Your SlideShare is downloading. ×

Pentest cool

1,373
views

Published on

Pentest - O que é ? Pra que Serve ? Porque comprar ? Como Vender ? Como saber se foi bem Feito ? …

Pentest - O que é ? Pra que Serve ? Porque comprar ? Como Vender ? Como saber se foi bem Feito ?
Tudo sobre Pentest.


0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,373
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
78
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. PENETRATION TEST O que é? Pra que serve? Porque comprar ? Como vender? Como saber se foi bem Feito? Por: Adilson Santos da Rocha asrocha.consultoria@gmail.com
  • 2. O QUE É ?Simula uma série de ataques e MÉTODOS usados por “invasores”para ganhar acesso não autorizado a informações, redes, dados,sistemas e aplicações podendo comprometê-los CONTROLADA PENTEST NDA NDA AUTORIZADA
  • 3. TIPOS DE PENTESTPENTEST EXTERNOConhecimento do Alvo FOCO Black Box Gray Box Web Servers Mail Servers White BoxAnunciado: A equipe de TI/Security é informada RoutersNão Anunciado: A equipe de TI Não éInformada
  • 4. TIPOS DE PENTEST “Realizado em Loco no Cliente”PENTEST INTERNOConhecimento do Alvo FOCO Black Box Gray Box Controles e Servidores e DMZ Seguimentação White BoxAnunciado: A equipe de TI/Security é informada Privacidade Comunicação internaNão Anunciado: A equipe de TI Não éInformada
  • 5. TIPOS DE PENTEST Produz uma AMPLA e APURADAWEB APLICATION PENTEST avaliação sobre aplicações WEB a segurança deConhecimento do Alvo FOCO Black BoxFoco na Aplicação Gray Box Web Servers Parâmetros/Inputs Seu Ecosistema White BoxAnunciado: A equipe de TI/Security é Autenticação informada Criptografia ControleNão Anunciado: A equipe de Não é Sessões Do ClienteInformada
  • 6. TIPOS DE PENTESTWIRELESS PENTESTConhecimento do Alvo FOCO Black Box Dispositivos Criptografia Gray Box White BoxAnunciado: A equipe de TI/Security é informada Autenticação Usuários/Dispositivos AlcanceNão Anunciado: A equipe de Não éInformada
  • 7. METODOLOGIABASEADA EM PADRÕES INTERNACIONAIS ISSAF -Information Systems Security Assessment Framework OSSTMM 3 – The Open Source Security Testing Methodology Manual NIST-SP 800-42 - Guideline on Network Security Testing OWASP - Open Web Application Security Project Testing Guide
  • 8. METODOLOGIAPENTEST REDES – INTERNO/EXTERNO/WIRELESS 1- Planejamento e Preparação Mapeando Obtendo a Informações Rede2 1 2 Cobrindo IdentificandoE Rastros VulnerabilidadesX 9 3E PENTESTC Mantendo METODOLOGIA Explorando Acesso VulnerabilidadesU 8 4ÇÃ Ganhando acessoO Comprometendo Analisando Adjacências Escalando Sistemas Privilégios 7 6 5 3 – Geração de Relatório, Apresentação, finalização
  • 9. METODOLOGIAWEB APPLICATION TESTINGMapear o Conteúdo Testar mecanismos Testar Gerenciamento Testar Parâmetros de (spidering) De autenticação De Sessões Entrada Testes Controles Teste de Lógica Avaliação Do Cliente Geração do relatório De Negócio De RiscosAjax, activeX, Flash Xss,xrfs sql injection Buffer Overflow Session Hijacking Tester Usuário
  • 10. POR QUE ? FAZER UM PENTEST Encontre os buracos,antes que alguém os encontre A melhor forma de se proteger é saber onde se é mais fraco. Sun Tzu
  • 11. POR QUE ? FAZER UM PENTEST Validar seus controles de Segurança
  • 12. POR QUE ? FAZER UM PENTESTTestar a Capacidade da equipe de TI perante a um ataque real ou vazamento de dados.
  • 13. POR QUE ? FAZER UM PENTESTA reabilitação normalmente Sai mais Caro que Investimentos em Mecanismos de Proteção
  • 14. POR QUE ? FAZER UM PENTEST Danos a Imagem da Empresa são imensuráveis
  • 15. POR QUE ? FAZER UM PENTESTAjustes de recursos, estratégias e prioridades dos sistemas de informação da Empresa.Decisões sobre planos de Continuidade do Negócio e Disaster Recover baseados em Fatos Reais.
  • 16. POR QUE ? FAZER UM PENTESTHomologação - Por em produção ambientes Seguro e com BaixoRisco✔ Muitos testes de Softwares contemplam funcionalidades e estabilidades (nãosegurança)✔ Erros encontrados Nesta fase São mais baratos e evitam Problemas graves nofuturo.
  • 17. POR QUE ? FAZER UM PENTESTROSI – RETORNO SOBRE INVESTIMENTO EM SEGURURANÇADA INFORAÇÃO✔ Concentra Investimento onde Realmente é necessário✔ Base para Melhorar a eficiência da arquitetura existente✔ Ajuda Melhorar Processos de Negócios
  • 18. POR QUE ? FAZER UM PENTESTUm Elemento essencial para Gerenciamento de Risco✔ Pode ser o Ponto de Partida✔ Validação/Métrica para Aceitação dos Riscos✔ Ajuda Melhorar Processos de Negócios
  • 19. POR QUE ? FAZER UM PENTESTREQUISITO PARA CERTIFICAÇÃO E COMPLIANCE
  • 20. NDA–Non-Disclosure Agreement O que será Testado Ranges/Aplicações etc Quando: Janelas/Prazos Escopo Tipos/Limites Engenharia SocialNDA Danos a Ativos Limites Ativos de Terceiros (colocation) A quem/ Plano de Que tipo Informação Comunicação Meios de Comunicação Criptografia/Senhas etc Mantenha artefatos comerciais, contratos etc separados do NDA
  • 21. RELATÓRIO – O ENTREGÁVEL Objetivo/Escopo Metodologia Impácto/ Risco Classificação Complexidade Iniciação Resumo ExecutivoRelatório Principais Vuln/ Vulnerabilidades Hosts Afetados Vulnerabilidades Ignoradas Detalhe de cada Vuln Classificação;Poc;Recomendações; Recomendações Gerais/ Evidências Específicas Finalização Parecer com Críticas/Elogios Conforme o caso dividir o relatório separando o resumo executivo do Conclusão relatório técnico detalhado.
  • 22. FERRAMENTAS/INFRAESTRUTURADepende do Tamanho da Equipe, Escopo, Tipos de Testes etc.✔ Utilizar Links, redes, DC, etc – Isolados de Rede corporativa✔ Não Utilizar os equipamentos onde Realizam-se os Testes como Desktop; ou outros fins.✔ Ter Conta(s) em VPNs e proxys para anonimato. (http://vpnprivacy.com,UltraVPN,ItsHidden) vpns pagas são um bom investimento.✔ Tor + Proxychains são seus amigos✔ Equipes composta por pefis/especialidades diferentes (rede, Wireless,web, java, Desenvolvimento etc)✔ Equipe Neutra (QA) Revisar e sugerir/criticar, melhorar relatórios, docs etc.✔ Sempre antes de começar se atentar ao escopo e ao NDA. (Sempre contato com jurídico).✔ Invista em Ferramentas, conhecimento, desenvolvimento.
  • 23. FERRAMENTAS/INFRAESTRUTURA SuperScan v4.0SuperScan v4.0
  • 24. ?http://www.facebook.com/adilson.rocha@asrochahttp://br.linkedin.com/in/asrochaasrocha.consultoria@gmail.com

×