Este documento discute como um teste de invasão pode ajudar um gestor de segurança da informação. Ele explica o que é um teste de invasão, as abordagens e etapas envolvidas e os benefícios que podem ser obtidos, como conhecer riscos não mapeados e avaliar a cultura de segurança da empresa. O gestor Carlos decide contratar um teste de invasão para mudar a situação em sua empresa e obter mais investimento e visibilidade para a área de segurança.
9. O que é um Teste
de Invasão?
Conjunto de
técnicas usadas para
verificar as
vulnerabilidades e
os riscos de sistemas
ou redes
O objetivo é a
obtenção das
informações
10. TESTE DE INVASÃO
ANÁLISE DE
VULNERABILIDADES
Expõe falhas não
convencionais
Expõe falhas
conhecidas
Uso de criatividade
para desviar dos
controles
Determina o risco
real das
vulnerabilidades
≠
Uso de ferramentas
automatizadas
Possíveis falsos
positivos
14. CONTRATO
Definir o objetivo
e o escopo dos
testes
Garantir a
confidencialidade
das informações
Entrega de
documentação
detalhada
15. FOOTPRINT
Coleta de informações iniciais sobre o alvo para
encontrar formas de invadir o ambiente
O resultado desejado é um mapa de ativos da
organização
Engenharia Social pode ser utilizada