Scribd Logo
Importer

Bienvenue sur Scribd !

  • Apresentação - Aula 01

    Transféré par

    franSouza
    18 vues10 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    18 vues10 pages

    Apresentação - Aula 01

    Transféré par

    franSouza

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 10

    www.eSecurity.com.

    br
    O que temos para hoje?
    Menu do dia:
    Introduo ao Pentest
    O que um Pentest
    Qual a necessidade de um Pentest
    Tipos de Pentest
    Processos de um Pentest
    Viso Macro
    Viso Detalhada
    tica Hacker
    www.eSecurity.com.br
    O que um Pentest
    Inicialmente temos que entender que Pentest um servio, de preferncia
    legalizado e extremamente necessrio para qualquer empresa que necessite
    proteger dados sensveis.
    As organizaes possuem necessidades grandes em manter informaes online e
    a preocupao que estas informaes estejam, de certa forma, protegidas de
    quaisquer pessoas que no esto autorizadas a acess-las.
    Junto com essa necessidade, comearam a surgir servios que simulam ataques
    hackers para testar estas vulnerabilidades e ento corrigi-las.
    Este tipo de servio est diretamente ligado rea de Segurana da Informao,
    onde empresas contratam diferentes profissionais (hackers) para a realizao de
    diversos testes procura de falhas em seus sistemas, redes e /ou servios, e
    posteriormente documentam as falhas encontradas para anlise e correo.
    www.eSecurity.com.br
    Qual a necessidade de um Pentest
    Na realidade o Pentest possui diversas necessidades:
    Testar as vulnerabilidades da empresa
    Testar o time de resposta incidentes de Segurana
    Testar o monitoramento
    Testar regras de firewall
    Testar o nvel de maturidade dos usurios
    Testar determinadas aplicaes
    Tipos de Pentest
    Blind (BlackBox)
    Neste tipo de ataque o auditor no conhece nada sobre o alvo que ir atacar, porem o
    alvo sabe que ser atacado e o que ser feito durante o ataque.
    Double Blind (Double BlackBox)
    Neste tipo de ataque o auditor no conhece nada sobre o alvo, e o alvo no sabe que
    ser atacado e to pouco quais testes sero realizados.
    Gray Box
    Neste tipo de ataque o auditor tem conhecimento parcial do alvo, e o alvo sabe que
    ser atacado e tambm sabe quais testes sero realizados. Este o tipo de pentest
    mais realista possvel, aproximando-se de um ataque real.
    www.eSecurity.com.br
    Tipos de Pentest
    Double Gray Box
    Neste tipo de ataque o auditor tem conhecimento parcial do alvo, e o alvo sabe que
    ser atacado, porm, no sabe quais testes sero executados.
    Tandem
    Neste tipo de ataque o auditor tem total conhecimento sobre o alvo, e o alvo sabe que
    ser atacado e tambm o que ser testado. Este tipo de ataque tambm conhecido
    como caixa de cristal.
    Reversal
    Neste tipo de ataque o auditor tem conhecimento total do alvo, porm o alvo no sabe
    que ser atacado, e to pouco quais testes sero executados. Este tipo de ataque
    ideal para testes a capacidade de resposta e como est o timing de ao da equipe
    de resposta a incidentes do alvo.
    www.eSecurity.com.br
    www.eSecurity.com.br
    Processos de um Pentest
    No a toa que esta a primeira parte de nossa apresentao. importante ter
    ideia dos estgios de um Pentest antes mesmo de ter um cliente em potencial.
    Na viso Macro
    1. Encontrar um cliente
    2. Efetuar uma reunio comercial e apresentar a sua empresa
    3. Enviar as propostas Tcnicas e Comercial
    4. Em caso de aprovao, efetuar o Trabalho
    5. Apresentar o relatrio com as vulnerabilidades
    Processos de um Pentest
    A viso do pentester diferente do cliente e precisa ser seguido merticulosamente.
    Na sua viso
    1. Encontrar um possvel cliente
    2. Estudar o ramo de atividade do cliente
    3. Conseguir uma reunio comercial
    4. Ouvir as necessidades do cliente
    5. Elaborar a proposta de acordo com o ambiente do cliente
    6. Solicitar ao cliente um mapa de sua rede, sistemas operacionais e conexes
    7. Montar o projeto de acordo com o ambiente e necessidade do cliente
    8. Enviar as propostas tcnicas e comerciais
    9. Cobrar o cliente caso o mesmo no retorne em 72h
    10. Em caso de aprovao, preparar as ferramentas adequadas para o projeto
    11. Preparar junto com o cliente a linha do tempo e segui-la risca.
    12. Apresentar relatrio final
    www.eSecurity.com.br
    tica Hacker
    tica Hacker o termo que descreve os valores morais e filosficos na comunidade
    hacker
    importante seguir seus princpios, porm, devemos lembrar que no podemos em
    hiptese alguma infringir as regras de seus clientes.
    Os temas das tica Hacker so:
    Compartilhamento
    Abertura
    Descentralizao
    Livre acesso aos computadores
    Melhoria do mundo
    www.eSecurity.com.br
    E-mail: alan.sanches@esecurity.com.br
    Twitter: @esecuritybr e @desafiohacker
    Skype: desafiohacker
    Fanpage: www.facebook.com/academiahacker
    Chega por hoje
    www.eSecurity.com.br
    www.eSecurity.com.br

    Vous aimerez peut-être aussi