Este documento discute como um teste de invasão pode ajudar um gestor de segurança da informação. Ele explica o que é um teste de invasão, as abordagens e etapas envolvidas e os benefícios que podem ser obtidos, como conhecer riscos não mapeados e avaliar a cultura de segurança da empresa. O gestor Carlos decide contratar um teste de invasão para mudar a situação em sua empresa e obter mais investimento e visibilidade para a área de segurança.

1. UM TESTE DE INVASÃO PODE
AJUDAR O GESTOR DE SI?
Por Luiz Felipe Ferreira

2. Este é Carlos,
um Gestor de
Segurança da
Informação

3. Diariamente, convive com muitos
desafios que dificultam o seu trabalho

4. Na empresa onde
trabalha, há
pouco
investimento em
Segurança e as
ações são sempre
reativas

5. Ele não
consegue ter
visibilidade das
ameaças
importantes
para o negócio

6. Não é fácil calcular o ROI e
mostrar o valor da sua área para a
alta direção

7. Ele precisa mudar o jogo.
Ele decide contratar um Teste de Invasão.

8. 1
CONHECENDO
O TESTE DE INVASÃO

9. O que é um Teste
de Invasão?
Conjunto de
técnicas usadas para
verificar as
vulnerabilidades e
os riscos de sistemas
ou redes
O objetivo é a
obtenção das
informações

10. TESTE DE INVASÃO
ANÁLISE DE
VULNERABILIDADES
Expõe falhas não
convencionais
Expõe falhas
conhecidas
Uso de criatividade
para desviar dos
controles
Determina o risco
real das
vulnerabilidades
≠
Uso de ferramentas
automatizadas
Possíveis falsos
positivos

11. 2
AS ABORDAGENS
UTILIZADAS

12. BlackBox
GreyBox
WhiteBox
Simula uma
situação real
de uma
invasão
Verifica se há
erros em
permissões
da rede
Analisa até o
código fonte
das
aplicações
Acesso
restrito
Acesso
limitado
Acesso
liberado

13. 3
AS ETAPAS

14. CONTRATO
Definir o objetivo
e o escopo dos
testes
Garantir a
confidencialidade
das informações
Entrega de
documentação
detalhada

15. FOOTPRINT
Coleta de informações iniciais sobre o alvo para
encontrar formas de invadir o ambiente
O resultado desejado é um mapa de ativos da
organização
Engenharia Social pode ser utilizada

16. FINGERPRINT
Informações específicas
sobre uma ou mais máquinas
(Sistema Operacional, IP, etc)
Contato direto com ativos de
rede

17. MAPEAMENTO E
ANÁLISE DE
VULNERABILIDADES
Scan dos ativos
localizados
Enumeração das falhas
e configurações
padrões
Utilização de falhas 0day

18. EXPLORAÇÃO
Uso de exploits
específicos
Tentativa de
acesso não
autorizado
Visa
comprometer os
ativos

19. RESULTADOS
Detalhamento
técnico das
vulnerabilidades
Classificação dos
riscos
Recomendações
para correção das
vulnerabilidades

20. 4
OS BENEFÍCIOS

21. Conhecimento de riscos não
mapeados, fornecendo insumos para
uma melhor gestão dos mesmos.

22. É possível avaliar o nível de cultura de
Segurança da Informação na empresa

23. Testar a eficácia dos controles
implementados

24. Contribui para a aderência a
normas e padrões de mercado

25. Com as evidências, é possível
convencer a alta direção da
necessidade de investimentos

26. Após os resultados, Carlos decide
tornar o TDI uma atividade regular na
empresa onde trabalha

27. Carlos conseguiu mudar o jogo.
E você?

28. CONTATOS
lfferreira@gmail.com
@lfferreiras
Créditos
Fotos por Victor1558 (Flickr)
Licenciado por Creative Commons
Agradecimentos
Andréa Greco, Bruno Souza e toda a equipe do ISRio