testes de invasão serpro...

11
Testes de Invasão Testes de Invasão SERPRO SERPRO (Pentest) (Pentest) Tiago Iahn SUPES/ESDEA/ESSEG 28/03/2018

Upload: others

Post on 30-Sep-2020

46 views

Category:

Documents


8 download

TRANSCRIPT

Page 1: Testes de Invasão SERPRO (Pentest)intra.serpro.gov.br/sobre/quartatec/imagens-e-arquivos/4-apresentao... · Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como a mídia vende

Testes de Invasão Testes de Invasão SERPROSERPRO

(Pentest)(Pentest)

Tiago IahnSUPES/ESDEA/ESSEG

28/03/2018

Page 2: Testes de Invasão SERPRO (Pentest)intra.serpro.gov.br/sobre/quartatec/imagens-e-arquivos/4-apresentao... · Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como a mídia vende

Segurança da Informação

Métodos tradicionais já não nos atendem com completa satisfação...

Page 3: Testes de Invasão SERPRO (Pentest)intra.serpro.gov.br/sobre/quartatec/imagens-e-arquivos/4-apresentao... · Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como a mídia vende

Hacker x Hacker Hollywood

Page 4: Testes de Invasão SERPRO (Pentest)intra.serpro.gov.br/sobre/quartatec/imagens-e-arquivos/4-apresentao... · Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como a mídia vende

Hacker x Hacker Hollywood Como a mídia vende essa ideia...

Page 5: Testes de Invasão SERPRO (Pentest)intra.serpro.gov.br/sobre/quartatec/imagens-e-arquivos/4-apresentao... · Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como a mídia vende

Pentest (Teste de intrusão) Teste de intrusão incluem atividades quevão além de identificação de vulnerabilidades,como:

● Coletar informações da Organização ● Mapear redes, serviços e aplicações● Buscar vulnerabilidades● Testes de Senhas● Exploração de vulnerabilidade● Possibilidade de instalação de backdoor

Page 6: Testes de Invasão SERPRO (Pentest)intra.serpro.gov.br/sobre/quartatec/imagens-e-arquivos/4-apresentao... · Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como a mídia vende

Tipos de Teste de intrusão

White boxPossui amplo conhecimento da organização.

● Diagramas de rede● Credenciais● Endereços IP

Gray boxPossui conhecimento mais limitado da organização.

● Acesso a rede● Verificar potencial impacto

a partir de colaboradores/parceiros mal-intencionado

Black boxNão é repassado nenhum conhecimento da organização do pentester.

● Simular um ataque como qualquer atacante externo

Page 7: Testes de Invasão SERPRO (Pentest)intra.serpro.gov.br/sobre/quartatec/imagens-e-arquivos/4-apresentao... · Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como a mídia vende

Visão

Grandes empresas entendem a importância da segurança ofensiva em complemento à tradicional

Page 8: Testes de Invasão SERPRO (Pentest)intra.serpro.gov.br/sobre/quartatec/imagens-e-arquivos/4-apresentao... · Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como a mídia vende

Resultados esperados

● Elevação do Grau de Segurança do ambiente operacional SERPRO;

● Proatividade na descoberta de falhas e vulnerabilidades;

● Identificação e mitigação de riscos e impactos no ambiente;

● Mitigar vulnerabilidades Simples e Complexas, não detectadas anteriormente;

Page 9: Testes de Invasão SERPRO (Pentest)intra.serpro.gov.br/sobre/quartatec/imagens-e-arquivos/4-apresentao... · Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como a mídia vende

Ataque worm “Stuxnet” 2010Ataque worm “Stuxnet” 2010

- Alvo infraestrutura industrial crítica – Usina Nuclear Irã- Alvo infraestrutura industrial crítica – Usina Nuclear Irã- Siemens – SCADA- Siemens – SCADA- Sem internet- Sem internet- Infecção em mais de 60 mil computadores no Irã- Infecção em mais de 60 mil computadores no Irã

Objetivo – Chegar a estrutura da Usina através de algum Objetivo – Chegar a estrutura da Usina através de algum dispositivo móvel infectado.dispositivo móvel infectado.

Case – Invasão StuxnetCase – Invasão Stuxnet

Page 10: Testes de Invasão SERPRO (Pentest)intra.serpro.gov.br/sobre/quartatec/imagens-e-arquivos/4-apresentao... · Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como a mídia vende

Case – Explanação (rubber duck)

Page 11: Testes de Invasão SERPRO (Pentest)intra.serpro.gov.br/sobre/quartatec/imagens-e-arquivos/4-apresentao... · Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como a mídia vende

- Elevação do Grau de Segurança- Elevação do Grau de Segurança

- Segurança Proativa- Segurança Proativa

- WhiteHats- WhiteHats

- Dont learn to hack, Hack to learn;- Dont learn to hack, Hack to learn;

Nome: Tiago Sell IahnE-mail: [email protected]