Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF

5,632 views

Published on

O sócio Diretor Técnico do Grupo Clavis Segurança da Informação, Rafael Soares Ferreira, ministrou o curso “Gerenciamento de Vulnerabilidades em Redes Corporativas – Auditoria e Monitoramento de Aplicações, Hosts e Redes” na última edição do evento CNASI - DF, ocorrida nos dias 27 e 28 de maio/2013.

Published in: Technology
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF

  1. 1. Rafael Soares FerreiraSócio Diretor Técnicorafael@clavis.com.brGerenciamento deVulnerabilidades em RedesCorporativas
  2. 2. Apresentação• Grupo Clavis• Sócio Diretor Técnico• Detecção e resposta a incidentes de segurança• Testes de invasão em redes, sistemas eaplicações
  3. 3. Agenda• Introdução• Auditoria Teste de Invasão• Gerenciamento de Vulnerabilidades• Conclusão
  4. 4. Introdução“Avaliação da Segurança da Informação emRedes, Sistemas ou Aplicações através dasimulação de Ataques”
  5. 5. Introdução• Entender reais riscos presentes no seunegócio• Conformidade com normas nacionais einternacionais• HomologaçãoPor que fazer?
  6. 6.  Auditoria é um processo cíclico Verificação -> Identificação -> Mitigação Importante atentar para o surgimento denovas vulnerabilidades (recomeço do ciclo)Introdução
  7. 7. •Mapeamento de Redes e Dispositivos•Auditorias de Redes Automáticas•Mitigação e PrevençãoGerenciamento de Vulnerabilidades
  8. 8. Mapeamento de Redes e de Dispositivos•Controle de Inventário• Monitoramento de AtivosGerenciamento de Vulnerabilidades
  9. 9. Auditorias de Redes Automatizadas•Testes não intrusivos•Simulações de Ataques•Verificações internasGerenciamento de Vulnerabilidades
  10. 10. Auditorias de Redes Automatizadas•Verificação de versões•Boas Práticas de Configuração•Resistência a AtaquesGerenciamento de Vulnerabilidades
  11. 11. Auditorias de Redes Automatizadas•Força Bruta•Negação de Serviço•Códigos MaliciososGerenciamento de Vulnerabilidades
  12. 12. Auditorias de Redes Automatizadas•Injeção de Dados•Captura de Tráfego•Sequestros de SessãoGerenciamento de Vulnerabilidades
  13. 13. Auditorias de Redes Automatizadas• Comportamento Anômalo• Uso Abusivo• Vazamento de DadosGerenciamento de Vulnerabilidades
  14. 14. Mitigação e Prevenção•Geração de Alertas•Resposta Automática•Estatísticas e Janela de ExposiçãoGerenciamento de Vulnerabilidades
  15. 15. • Vulnerability Management• Policy Compliance• PCI Compliance• Web ApplicationsGerenciamento de Vulnerabilidades
  16. 16. • Mapeamento de redes e de dispositivos• Monitoramento pró-ativo e contínuo da rede• Auditoria de redes e gestão de vulnerabilidadesautomatizadasGerenciamento de Vulnerabilidades
  17. 17. Ciclo de Vida• Descoberta• Priorização• Avaliação• Documentação• Correção• VerificaçãoGerenciamento de Vulnerabilidades
  18. 18. • Descoberta de Host• Scanner de Porta• Detecção de Serviços e SistemasOperacionaisGerenciamento de Vulnerabilidades
  19. 19. •Mapeamento de AtivosProvê informação completa do ativosIdentificação dos ativos na rede• Scan de VulnerabilidadesIdentifica vulnerabilidades confirmadas oupotenciaisProve informação completa relacionada aosativosGerenciamento de Vulnerabilidades
  20. 20. Scan de Vulnerabilidades•Lançamento de testes específicosbaseados nas informações coletadas•Testes ativos, mas não intrusivos•Múltiplos testes para confirmar umavulnerabilidadeGerenciamento de Vulnerabilidades
  21. 21. Tipos de VulnerabilidadeGerenciamento de Vulnerabilidades•Vulnerabilidades•Vulnerabilidade Potencial•Informação
  22. 22. Gerenciamento de VulnerabilidadesSeveridade
  23. 23. Gerenciamento de Ativos•Pode-se organizar os ativos em grupos para mapearmelhor os testes que serão feitos em cada grupo•Pode-se dividir os ativos em grupos por:. Tipo do dispositivo. Prioridade. Localização geográfica. Departamento. etcGerenciamento de Vulnerabilidades
  24. 24. Remediação•Política (Regra) e Tickets de Remediação•Quando as vulnerabilidades não são maisdetectadas, os tickets abertos que têm relaçãocom as mesmas são marcadosautomaticamente como ResolvidosGerenciamento de Vulnerabilidades
  25. 25. Remediação•A abordagem das regras é top-down, ou seja,quando a primeira regra casar ela seráaplicada e a checagem das regras restantesserá abortada•As regras podem ser tanto para a criação detickets como também para a não criação(ignorar caso a regra corresponda)Gerenciamento de Vulnerabilidades
  26. 26. Remediação•O tempo de remediação de cadavulnerabilidade vai gerar a janela deexposição•Tal janela é o índice mais preciso sobre amaturidade de segurança da infraestruturaGerenciamento de Vulnerabilidades
  27. 27. •Se algo está errado, você deve ser oprimeiro a saber•Quanto mais rápida a resposta, melhor!•Não existe sistema inviolável, é precisomonitorar de maneira contínua.Conclusão
  28. 28. Dúvidas?Perguntas?Críticas?Sugestões?
  29. 29. Rafael Soares FerreiraSócio Diretor TécnicoMuito Obrigado!rafael@clavis.com.br@rafaelsferreira

×