SlideShare uma empresa Scribd logo

Gestão de Patches e Vulnerabilidades

Marcelo Martins
Marcelo Martins

O documento discute a importância da gestão de patches e vulnerabilidades para reduzir riscos de segurança. Ele aborda tópicos como monitoramento de vulnerabilidades, estabelecimento de prioridades, implantação de correções e métricas para medir a efetividade do processo. O objetivo é ajudar organizações a melhorarem seus processos de gerenciamento de vulnerabilidades e correções de segurança.

Tecnologia
1 de 62
Gestão de Patches e Vulnerabilidades Marcelo Martins linkedin.com/in/marcelomartins
Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
A Importância do Processo §  Ativos §  1 – Processos (ou subprocessos) e atividades do negócio, por exemplo: §  Processos cuja interrupção, mesmo que parcial, torna impossível cumprir a missão da organização §  Processos que contêm procedimentos secretos ou processos envolvendo tecnologia proprietária §  Processos que, se modificados, podem afetar significativamente o cumprimento da missão da organização §  Processos necessários para que a organização fique em conformidade com requisitos contratuais, legais ou regulatórios Fonte: NBR ISO/IEC 27005:2008 B.1
A Importância do Processo §  Ativos §  2 – Informação §  Informação vital para o cumprimento da missão de uma organização ou para o desempenho de seu negócio §  Informação de caráter pessoal, da forma em que é definida nas leis nacionais referentes à privacidade §  Informação estratégica necessária para o alcance dos objetivos determinados pelo direcionamento estratégico §  Informação de alto custo, cuja coleta, armazenamento, processamento e transmissão demanda um longo tempo ou incorre em um alto custo de aquisição Fonte: NBR ISO/IEC 27005:2008 B.1
A Importância do Processo §  Vulnerabilidades: São falhas de software ou de configuração que enfraquecem a segurança de um ativo §  Ex: Usadas para ganhar acesso em um sistema §  Controles ou correções §  Patches de software §  Ajustes de configuração §  Remoção do software ou serviço afetado §  Ameaças: Exploram vulnerabilidades e causam dano ao ativo §  Ex: exploit scripts, worms, vírus, rootkits e Trojan horses
A Importância do Processo Vulnerabilidades Ameaças (agentes) Controles Risco Ativos Impactoexploram reduzem potencializam o Risco e causam Impacto afetam mitigam estão presentes são implantados
A Importância do Processo
A Importância do Processo
A Importância do Processo
A Importância do Processo
A Importância do Processo
A Importância do Processo
A Importância do Processo
A Importância do Processo
A Importância do Processo Quanto mais usamos… menos precisamos usar… Gestão de Vulnerabilidades Gestão de Mudanças Gestão de Configurações Gestão de Incidentes Gestão de Continuidade de Negócios
Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
Relacionamento Gestão de Riscos Gestão de Segurança da Informação Gestão de Vulnerabilidades
Relacionamento Análise de Vulnerabilidades Pre-engagement Interactions Intelligence Gathering Threat Modeling Vulnerability Analysis Reporting Teste de Invasão Pre-engagement Interactions Intelligence Gathering Threat Modeling Vulnerability Analysis Exploitation Post Exploitation Reporting
Relacionamento Análise de Vulnerabilidades Geralmente tem o escopo um pouco maior do que o Teste de Invasão Previsível, pois a adm. de redes é informada do uso das ferramentas Pode conter muitos falsos positivos Produz um relatório com recomendações para redução do risco Teste de Invasão Escopo mais reduzido para explorar vetores específicos (serviços ou ativos) Pode ser imprevisível, para testar a equipe de segurança Mais confiável por ter a evidência da invasão (root!) Teste de Invasão = Proof of Concept contra vulnerabilidades Produz um resultado binário: Invadiu ou não invadiu
Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
Monitorar vulnerabilidades
Monitorar vulnerabilidades §  Algumas ferramentas (entre muitas)
Monitorar vulnerabilidades §  Algumas fontes de alertas §  NIST NVD §  nvd.nist.gov §  CVE §  cve.mitre.org §  US-CERT §  us-cert.gov §  CERT.BR §  cert.br §  Site do fabricante e listas de e-mail
Monitorar vulnerabilidades §  Definição de Escopo §  Evitar a situação onde a Organização tenha conhecimento de uma vulnerabilidade grave. Se há o conhecimento e a Organização não corrige, não está praticando due diligence §  Se algum incidente estiver relacionado a uma falha conhecida e não corrigida pela Organização, pode levar a uma ação contra danos na Justiça Análise de vulnerabilidade sem correção tem pouco valor Pouca análise e muita correção é melhor do que muita análise e pouca correção
Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
Estabelecer prioridades Probabilidad e Severidade
Estabelecer prioridades Quantificação do Risco Expectativa de Perdas Custo do Controle Fator de Exposição
Estabelecer prioridades Risco Aceitável Risco Controlável Risco Inaceitável
Estabelecer prioridades Ativos Processo ou Sistema Objetivo de Negócio Faturamento e-Commerce E-mail
Estabelecer prioridades
Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
Gerir conhecimento §  Mantendo um banco de dados §  Bancos de dados mantidos manualmente (knowledge base) devem conter instruções sobre como remover as vulnerabilidades através da instalação de patches ou de workarounds §  Relacionando recursos §  Apesar de a criação do banco de dados ser recomendada, restrições de recursos podem limitar a organização a apenas listar sites ou URLs para cada patch
Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
Testar correção §  Muitos fabricantes fornecem algum mecanismo de autenticação §  O patch deve ser verificado quanto a sua autenticidade, usando PGP ou certificados digitais §  O antivírus deve ser usado em todos os patches antes da instalação §  Antes disso, deve ser verificado que o antivírus e seu banco de assinaturas estão atualizados §  Patches e modificações de configuração devem ser testados no ambiente de homologação, já que podem trazer resultados inesperados §  Alguns patches são extremamente complicados e afetam grande parte do sistema ao substituir arquivos e alterar configurações de segurança
Testar correção §  A capacidade de desinstalação ou “undo” deve ser seriamente considerada §  Ainda assim, mesmo quando essa opção existe, muitas vezes o processo de desinstalação não consegue retornar o sistema ao estado anterior
Testar correção Desenvolvimento Homologação Produção
Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
Implantar correção Tratamento de riscos Modificar o risco Implantar controles Evitar o risco Cancelar a operação Compartilhar o risco Fazer um acordo ou seguro Aceitar o risco Conviver e confiar na sorte
Implantar correçãoReduziroRisco • Não existe “risco zero”. • Cancelar a operação evita o risco mas pode não ser a melhor opção. • O objetivo da Organização geralmente é trazer retorno ao acionista, com poucos riscos. TransferiroRisco • Fazer um seguro não transfere o risco. Transfere apenas o risco de perda financeira. • Um plano de saúde não reduz o risco de morte. Muito menos um seguro de vida. • O custo do controle é o custo do seguro. AceitaroRisco • Pode não ser tão ruim. Depende dos fatores e dos custos. • Um técnico de futebol, por melhor que seja, chega no estádio com cerca de 50/50 de chances de ganhar a partida. • O risco é inerente ao negócio.
Implantar correção
Implantar correção §  Determinar o significado real da ameaça ou vulnerabilidade e quais sistemas estão vulneráveis ou expostos, com foco nos que são essenciais para a operação §  Determinar os riscos envolvidos em aplicar a correção e se a correção afeta a funcionalidade de outras aplicações ou serviços (também deve ser tratado na Gestão de Mudanças)
Implantar correção §  Backups recentes §  Antes de realizar qualquer modificação no ativos é importante garantir que há um backup recente. Assim, qualquer falha na modificação pode ser mais facilmente restaurada §  Muitos ativos §  Aplicar patches em milhares de ativos é um desafio. Soluções automáticas de distribuição de patches (EPM – Enterprise Patch Management) podem ser a resposta
Implantar correção §  Atrasar a correção é algo a ser considerado com muito cuidado §  Nível de ameaça §  Ativos acessíveis pela Internet, muitos sistemas a serem corrigidos §  Risco de exploração §  Se a vulnerabilidade é facilmente explorada, a correção (ou patch virtual) deve ser aplicada imediatamente §  Consequências da exploração §  Sistemas críticos ou que contenham informações sensíveis devem ser corrigidos o mais rapidamente possível
Implantar correção §  Possíveis problemas §  O agente de instalação pode reduzir a performance ou estabilidade dos sistemas §  Os patches instalados podem causar problemas inesperados com outros softwares §  O usuário pode perder informações quando a aplicação ou agente de EPM reiniciar o sistema para instalar um patch §  O agente do EPM pode ser ele mesmo um risco adicional de segurança §  Um usuário móvel pode ter problemas quando o EPM tentar instalar uma grande quantidade de patches assim que ocorrer o logon
Implantar correção §  Determinar a causa-raiz de problemas §  Muitas vulnerabilidades são o resultado de má configuração do sistema e políticas de usuário ou de processos de gestão de mudanças inadequados §  Eliminar a causa-raiz requer melhoria nas políticas e processos usados para provisionar, configurar e alterar sistemas e administrar usuários
Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
Verificar correção §  Verificar que os arquivos e configurações foram alterados conforme a documentação do fabricante §  Usar um scanner de vulnerabilidades §  Verificar se os patches foram realmente instalados através da revisão dos logs §  Usar procedimentos de exploração para verificar que a vulnerabilidade foi corrigida (penetration test)
Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
Melhorar o processo §  Treinamento §  Empregar soluções automatizadas para gestão de patches (Enterprise patch management) §  Lições aprendidas §  Falhas de implantação §  Lentidão de processamento e banda §  Permissões de usuário §  Melhor horário
Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
§  Toda organização deve consistentemente medir a efetividade do programa de gestão de vulnerabilidades e aplicar as ações corretivas necessárias §  Sem essa medição, até a mais bem desenhada arquitetura de segurança pode ser suscetível a invasões ou outras violações Estabelecendo Métricas Métrica (Exemplo) Unidade Taxa de vulnerabilidade Vulnerabilidades/Host Taxa de patches não aplicados Patches/Host Taxa de serviços de rede Serviços/Host Tempo de resposta para identificação de vulnerabilidade e patch Tempo Tempo de resposta de patch (ativos críticos) Tempo
Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
§  Agir antes da infecção §  Para qualquer vulnerabilidade que venha a ser explorada por um código malicioso, a monitoração e implantação dos patches custa muito menos do que responder a uma infecção por código malicioso §  Enterprise Patch Management (EPM) §  Como os patches são constantemente lançados, a implantação manual de patches se torna extremamente cara a menos que o ambiente seja composto de apenas alguns pacotes de software (e assim reduzindo o número total de patches necessários) Planejando o processo
§  Enterprise patch management §  Empresas médias e grandes devem usar EPM §  Até mesmo empresas pequenas deveriam migrar para alguma solução automatizada §  Implantação manual se torna ineficiente conforme o número de patches cresce e os atacantes desenvolvem código malicioso mais rapidamente §  Apenas ativos com configuração única e appliances devem continuar a ser corrigidos manualmente Planejando o processo
Planejando o futuro §  Tipo de EPM §  Há dois tipos principais de EPM §  Que usam agentes §  Que não usam agentes §  Alguns produtos possuem as duas características e permitem que o administrador escolha a mais eficiente para o seu ambiente
§  Novas aquisições §  Use produtos menos complicados. Mais código, mais funcionalidades e serviços significam mais bugs, vulnerabilidades e patches §  Se possível atrase a implantação de novas versões principais de sistema operacional e aplicativos até que a experiência de outros usuários possa ser avaliada §  Considere softwares validados por testes independentes. Para ter mais garantias, o código-fonte do software deve ser validado §  Apenas use versões do software que sejam suportadas no momento. Softwares obsoletos tem falhas que podem ser corrigidas apenas em versões atualizadas Planejando o futuro
Planejando o futuro §  Padronização §  Uma configuração padrão geralmente inclui o seguinte §  Tipo e modelo dos equipamentos §  Versão de sistema operacional e nível de patch §  A maioria das aplicações instaladas (versões e nível de patch) §  Configurações de segurança para o sistema operacional e aplicações §  Configurações padronizadas podem ser mantidas de forma centralizada e as alterações podem ser propagadas para todos os ativos
§  Correção pós-incidente §  Corrigir uma vulnerabilidade após uma violação de segurança é muito mais complicado §  É necessário corrigir a vulnerabilidade que foi explorada §  Isso não eliminará rootkits, backdoors, ou quaisquer outras alterações que possam ter sido feitas pelo atacante §  Por exemplo, a worm Code Red II colocou backdoors em sistemas comprometidos e depois a worm Nimda explorou esses mesmos backdoors §  Um sistema violado deve ser reformatado e reinstalado ou restaurado a partir de um backup seguro e confiável Planejando o futuro
Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
Conclusão §  Deve haver um processo de Gestão de Vulnerabilidades §  Pouca análise e muita correção §  A administração de redes deve se manter informada das vulnerabilidades §  O ambiente deve ser padronizado e documentado §  Modificações no ambiente devem passar pela Gestão de Mudanças §  Qualquer modificação deve ser testada no ambiente de homologação §  Um processo automatizado de instalação de patches pode ter o melhor custo/benefício
Referências §  NIST §  SP 800-40 §  Creating a Patch and Vulnerability Management Program §  SP 800-115 §  Technical Guide to Information Security Testing and Assessment §  CVE §  http://measurablesecurity.mitre.org/directory/areas/ vulnerabilitymanagement.html §  ISO/IEC 29147:2014 §  gives guidelines for the disclosure of potential vulnerabilities in products and online services. It details the methods a vendor should use to address issues related to vulnerability disclosure. §  ISO/IEC 30111:2013 §  gives guidelines for how to process and resolve potential vulnerability information in a product or online service.

Recomendados

Next Generation Network: Security and Architecture
Next Generation Network: Security and ArchitectureNext Generation Network: Security and Architecture
Next Generation Network: Security and Architectureijsrd.com
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
MITRE ATT&CK framework
MITRE ATT&CK frameworkMITRE ATT&CK framework
MITRE ATT&CK frameworkBhushan Gurav
 
Using the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modelingUsing the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modelingEric Jernigan MSIA, CISSP, CISM, CRISC
 
USPS CISO Academy - Vulnerability Management
USPS CISO Academy - Vulnerability ManagementUSPS CISO Academy - Vulnerability Management
USPS CISO Academy - Vulnerability ManagementJim Piechocki
 
Planning and Deploying an Effective Vulnerability Management Program
Planning and Deploying an Effective Vulnerability Management ProgramPlanning and Deploying an Effective Vulnerability Management Program
Planning and Deploying an Effective Vulnerability Management ProgramSasha Nunke
 
Pentest
Pentest Pentest
Pentest Rodrigo Piovesana
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainSecuRing
 

Recomendados

Next Generation Network: Security and Architecture
Next Generation Network: Security and ArchitectureNext Generation Network: Security and Architecture
Next Generation Network: Security and Architectureijsrd.com
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
MITRE ATT&CK framework
MITRE ATT&CK frameworkMITRE ATT&CK framework
MITRE ATT&CK frameworkBhushan Gurav
 
Using the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modelingUsing the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modelingEric Jernigan MSIA, CISSP, CISM, CRISC
 
USPS CISO Academy - Vulnerability Management
USPS CISO Academy - Vulnerability ManagementUSPS CISO Academy - Vulnerability Management
USPS CISO Academy - Vulnerability ManagementJim Piechocki
 
Planning and Deploying an Effective Vulnerability Management Program
Planning and Deploying an Effective Vulnerability Management ProgramPlanning and Deploying an Effective Vulnerability Management Program
Planning and Deploying an Effective Vulnerability Management ProgramSasha Nunke
 
Pentest
Pentest Pentest
Pentest Rodrigo Piovesana
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainSecuRing
 
RSA SecurID Access
RSA SecurID AccessRSA SecurID Access
RSA SecurID AccessMarketingArrowECS_CZ
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
NTXISSACSC4 - Layered Security / Defense in Depth
NTXISSACSC4 - Layered Security / Defense in DepthNTXISSACSC4 - Layered Security / Defense in Depth
NTXISSACSC4 - Layered Security / Defense in DepthNorth Texas Chapter of the ISSA
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainSuvrat Jain
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Enterprise Class Vulnerability Management Like A Boss
Enterprise Class Vulnerability Management Like A BossEnterprise Class Vulnerability Management Like A Boss
Enterprise Class Vulnerability Management Like A Bossrbrockway
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...PECB
 
Info Security - Vulnerability Assessment
Info Security - Vulnerability AssessmentInfo Security - Vulnerability Assessment
Info Security - Vulnerability AssessmentMarcelo Silva
 
The Zero Trust Model of Information Security
The Zero Trust Model of Information Security The Zero Trust Model of Information Security
The Zero Trust Model of Information Security Tripwire
 
Secure SDLC Framework
Secure SDLC FrameworkSecure SDLC Framework
Secure SDLC FrameworkRishi Kant
 
Introduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingIntroduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingRaghav Bisht
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroClavis Segurança da Informação
 
DDoS Protection
DDoS ProtectionDDoS Protection
DDoS ProtectionAmazon Web Services
 
Vulnerability Management
Vulnerability ManagementVulnerability Management
Vulnerability Managementasherad
 
Information Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & MetricsInformation Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & MetricsMarius FAILLOT DEVARRE
 
Putting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation FirewallPutting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation FirewallCisco Canada
 
Security Development Lifecycle Tools
Security Development Lifecycle ToolsSecurity Development Lifecycle Tools
Security Development Lifecycle Toolsn|u - The Open Security Community
 
Capítulo 7: Firma digital
Capítulo 7: Firma digitalCapítulo 7: Firma digital
Capítulo 7: Firma digitalJuan Manuel García
 
Vulnerability Management: What You Need to Know to Prioritize Risk
Vulnerability Management: What You Need to Know to Prioritize RiskVulnerability Management: What You Need to Know to Prioritize Risk
Vulnerability Management: What You Need to Know to Prioritize RiskAlienVault
 
information security awareness course
information security awareness courseinformation security awareness course
information security awareness courseAbdul Manaf Vellakodath
 
Protocol T50: Five months later... So what?
Protocol T50: Five months later... So what?Protocol T50: Five months later... So what?
Protocol T50: Five months later... So what?Nelson Brito
 
The hangover: A "modern" (?) high performance approach to build an offensive ...
The hangover: A "modern" (?) high performance approach to build an offensive ...The hangover: A "modern" (?) high performance approach to build an offensive ...
The hangover: A "modern" (?) high performance approach to build an offensive ...Nelson Brito
 

Mais conteúdo relacionado

Mais procurados

Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainSuvrat Jain
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Enterprise Class Vulnerability Management Like A Boss
Enterprise Class Vulnerability Management Like A BossEnterprise Class Vulnerability Management Like A Boss
Enterprise Class Vulnerability Management Like A Bossrbrockway
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...PECB
 
Info Security - Vulnerability Assessment
Info Security - Vulnerability AssessmentInfo Security - Vulnerability Assessment
Info Security - Vulnerability AssessmentMarcelo Silva
 
The Zero Trust Model of Information Security
The Zero Trust Model of Information Security The Zero Trust Model of Information Security
The Zero Trust Model of Information Security Tripwire
 
Secure SDLC Framework
Secure SDLC FrameworkSecure SDLC Framework
Secure SDLC FrameworkRishi Kant
 
Introduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingIntroduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingRaghav Bisht
 
Vulnerability Management
Vulnerability ManagementVulnerability Management
Vulnerability Managementasherad
 
Information Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & MetricsInformation Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & MetricsMarius FAILLOT DEVARRE
 
Putting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation FirewallPutting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation FirewallCisco Canada
 
Vulnerability Management: What You Need to Know to Prioritize Risk
Vulnerability Management: What You Need to Know to Prioritize RiskVulnerability Management: What You Need to Know to Prioritize Risk
Vulnerability Management: What You Need to Know to Prioritize RiskAlienVault
 

Mais procurados (20)

RSA SecurID Access
RSA SecurID AccessRSA SecurID Access
RSA SecurID Access
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
NTXISSACSC4 - Layered Security / Defense in Depth
NTXISSACSC4 - Layered Security / Defense in DepthNTXISSACSC4 - Layered Security / Defense in Depth
NTXISSACSC4 - Layered Security / Defense in Depth
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jain
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Enterprise Class Vulnerability Management Like A Boss
Enterprise Class Vulnerability Management Like A BossEnterprise Class Vulnerability Management Like A Boss
Enterprise Class Vulnerability Management Like A Boss
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
 
Info Security - Vulnerability Assessment
Info Security - Vulnerability AssessmentInfo Security - Vulnerability Assessment
Info Security - Vulnerability Assessment
 
The Zero Trust Model of Information Security
The Zero Trust Model of Information Security The Zero Trust Model of Information Security
The Zero Trust Model of Information Security
 
Secure SDLC Framework
Secure SDLC FrameworkSecure SDLC Framework
Secure SDLC Framework
 
Introduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingIntroduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration Testing
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 
DDoS Protection
DDoS ProtectionDDoS Protection
DDoS Protection
 
Vulnerability Management
Vulnerability ManagementVulnerability Management
Vulnerability Management
 
Information Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & MetricsInformation Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & Metrics
 
Putting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation FirewallPutting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation Firewall
 
Security Development Lifecycle Tools
Security Development Lifecycle ToolsSecurity Development Lifecycle Tools
Security Development Lifecycle Tools
 
Capítulo 7: Firma digital
Capítulo 7: Firma digitalCapítulo 7: Firma digital
Capítulo 7: Firma digital
 
Vulnerability Management: What You Need to Know to Prioritize Risk
Vulnerability Management: What You Need to Know to Prioritize RiskVulnerability Management: What You Need to Know to Prioritize Risk
Vulnerability Management: What You Need to Know to Prioritize Risk
 
information security awareness course
information security awareness courseinformation security awareness course
information security awareness course
 

Destaque

Protocol T50: Five months later... So what?
Protocol T50: Five months later... So what?Protocol T50: Five months later... So what?
Protocol T50: Five months later... So what?Nelson Brito
 
The hangover: A "modern" (?) high performance approach to build an offensive ...
The hangover: A "modern" (?) high performance approach to build an offensive ...The hangover: A "modern" (?) high performance approach to build an offensive ...
The hangover: A "modern" (?) high performance approach to build an offensive ...Nelson Brito
 
Cloud: Should I Stay or Should I Go?
Cloud: Should I Stay or Should I Go?Cloud: Should I Stay or Should I Go?
Cloud: Should I Stay or Should I Go?Marcelo Martins
 
Microsoft GDI+ JPEG Integer Underflow Vulnerability
Microsoft GDI+ JPEG Integer Underflow VulnerabilityMicrosoft GDI+ JPEG Integer Underflow Vulnerability
Microsoft GDI+ JPEG Integer Underflow VulnerabilityAshish Malik
 
Permutation Oriented Programming: (Re)searching for alternatives!
Permutation Oriented Programming: (Re)searching for alternatives!Permutation Oriented Programming: (Re)searching for alternatives!
Permutation Oriented Programming: (Re)searching for alternatives!Nelson Brito
 
[PH-Neutral 0x7db] Exploit Next Generation®
[PH-Neutral 0x7db] Exploit Next Generation®[PH-Neutral 0x7db] Exploit Next Generation®
[PH-Neutral 0x7db] Exploit Next Generation®Nelson Brito
 
A client-side vulnerability under the microscope!
A client-side vulnerability under the microscope!A client-side vulnerability under the microscope!
A client-side vulnerability under the microscope!Nelson Brito
 
SyScan Singapore 2010 - Returning Into The PHP-Interpreter
SyScan Singapore 2010 - Returning Into The PHP-InterpreterSyScan Singapore 2010 - Returning Into The PHP-Interpreter
SyScan Singapore 2010 - Returning Into The PHP-InterpreterStefan Esser
 
Secure Application Development in the Age of Continuous Delivery
Secure Application Development in the Age of Continuous DeliverySecure Application Development in the Age of Continuous Delivery
Secure Application Development in the Age of Continuous DeliveryBlack Duck by Synopsys
 
Exploit Next Generation®: Missão dada é missão cumprida!
Exploit Next Generation®: Missão dada é missão cumprida!Exploit Next Generation®: Missão dada é missão cumprida!
Exploit Next Generation®: Missão dada é missão cumprida!Nelson Brito
 
Hexadecimal (Calculations and Explanations)
Hexadecimal (Calculations and Explanations)Hexadecimal (Calculations and Explanations)
Hexadecimal (Calculations and Explanations)Project Student
 
Inception: Tips and tricks I’ve learned reversing vulnerabilities!
Inception: Tips and tricks I’ve learned reversing vulnerabilities!Inception: Tips and tricks I’ve learned reversing vulnerabilities!
Inception: Tips and tricks I’ve learned reversing vulnerabilities!Nelson Brito
 
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)"Touching the UNTOUCHABLE" (YSTS Seventh Edition)
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)Nelson Brito
 
The Departed: Exploit Next Generation® – The Philosophy
The Departed: Exploit Next Generation® – The PhilosophyThe Departed: Exploit Next Generation® – The Philosophy
The Departed: Exploit Next Generation® – The PhilosophyNelson Brito
 
Permutation Oriented Programming
Permutation Oriented ProgrammingPermutation Oriented Programming
Permutation Oriented ProgrammingNelson Brito
 
Workforce Planning (Process, Labour Shortage, Excess Labour)
Workforce Planning (Process, Labour Shortage, Excess Labour)Workforce Planning (Process, Labour Shortage, Excess Labour)
Workforce Planning (Process, Labour Shortage, Excess Labour)Project Student
 
Changes in working practices
Changes in working practicesChanges in working practices
Changes in working practicesProject Student
 
Programming Languages / Translators
Programming Languages / TranslatorsProgramming Languages / Translators
Programming Languages / TranslatorsProject Student
 
Product (Product Portfolio, Branding, USP, Product Depth and Breadth, Product...
Product (Product Portfolio, Branding, USP, Product Depth and Breadth, Product...Product (Product Portfolio, Branding, USP, Product Depth and Breadth, Product...
Product (Product Portfolio, Branding, USP, Product Depth and Breadth, Product...Project Student
 

Destaque (20)

Protocol T50: Five months later... So what?
Protocol T50: Five months later... So what?Protocol T50: Five months later... So what?
Protocol T50: Five months later... So what?
 
The hangover: A "modern" (?) high performance approach to build an offensive ...
The hangover: A "modern" (?) high performance approach to build an offensive ...The hangover: A "modern" (?) high performance approach to build an offensive ...
The hangover: A "modern" (?) high performance approach to build an offensive ...
 
Cloud: Should I Stay or Should I Go?
Cloud: Should I Stay or Should I Go?Cloud: Should I Stay or Should I Go?
Cloud: Should I Stay or Should I Go?
 
Microsoft GDI+ JPEG Integer Underflow Vulnerability
Microsoft GDI+ JPEG Integer Underflow VulnerabilityMicrosoft GDI+ JPEG Integer Underflow Vulnerability
Microsoft GDI+ JPEG Integer Underflow Vulnerability
 
Permutation Oriented Programming: (Re)searching for alternatives!
Permutation Oriented Programming: (Re)searching for alternatives!Permutation Oriented Programming: (Re)searching for alternatives!
Permutation Oriented Programming: (Re)searching for alternatives!
 
[PH-Neutral 0x7db] Exploit Next Generation®
[PH-Neutral 0x7db] Exploit Next Generation®[PH-Neutral 0x7db] Exploit Next Generation®
[PH-Neutral 0x7db] Exploit Next Generation®
 
A client-side vulnerability under the microscope!
A client-side vulnerability under the microscope!A client-side vulnerability under the microscope!
A client-side vulnerability under the microscope!
 
SyScan Singapore 2010 - Returning Into The PHP-Interpreter
SyScan Singapore 2010 - Returning Into The PHP-InterpreterSyScan Singapore 2010 - Returning Into The PHP-Interpreter
SyScan Singapore 2010 - Returning Into The PHP-Interpreter
 
Secure Application Development in the Age of Continuous Delivery
Secure Application Development in the Age of Continuous DeliverySecure Application Development in the Age of Continuous Delivery
Secure Application Development in the Age of Continuous Delivery
 
Exploit Next Generation®: Missão dada é missão cumprida!
Exploit Next Generation®: Missão dada é missão cumprida!Exploit Next Generation®: Missão dada é missão cumprida!
Exploit Next Generation®: Missão dada é missão cumprida!
 
Hexadecimal (Calculations and Explanations)
Hexadecimal (Calculations and Explanations)Hexadecimal (Calculations and Explanations)
Hexadecimal (Calculations and Explanations)
 
Inception: Tips and tricks I’ve learned reversing vulnerabilities!
Inception: Tips and tricks I’ve learned reversing vulnerabilities!Inception: Tips and tricks I’ve learned reversing vulnerabilities!
Inception: Tips and tricks I’ve learned reversing vulnerabilities!
 
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)"Touching the UNTOUCHABLE" (YSTS Seventh Edition)
"Touching the UNTOUCHABLE" (YSTS Seventh Edition)
 
The Departed: Exploit Next Generation® – The Philosophy
The Departed: Exploit Next Generation® – The PhilosophyThe Departed: Exploit Next Generation® – The Philosophy
The Departed: Exploit Next Generation® – The Philosophy
 
Permutation Oriented Programming
Permutation Oriented ProgrammingPermutation Oriented Programming
Permutation Oriented Programming
 
Workforce Planning (Process, Labour Shortage, Excess Labour)
Workforce Planning (Process, Labour Shortage, Excess Labour)Workforce Planning (Process, Labour Shortage, Excess Labour)
Workforce Planning (Process, Labour Shortage, Excess Labour)
 
Changes in working practices
Changes in working practicesChanges in working practices
Changes in working practices
 
Programming Languages / Translators
Programming Languages / TranslatorsProgramming Languages / Translators
Programming Languages / Translators
 
Product (Product Portfolio, Branding, USP, Product Depth and Breadth, Product...
Product (Product Portfolio, Branding, USP, Product Depth and Breadth, Product...Product (Product Portfolio, Branding, USP, Product Depth and Breadth, Product...
Product (Product Portfolio, Branding, USP, Product Depth and Breadth, Product...
 
The Caesar Cipher
The Caesar Cipher The Caesar Cipher
The Caesar Cipher
 

Semelhante a Gestão de Patches e Vulnerabilidades

Processo de Implantação de ERP
Processo de Implantação de ERPProcesso de Implantação de ERP
Processo de Implantação de ERPLuiz Araujo
 
Importância dos Testes em Sistemas para Internet
Importância dos Testes em Sistemas para Internet Importância dos Testes em Sistemas para Internet
Importância dos Testes em Sistemas para Internet Elvis Fusco
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TISymantec Brasil
 
Resumo Do Inter 2008 2
Resumo Do Inter 2008 2Resumo Do Inter 2008 2
Resumo Do Inter 2008 2Raul Libório
 
Webcast WebSphere Portal Performance
Webcast WebSphere Portal PerformanceWebcast WebSphere Portal Performance
Webcast WebSphere Portal PerformanceAlex Barbosa Coqueiro
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeVirtù Tecnológica
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
XII Café e CODE - Provocações do Mestre
XII Café e CODE - Provocações do MestreXII Café e CODE - Provocações do Mestre
XII Café e CODE - Provocações do MestreCloves da Rocha
 
ISO17799 2005
ISO17799 2005ISO17799 2005
ISO17799 2005ceife
 
A Arte dos Testes de Performance Aplicacional
A Arte dos Testes de Performance AplicacionalA Arte dos Testes de Performance Aplicacional
A Arte dos Testes de Performance AplicacionalNuno Baptista Rodrigues
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
úLtimo dia
úLtimo diaúLtimo dia
úLtimo diaBruce Ds
 
Apresentação1
Apresentação1Apresentação1
Apresentação1Bruce Ds
 

Semelhante a Gestão de Patches e Vulnerabilidades (20)

Processo de Implantação de ERP
Processo de Implantação de ERPProcesso de Implantação de ERP
Processo de Implantação de ERP
 
Importância dos Testes em Sistemas para Internet
Importância dos Testes em Sistemas para Internet Importância dos Testes em Sistemas para Internet
Importância dos Testes em Sistemas para Internet
 
Alats Seminario V03 3
Alats Seminario V03 3Alats Seminario V03 3
Alats Seminario V03 3
 
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TIBe Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
Be Aware Webinar Symantec - Reduza as vulnerabilidades do seu ambiente de TI
 
Resumo Do Inter 2008 2
Resumo Do Inter 2008 2Resumo Do Inter 2008 2
Resumo Do Inter 2008 2
 
Dba Ciclo Palestra P5 V1a
Dba Ciclo Palestra P5 V1aDba Ciclo Palestra P5 V1a
Dba Ciclo Palestra P5 V1a
 
Webcast WebSphere Portal Performance
Webcast WebSphere Portal PerformanceWebcast WebSphere Portal Performance
Webcast WebSphere Portal Performance
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de Rede
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
XII Café e CODE - Provocações do Mestre
XII Café e CODE - Provocações do MestreXII Café e CODE - Provocações do Mestre
XII Café e CODE - Provocações do Mestre
 
ISO17799 2005
ISO17799 2005ISO17799 2005
ISO17799 2005
 
Precisa testar? - Parte 1
Precisa testar? - Parte 1Precisa testar? - Parte 1
Precisa testar? - Parte 1
 
A Arte dos Testes de Performance Aplicacional
A Arte dos Testes de Performance AplicacionalA Arte dos Testes de Performance Aplicacional
A Arte dos Testes de Performance Aplicacional
 
MS Enterprise Library
MS Enterprise LibraryMS Enterprise Library
MS Enterprise Library
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Blue it
Blue itBlue it
Blue it
 
úLtimo dia
úLtimo diaúLtimo dia
úLtimo dia
 
Blue it
Blue itBlue it
Blue it
 
Apresentação1
Apresentação1Apresentação1
Apresentação1
 

Gestão de Patches e Vulnerabilidades

  • 1. Gestão de Patches e Vulnerabilidades Marcelo Martins linkedin.com/in/marcelomartins
  • 2. Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
  • 3. A Importância do Processo §  Ativos §  1 – Processos (ou subprocessos) e atividades do negócio, por exemplo: §  Processos cuja interrupção, mesmo que parcial, torna impossível cumprir a missão da organização §  Processos que contêm procedimentos secretos ou processos envolvendo tecnologia proprietária §  Processos que, se modificados, podem afetar significativamente o cumprimento da missão da organização §  Processos necessários para que a organização fique em conformidade com requisitos contratuais, legais ou regulatórios Fonte: NBR ISO/IEC 27005:2008 B.1
  • 4. A Importância do Processo §  Ativos §  2 – Informação §  Informação vital para o cumprimento da missão de uma organização ou para o desempenho de seu negócio §  Informação de caráter pessoal, da forma em que é definida nas leis nacionais referentes à privacidade §  Informação estratégica necessária para o alcance dos objetivos determinados pelo direcionamento estratégico §  Informação de alto custo, cuja coleta, armazenamento, processamento e transmissão demanda um longo tempo ou incorre em um alto custo de aquisição Fonte: NBR ISO/IEC 27005:2008 B.1
  • 5. A Importância do Processo §  Vulnerabilidades: São falhas de software ou de configuração que enfraquecem a segurança de um ativo §  Ex: Usadas para ganhar acesso em um sistema §  Controles ou correções §  Patches de software §  Ajustes de configuração §  Remoção do software ou serviço afetado §  Ameaças: Exploram vulnerabilidades e causam dano ao ativo §  Ex: exploit scripts, worms, vírus, rootkits e Trojan horses
  • 6. A Importância do Processo Vulnerabilidades Ameaças (agentes) Controles Risco Ativos Impactoexploram reduzem potencializam o Risco e causam Impacto afetam mitigam estão presentes são implantados
  • 7. A Importância do Processo
  • 8. A Importância do Processo
  • 9. A Importância do Processo
  • 10. A Importância do Processo
  • 11. A Importância do Processo
  • 12. A Importância do Processo
  • 13. A Importância do Processo
  • 14. A Importância do Processo
  • 15. A Importância do Processo Quanto mais usamos… menos precisamos usar… Gestão de Vulnerabilidades Gestão de Mudanças Gestão de Configurações Gestão de Incidentes Gestão de Continuidade de Negócios
  • 16. Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
  • 17. Relacionamento Gestão de Riscos Gestão de Segurança da Informação Gestão de Vulnerabilidades
  • 18. Relacionamento Análise de Vulnerabilidades Pre-engagement Interactions Intelligence Gathering Threat Modeling Vulnerability Analysis Reporting Teste de Invasão Pre-engagement Interactions Intelligence Gathering Threat Modeling Vulnerability Analysis Exploitation Post Exploitation Reporting
  • 19. Relacionamento Análise de Vulnerabilidades Geralmente tem o escopo um pouco maior do que o Teste de Invasão Previsível, pois a adm. de redes é informada do uso das ferramentas Pode conter muitos falsos positivos Produz um relatório com recomendações para redução do risco Teste de Invasão Escopo mais reduzido para explorar vetores específicos (serviços ou ativos) Pode ser imprevisível, para testar a equipe de segurança Mais confiável por ter a evidência da invasão (root!) Teste de Invasão = Proof of Concept contra vulnerabilidades Produz um resultado binário: Invadiu ou não invadiu
  • 20. Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
  • 21. Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
  • 23. Monitorar vulnerabilidades §  Algumas ferramentas (entre muitas)
  • 24. Monitorar vulnerabilidades §  Algumas fontes de alertas §  NIST NVD §  nvd.nist.gov §  CVE §  cve.mitre.org §  US-CERT §  us-cert.gov §  CERT.BR §  cert.br §  Site do fabricante e listas de e-mail
  • 25. Monitorar vulnerabilidades §  Definição de Escopo §  Evitar a situação onde a Organização tenha conhecimento de uma vulnerabilidade grave. Se há o conhecimento e a Organização não corrige, não está praticando due diligence §  Se algum incidente estiver relacionado a uma falha conhecida e não corrigida pela Organização, pode levar a uma ação contra danos na Justiça Análise de vulnerabilidade sem correção tem pouco valor Pouca análise e muita correção é melhor do que muita análise e pouca correção
  • 26. Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
  • 28. Estabelecer prioridades Quantificação do Risco Expectativa de Perdas Custo do Controle Fator de Exposição
  • 30. Estabelecer prioridades Ativos Processo ou Sistema Objetivo de Negócio Faturamento e-Commerce E-mail
  • 32. Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
  • 33. Gerir conhecimento §  Mantendo um banco de dados §  Bancos de dados mantidos manualmente (knowledge base) devem conter instruções sobre como remover as vulnerabilidades através da instalação de patches ou de workarounds §  Relacionando recursos §  Apesar de a criação do banco de dados ser recomendada, restrições de recursos podem limitar a organização a apenas listar sites ou URLs para cada patch
  • 34. Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
  • 35. Testar correção §  Muitos fabricantes fornecem algum mecanismo de autenticação §  O patch deve ser verificado quanto a sua autenticidade, usando PGP ou certificados digitais §  O antivírus deve ser usado em todos os patches antes da instalação §  Antes disso, deve ser verificado que o antivírus e seu banco de assinaturas estão atualizados §  Patches e modificações de configuração devem ser testados no ambiente de homologação, já que podem trazer resultados inesperados §  Alguns patches são extremamente complicados e afetam grande parte do sistema ao substituir arquivos e alterar configurações de segurança
  • 36. Testar correção §  A capacidade de desinstalação ou “undo” deve ser seriamente considerada §  Ainda assim, mesmo quando essa opção existe, muitas vezes o processo de desinstalação não consegue retornar o sistema ao estado anterior
  • 38. Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
  • 39. Implantar correção Tratamento de riscos Modificar o risco Implantar controles Evitar o risco Cancelar a operação Compartilhar o risco Fazer um acordo ou seguro Aceitar o risco Conviver e confiar na sorte
  • 40. Implantar correçãoReduziroRisco • Não existe “risco zero”. • Cancelar a operação evita o risco mas pode não ser a melhor opção. • O objetivo da Organização geralmente é trazer retorno ao acionista, com poucos riscos. TransferiroRisco • Fazer um seguro não transfere o risco. Transfere apenas o risco de perda financeira. • Um plano de saúde não reduz o risco de morte. Muito menos um seguro de vida. • O custo do controle é o custo do seguro. AceitaroRisco • Pode não ser tão ruim. Depende dos fatores e dos custos. • Um técnico de futebol, por melhor que seja, chega no estádio com cerca de 50/50 de chances de ganhar a partida. • O risco é inerente ao negócio.
  • 42. Implantar correção §  Determinar o significado real da ameaça ou vulnerabilidade e quais sistemas estão vulneráveis ou expostos, com foco nos que são essenciais para a operação §  Determinar os riscos envolvidos em aplicar a correção e se a correção afeta a funcionalidade de outras aplicações ou serviços (também deve ser tratado na Gestão de Mudanças)
  • 43. Implantar correção §  Backups recentes §  Antes de realizar qualquer modificação no ativos é importante garantir que há um backup recente. Assim, qualquer falha na modificação pode ser mais facilmente restaurada §  Muitos ativos §  Aplicar patches em milhares de ativos é um desafio. Soluções automáticas de distribuição de patches (EPM – Enterprise Patch Management) podem ser a resposta
  • 44. Implantar correção §  Atrasar a correção é algo a ser considerado com muito cuidado §  Nível de ameaça §  Ativos acessíveis pela Internet, muitos sistemas a serem corrigidos §  Risco de exploração §  Se a vulnerabilidade é facilmente explorada, a correção (ou patch virtual) deve ser aplicada imediatamente §  Consequências da exploração §  Sistemas críticos ou que contenham informações sensíveis devem ser corrigidos o mais rapidamente possível
  • 45. Implantar correção §  Possíveis problemas §  O agente de instalação pode reduzir a performance ou estabilidade dos sistemas §  Os patches instalados podem causar problemas inesperados com outros softwares §  O usuário pode perder informações quando a aplicação ou agente de EPM reiniciar o sistema para instalar um patch §  O agente do EPM pode ser ele mesmo um risco adicional de segurança §  Um usuário móvel pode ter problemas quando o EPM tentar instalar uma grande quantidade de patches assim que ocorrer o logon
  • 46. Implantar correção §  Determinar a causa-raiz de problemas §  Muitas vulnerabilidades são o resultado de má configuração do sistema e políticas de usuário ou de processos de gestão de mudanças inadequados §  Eliminar a causa-raiz requer melhoria nas políticas e processos usados para provisionar, configurar e alterar sistemas e administrar usuários
  • 47. Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
  • 48. Verificar correção §  Verificar que os arquivos e configurações foram alterados conforme a documentação do fabricante §  Usar um scanner de vulnerabilidades §  Verificar se os patches foram realmente instalados através da revisão dos logs §  Usar procedimentos de exploração para verificar que a vulnerabilidade foi corrigida (penetration test)
  • 49. Implantando Gestão de Patches e Vulnerabilidades Monitorar vulnerabilidades Estabelecer prioridades Gerir conhecimento Testar correção Implantar correção Verificar implantação Melhorar o processo
  • 50. Melhorar o processo §  Treinamento §  Empregar soluções automatizadas para gestão de patches (Enterprise patch management) §  Lições aprendidas §  Falhas de implantação §  Lentidão de processamento e banda §  Permissões de usuário §  Melhor horário
  • 51. Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
  • 52. §  Toda organização deve consistentemente medir a efetividade do programa de gestão de vulnerabilidades e aplicar as ações corretivas necessárias §  Sem essa medição, até a mais bem desenhada arquitetura de segurança pode ser suscetível a invasões ou outras violações Estabelecendo Métricas Métrica (Exemplo) Unidade Taxa de vulnerabilidade Vulnerabilidades/Host Taxa de patches não aplicados Patches/Host Taxa de serviços de rede Serviços/Host Tempo de resposta para identificação de vulnerabilidade e patch Tempo Tempo de resposta de patch (ativos críticos) Tempo
  • 53. Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
  • 54. §  Agir antes da infecção §  Para qualquer vulnerabilidade que venha a ser explorada por um código malicioso, a monitoração e implantação dos patches custa muito menos do que responder a uma infecção por código malicioso §  Enterprise Patch Management (EPM) §  Como os patches são constantemente lançados, a implantação manual de patches se torna extremamente cara a menos que o ambiente seja composto de apenas alguns pacotes de software (e assim reduzindo o número total de patches necessários) Planejando o processo
  • 55. §  Enterprise patch management §  Empresas médias e grandes devem usar EPM §  Até mesmo empresas pequenas deveriam migrar para alguma solução automatizada §  Implantação manual se torna ineficiente conforme o número de patches cresce e os atacantes desenvolvem código malicioso mais rapidamente §  Apenas ativos com configuração única e appliances devem continuar a ser corrigidos manualmente Planejando o processo
  • 56. Planejando o futuro §  Tipo de EPM §  Há dois tipos principais de EPM §  Que usam agentes §  Que não usam agentes §  Alguns produtos possuem as duas características e permitem que o administrador escolha a mais eficiente para o seu ambiente
  • 57. §  Novas aquisições §  Use produtos menos complicados. Mais código, mais funcionalidades e serviços significam mais bugs, vulnerabilidades e patches §  Se possível atrase a implantação de novas versões principais de sistema operacional e aplicativos até que a experiência de outros usuários possa ser avaliada §  Considere softwares validados por testes independentes. Para ter mais garantias, o código-fonte do software deve ser validado §  Apenas use versões do software que sejam suportadas no momento. Softwares obsoletos tem falhas que podem ser corrigidas apenas em versões atualizadas Planejando o futuro
  • 58. Planejando o futuro §  Padronização §  Uma configuração padrão geralmente inclui o seguinte §  Tipo e modelo dos equipamentos §  Versão de sistema operacional e nível de patch §  A maioria das aplicações instaladas (versões e nível de patch) §  Configurações de segurança para o sistema operacional e aplicações §  Configurações padronizadas podem ser mantidas de forma centralizada e as alterações podem ser propagadas para todos os ativos
  • 59. §  Correção pós-incidente §  Corrigir uma vulnerabilidade após uma violação de segurança é muito mais complicado §  É necessário corrigir a vulnerabilidade que foi explorada §  Isso não eliminará rootkits, backdoors, ou quaisquer outras alterações que possam ter sido feitas pelo atacante §  Por exemplo, a worm Code Red II colocou backdoors em sistemas comprometidos e depois a worm Nimda explorou esses mesmos backdoors §  Um sistema violado deve ser reformatado e reinstalado ou restaurado a partir de um backup seguro e confiável Planejando o futuro
  • 60. Agenda §  A Importância do Processo §  Relacionamento §  com Gestão de Riscos §  com Teste de Invasão §  Implantando Gestão de Patches e Vulnerabilidades §  Estabelecendo Métricas §  Planejando o Futuro §  Conclusão
  • 61. Conclusão §  Deve haver um processo de Gestão de Vulnerabilidades §  Pouca análise e muita correção §  A administração de redes deve se manter informada das vulnerabilidades §  O ambiente deve ser padronizado e documentado §  Modificações no ambiente devem passar pela Gestão de Mudanças §  Qualquer modificação deve ser testada no ambiente de homologação §  Um processo automatizado de instalação de patches pode ter o melhor custo/benefício
  • 62. Referências §  NIST §  SP 800-40 §  Creating a Patch and Vulnerability Management Program §  SP 800-115 §  Technical Guide to Information Security Testing and Assessment §  CVE §  http://measurablesecurity.mitre.org/directory/areas/ vulnerabilitymanagement.html §  ISO/IEC 29147:2014 §  gives guidelines for the disclosure of potential vulnerabilities in products and online services. It details the methods a vendor should use to address issues related to vulnerability disclosure. §  ISO/IEC 30111:2013 §  gives guidelines for how to process and resolve potential vulnerability information in a product or online service.