-pt2
Iscte security events workshop multicert-pt2
ISCTE-IUL ACM Student Chapter
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
Alcyon Ferreira de Souza Junior, MSc
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
Clavis Segurança da Informação
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?
iBLISS Segurança & Inteligência
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
Fernando Palma
 

Recomendados

Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day Fatec
Joas Antonio dos Santos
 
Pentest cool
Pentest coolPentest cool
Pentest cool
Adilson Da Rocha
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
Alcyon Ferreira de Souza Junior, MSc
 
Iscte security events workshop multicert-pt2
Iscte security events workshop multicert-pt2Iscte security events workshop multicert-pt2
Iscte security events workshop multicert-pt2
ISCTE-IUL ACM Student Chapter
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
Alcyon Ferreira de Souza Junior, MSc
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
Clavis Segurança da Informação
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?
iBLISS Segurança & Inteligência
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
Fernando Palma
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Clavis Segurança da Informação
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
Messias Dias Teixeira
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
Leandro Magnabosco
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
LeandroTrindade19
 
Threat Modeling: como não deixar segurança apenas para o final?
Threat Modeling: como não deixar segurança apenas para o final?Threat Modeling: como não deixar segurança apenas para o final?
Threat Modeling: como não deixar segurança apenas para o final?
Thaiane Braga
 
Flisol 2016
Flisol 2016Flisol 2016
Flisol 2016
Jasiel Serra
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Thiago Finardi
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
Paulo Renato Lopes Seixas
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
SegInfo
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Thiago Dieb
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 
Pentest
Pentest Pentest
Pentest
Rodrigo Piovesana
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
Mauro Risonho de Paula Assumpcao
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
Conviso Application Security
 
Não vão me invadir!
Não vão me invadir!Não vão me invadir!
Não vão me invadir!
Gabriel Subtil
 
Bsides threat hunting
Bsides threat huntingBsides threat hunting
Bsides threat hunting
Rodrigo Montoro
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
Marcelo Fleury
 
Ferramentas de Segurança
Ferramentas de SegurançaFerramentas de Segurança
Ferramentas de Segurança
Alefe Variani
 
Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)
pedrobezerra
 
[SCTI 2011] - Fundamentos da Segurança da Informação
[SCTI 2011] - Fundamentos da Segurança da Informação[SCTI 2011] - Fundamentos da Segurança da Informação
[SCTI 2011] - Fundamentos da Segurança da Informação
SCTI UENF
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da Informação
Gionni Lúcio
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
GUTS-RS
 

Mais conteúdo relacionado

Mais procurados

Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Clavis Segurança da Informação
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
Messias Dias Teixeira
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
Leandro Magnabosco
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
LeandroTrindade19
 
Threat Modeling: como não deixar segurança apenas para o final?
Threat Modeling: como não deixar segurança apenas para o final?Threat Modeling: como não deixar segurança apenas para o final?
Threat Modeling: como não deixar segurança apenas para o final?
Thaiane Braga
 
Flisol 2016
Flisol 2016Flisol 2016
Flisol 2016
Jasiel Serra
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Thiago Finardi
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
Paulo Renato Lopes Seixas
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
SegInfo
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Thiago Dieb
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 
Pentest
Pentest Pentest
Pentest
Rodrigo Piovesana
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
Mauro Risonho de Paula Assumpcao
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
Conviso Application Security
 
Não vão me invadir!
Não vão me invadir!Não vão me invadir!
Não vão me invadir!
Gabriel Subtil
 
Bsides threat hunting
Bsides threat huntingBsides threat hunting
Bsides threat hunting
Rodrigo Montoro
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
Marcelo Fleury
 
Ferramentas de Segurança
Ferramentas de SegurançaFerramentas de Segurança
Ferramentas de Segurança
Alefe Variani
 
Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)
pedrobezerra
 
[SCTI 2011] - Fundamentos da Segurança da Informação
[SCTI 2011] - Fundamentos da Segurança da Informação[SCTI 2011] - Fundamentos da Segurança da Informação
[SCTI 2011] - Fundamentos da Segurança da Informação
SCTI UENF
 

Mais procurados (20)

Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
 
Threat Modeling: como não deixar segurança apenas para o final?
Threat Modeling: como não deixar segurança apenas para o final?Threat Modeling: como não deixar segurança apenas para o final?
Threat Modeling: como não deixar segurança apenas para o final?
 
Flisol 2016
Flisol 2016Flisol 2016
Flisol 2016
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Pentest
Pentest Pentest
Pentest
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
 
Não vão me invadir!
Não vão me invadir!Não vão me invadir!
Não vão me invadir!
 
Bsides threat hunting
Bsides threat huntingBsides threat hunting
Bsides threat hunting
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
 
Ferramentas de Segurança
Ferramentas de SegurançaFerramentas de Segurança
Ferramentas de Segurança
 
Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)Deep fake e #trakinagens para fugir das IA(s)
Deep fake e #trakinagens para fugir das IA(s)
 
[SCTI 2011] - Fundamentos da Segurança da Informação
[SCTI 2011] - Fundamentos da Segurança da Informação[SCTI 2011] - Fundamentos da Segurança da Informação
[SCTI 2011] - Fundamentos da Segurança da Informação
 

Semelhante a Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest

Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da Informação
Gionni Lúcio
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
GUTS-RS
 
Roadsec Salvador 2014
Roadsec Salvador 2014Roadsec Salvador 2014
Roadsec Salvador 2014
Joaquim Espinhara
 
teste de invasão
teste de invasãoteste de invasão
teste de invasão
Claudio Francisco Joaquim Joaquim
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
Data Security
 
Estratégias para Modelagem de Ameaças
Estratégias para Modelagem de AmeaçasEstratégias para Modelagem de Ameaças
Estratégias para Modelagem de Ameaças
Spark Security
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
Kleitor Franklint Correa Araujo
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Samantha Nunes
 
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Alexandre Sieira
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Andre Takegawa
 
Importância do profissional Hacker ético no mercado de trabalho
Importância do profissional Hacker ético no mercado de trabalhoImportância do profissional Hacker ético no mercado de trabalho
Importância do profissional Hacker ético no mercado de trabalho
Marcos Flávio Araújo Assunção
 
Como hackear tudo! na Campus Party BSB 2
Como hackear tudo! na Campus Party BSB 2Como hackear tudo! na Campus Party BSB 2
Como hackear tudo! na Campus Party BSB 2
Alcyon Ferreira de Souza Junior, MSc
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
Jorge Ávila Miranda
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
Alcyon Ferreira de Souza Junior, MSc
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
Humberto Xavier
 
H2HC University 2014
H2HC University 2014H2HC University 2014
H2HC University 2014
Joaquim Espinhara
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
Thais Oliveira
 
Webinar Be Aware - Pensando e se colocando no lugar do invasor
Webinar Be Aware - Pensando e se colocando no lugar do invasorWebinar Be Aware - Pensando e se colocando no lugar do invasor
Webinar Be Aware - Pensando e se colocando no lugar do invasor
Symantec Brasil
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 

Semelhante a Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest (20)

Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da Informação
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Roadsec Salvador 2014
Roadsec Salvador 2014Roadsec Salvador 2014
Roadsec Salvador 2014
 
teste de invasão
teste de invasãoteste de invasão
teste de invasão
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Estratégias para Modelagem de Ameaças
Estratégias para Modelagem de AmeaçasEstratégias para Modelagem de Ameaças
Estratégias para Modelagem de Ameaças
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Importância do profissional Hacker ético no mercado de trabalho
Importância do profissional Hacker ético no mercado de trabalhoImportância do profissional Hacker ético no mercado de trabalho
Importância do profissional Hacker ético no mercado de trabalho
 
Como hackear tudo! na Campus Party BSB 2
Como hackear tudo! na Campus Party BSB 2Como hackear tudo! na Campus Party BSB 2
Como hackear tudo! na Campus Party BSB 2
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
H2HC University 2014
H2HC University 2014H2HC University 2014
H2HC University 2014
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Webinar Be Aware - Pensando e se colocando no lugar do invasor
Webinar Be Aware - Pensando e se colocando no lugar do invasorWebinar Be Aware - Pensando e se colocando no lugar do invasor
Webinar Be Aware - Pensando e se colocando no lugar do invasor
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 

Último

Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
joaovmp3
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptxHistória da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
TomasSousa7
 
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
Momento da Informática
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
Momento da Informática
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
WELITONNOGUEIRA3
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
Momento da Informática
 

Último (6)

Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptxHistória da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
 
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
 

Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest

  • 2. WHOAMI • Cyber Security Consultant Red Team – ACADI-TI • WOMCY CTF Team • Escritor Hacker Culture • 18 anos • +42 certificações e +500 certificados
  • 3. O QUE É PENTEST? • PenTest (Penetration Testing) ou Teste de invasão tem como objetivo, testar a infraestrutura de uma organização, seja uma rede, aplicações, sistemas e até mesmo usuários simulando um ataque; • Sendo uma maneira de determinar se os controles, politicas de segurança e as tecnologias estão seguras ou vulneráveis;
  • 4. O QUE É PENTEST?
  • 5. TIPOS DE PENTEST BLACK BOX WHITE BOX GRAY BOX
  • 6. TIPOS DE PENTEST • Black Box: O profissional não possui conhecimentos do ambiente, assim será necessário procurar a melhor forma de comprometer um ambiente; Os testes são classificados em dois tipos: • Blind Testing • Double-Blind Testing
  • 7. TIPOS DE PENTEST Blind Testing É um processo demorado e caro, em que a equipe de PenTest tem informações limitadas ou nenhuma informação. Este teste verifica se um criminoso pode lançar um ataque com informações severamente limitadas. Geralmente, os pentesters recebem só o nome da organização.
  • 8. TIPOS DE PENTEST Double-Blind Testing Alguns na empresa sabem sobre o pentest. Ele avalia o monitoramento de segurança, a identificação de ataques e o processo de resposta. - Leva o Blind Test em um passo adiante. Nesse método, apenas um ou dois funcionários da organização têm conhecimento da realização do teste. Assim o Double-Blind Testing verifica a eficácia do monitoramento de segurança da organização, identificação de incidentes e o processos de resposta.
  • 9. TIPOS DE PENTEST • White Box: Você já possui conhecimentos de toda à infraestrutura da organização, o seu objetivo é apenas testar as vulnerabilidades e descobrir potências brechas também; • Gray Box: Já combina as duas analise, você vai ter algumas informações essenciais para atuar, geralmente esses acessos consistem só o acesso a rede e assim realizar os testes;
  • 10. QUAL A NECESSIDADE DE UM PENTEST?
  • 11. QUAL A NECESSIDADE DE UM PENTEST? • Identificar as ameaças e determinar a probabilidade da sua organização sofrer um ataque; • O Pentest vai prover o nível de maturidade e aceitação de risco da sua organização; • Entender os principais vetores de ataque e seu impacto no negócio; • Auxiliar no passo a passo na prevenção de vulnerabilidades; • Compliance com regulamentações e padrões (ISO 27001, PCI-DSS, LGPD, etc); • Avaliar a eficiência de dispositivos de segurança da sua rede (Firewalls, IDS, IPS, etc.);
  • 12.
  • 13. PENTEST X ANALISE E AVALIAÇÃO DE VULNERABILIDADE • Quando a gente fala de PenTest e Analise de vulnerabilidade, ambos são tarefas distintas; • Enquanto a analise e avaliação de vulnerabilidade tem como objetivo levantar todos os riscos, ameaças e vulnerabilidades da sua organização e relatar os potenciais risco; • O PenTest ele tem com o objetivo, explorar as vulnerabilidades do ambiente e determinar o grau de risco e impacto que um invasor pode desenvolver, seja por meio de Escalação de Privilégios, Movimentos Laterais, Pivoting e etc;
  • 14. QUAL É A BASE PARA COMEÇAR? • Fundamentos em Tecnologia da Informação; • Entender os principais vetores de ataques; • Aprender lógica e linguagens de programação; • Fundamentos de segurança da informação; • Desenvolver habilidades práticas em diferente tipos de tecnologias; • Buscar conhecimentos por meio de cursos ou certificações reconhecidas;
  • 15. COMO APRIMORAR AS MINHAS HABILIDADES? Sempre fique por dentro de novos métodos de ataque; Pratique bastante em laboratórios e CTFs; Assista palestras, webinars e dê uma olhada nos conteúdos de outros profissionais; Interaja com a comunidade e troque conhecimento; Junte a teoria com a prática; Pense sempre fora da caixa, seja Try Harder; Desenvolva suas própria ferramentas e seus laboratórios; Se aprofunde em frameworks e metodologias de Segurança Ofensiva;
  • 16. CERTIFICAÇÕES EM PENTEST • As certificações são essências, seja para o mercado de trabalho, como para desenvolver suas habilidades também;
  • 17. QUAL É A MELHOR CERTIFICAÇÃO? • Comparar certificações não é o melhor a se fazer, por exemplo: – O propósito que cada uma traz são bem distintas – Cada uma tem sua relevância no mercado; Por isso, na hora de escolher uma certificação veja qual cabe no seu bolso e que vai preencher sua necessidade no momento;