![Page 1: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/1.jpg)
Green Hat Segurança da InformaçãoHistórico da Empresa
![Page 2: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/2.jpg)
Green Hat Segurança da InformaçãoClavis Segurança da Informação
![Page 3: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/3.jpg)
Green Hat Segurança da InformaçãoClavis Segurança da Informação
![Page 4: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/4.jpg)
Soluções em Testes de Invasãopara Redes Corporativas
Green Hat Segurança da Informação
![Page 5: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/5.jpg)
Política de Privacidade
Assinatura do Termo de Confidencialidade
Manutenção do sigilo das informações obtidas
Proteção contra revelações inadvertidas
Despersonificação e descarte após entrega
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
![Page 6: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/6.jpg)
Definição
Atividades técnicas controladas
Testes de segurança
Simulações de ataques reais
Tentativas de acesso não autorizado
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
![Page 7: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/7.jpg)
Justificativa & Motivação
Avaliação de riscos e vulnerabilidades reais
• Determinação da efetividade dos investimentos em SI
• Conformidade (PCI-DSS, SOX, NBR ISO 27001 ...)
• Validação para projetos entrarem ou não em produção
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
![Page 8: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/8.jpg)
Modelos & Referências
Open Web Application Security Project (OWASP)
Open Source Security Testing Methodology Manual (OSSTMM)
Guideline on Network Security Testing (NIST 800.42)
Information Systems Security Assessment Framework (ISSAF)
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
![Page 9: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/9.jpg)
Simulação X Ataque Real
Metodologia
Documentação
Preocupação com o Cliente
Limitações
Autorização documentada
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
![Page 10: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/10.jpg)
Estrutura do Relatório
Sumário Executivo
Escopo do Projeto (e partes fora do escopo)
Ferramentas (e exploits) utilizados
Data e hora dos testes nos sistemas
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
![Page 11: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/11.jpg)
Estrutura do Relatório
TODA saída dos testes realizados
Vulnerabilidades identificadas
Vulnerabilidades exploradas
Plano de Ação
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
![Page 12: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/12.jpg)
Ferramenta para Automaçãode Testes de Invasão(Pentest Framework)
Green Hat Segurança da Informação
![Page 13: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/13.jpg)
Green Hat Segurança da InformaçãoFerramenta para Automação de Testes de Invasão
“Framework” para Testes de Invasão
Acompanha e auxilia durante todo o procedimento
Elaboração de um relatório detalhado e inteligível
![Page 14: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/14.jpg)
Green Hat Segurança da InformaçãoFerramenta para Automação de Testes de Invasão
Diminuição do custo operacional (Automação)
Execução simples e eficiente (Interface amigável)
Modular e flexível
Aderente com normas nacionais e internacionais
![Page 15: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/15.jpg)
Green Hat Segurança da InformaçãoFerramenta para Automação de Testes de Invasão
Ferramentas atuais
O foco está em etapas específicas
Planejamento e elaboração de escopo não são tratados
![Page 16: Rio Info 2009 - Green Hat Segurança da Informação - Bruno Salgado Guimarães](https://reader033.vdocuments.com.br/reader033/viewer/2022042614/5576072fd8b42a0d5e8b45d8/html5/thumbnails/16.jpg)
Green Hat Segurança da Informação
Muito Obrigado!!!
http://www.greenhat.com.br
Bruno Salgado Guimarã[email protected]
Rafael Soares [email protected]