Baixado 14 vezes
Carregado porLuiz Felipe Ferreira
Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?
Este documento discute como um teste de invasão pode ajudar um gestor de segurança da informação. Ele explica o que é um teste de invasão, as abordagens e etapas envolvidas e os benefícios que podem ser obtidos, como conhecer riscos não mapeados e avaliar a cultura de segurança da empresa. O gestor Carlos decide contratar um teste de invasão para mudar a situação em sua empresa e obter mais investimento e visibilidade para a área de segurança.
![[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar](https://cdn.slidesharecdn.com/ss_thumbnails/testesdeseguranca-guts-210827225920-thumbnail.jpg?width=640&height=640&fit=bounds)
Como Um Teste de Invasão Pode Ajudar o Gestor de Segurança da Informação?
- 1. UM TESTE DEINVASÃO PODE AJUDAR O GESTOR DE SI? Por Luiz Felipe Ferreira
- 2. Este é Carlos, umGestor de Segurança da Informação
- 3. Diariamente, convive commuitos desafios que dificultam o seu trabalho
- 4. Na empresa onde trabalha,há pouco investimento em Segurança e as ações são sempre reativas
- 5. Ele não consegue ter visibilidadedas ameaças importantes para o negócio
- 6. Não é fácilcalcular o ROI e mostrar o valor da sua área para a alta direção
- 7. Ele precisa mudaro jogo. Ele decide contratar um Teste de Invasão.
- 8. 1 CONHECENDO O TESTE DEINVASÃO
- 9. O que éum Teste de Invasão? Conjunto de técnicas usadas para verificar as vulnerabilidades e os riscos de sistemas ou redes O objetivo é a obtenção das informações
- 10. TESTE DE INVASÃO ANÁLISEDE VULNERABILIDADES Expõe falhas não convencionais Expõe falhas conhecidas Uso de criatividade para desviar dos controles Determina o risco real das vulnerabilidades ≠ Uso de ferramentas automatizadas Possíveis falsos positivos
- 11.
- 12. BlackBox GreyBox WhiteBox Simula uma situação real deuma invasão Verifica se há erros em permissões da rede Analisa até o código fonte das aplicações Acesso restrito Acesso limitado Acesso liberado
- 13.
- 14. CONTRATO Definir o objetivo eo escopo dos testes Garantir a confidencialidade das informações Entrega de documentação detalhada
- 15. FOOTPRINT Coleta de informaçõesiniciais sobre o alvo para encontrar formas de invadir o ambiente O resultado desejado é um mapa de ativos da organização Engenharia Social pode ser utilizada
- 16. FINGERPRINT Informações específicas sobre umaou mais máquinas (Sistema Operacional, IP, etc) Contato direto com ativos de rede
- 17. MAPEAMENTO E ANÁLISE DE VULNERABILIDADES Scandos ativos localizados Enumeração das falhas e configurações padrões Utilização de falhas 0day
- 18. EXPLORAÇÃO Uso de exploits específicos Tentativade acesso não autorizado Visa comprometer os ativos
- 19. RESULTADOS Detalhamento técnico das vulnerabilidades Classificação dos riscos Recomendações paracorreção das vulnerabilidades
- 20.
- 21. Conhecimento de riscosnão mapeados, fornecendo insumos para uma melhor gestão dos mesmos.
- 22. É possível avaliaro nível de cultura de Segurança da Informação na empresa
- 23. Testar a eficáciados controles implementados
- 24. Contribui para aaderência a normas e padrões de mercado
- 25. Com as evidências,é possível convencer a alta direção da necessidade de investimentos
- 26. Após os resultados,Carlos decide tornar o TDI uma atividade regular na empresa onde trabalha
- 27. Carlos conseguiu mudaro jogo. E você?
- 28. CONTATOS lfferreira@gmail.com @lfferreiras Créditos Fotos por Victor1558(Flickr) Licenciado por Creative Commons Agradecimentos Andréa Greco, Bruno Souza e toda a equipe do ISRio