Testes de Invas££o SERPRO (Pentest)intra. Hacker x Hacker Hollywood. Hacker x Hacker...

download Testes de Invas££o SERPRO (Pentest)intra. Hacker x Hacker Hollywood. Hacker x Hacker Hollywood Como

of 11

  • date post

    30-Sep-2020
  • Category

    Documents

  • view

    5
  • download

    0

Embed Size (px)

Transcript of Testes de Invas££o SERPRO (Pentest)intra. Hacker x Hacker Hollywood. Hacker x Hacker...

  • Testes de Invasão Testes de Invasão SERPROSERPRO

    (Pentest)(Pentest)

    Tiago Iahn SUPES/ESDEA/ESSEG

    28/03/2018

  • Segurança da Informação

    Métodos tradicionais já não nos atendem com completa satisfação...

  • Hacker x Hacker Hollywood

  • Hacker x Hacker Hollywood Como a mídia vende essa ideia...

  • Pentest (Teste de intrusão) Teste de intrusão incluem atividades que vão além de identificação de vulnerabilidades, como:

    ● Coletar informações da Organização ● Mapear redes, serviços e aplicações ● Buscar vulnerabilidades ● Testes de Senhas ● Exploração de vulnerabilidade ● Possibilidade de instalação de backdoor

  • Tipos de Teste de intrusão

    White box Possui amplo conhecimento da organização.

    ● Diagramas de rede ● Credenciais ● Endereços IP

    Gray box Possui conhecimento mais limitado da organização.

    ● Acesso a rede ● Verificar potencial impacto

    a partir de colaboradores/parceiros mal-intencionado

    Black box Não é repassado nenhum conhecimento da organização do pentester.

    ● Simular um ataque como qualquer atacante externo

  • Visão

    Grandes empresas entendem a importância da segurança ofensiva em complemento à tradicional

  • Resultados esperados

    ● Elevação do Grau de Segurança do ambiente operacional SERPRO;

    ● Proatividade na descoberta de falhas e vulnerabilidades;

    ● Identificação e mitigação de riscos e impactos no ambiente;

    ● Mitigar vulnerabilidades Simples e Complexas, não detectadas anteriormente;

  • Ataque worm “Stuxnet” 2010Ataque worm “Stuxnet” 2010

    - Alvo infraestrutura industrial crítica – Usina Nuclear Irã- Alvo infraestrutura industrial crítica – Usina Nuclear Irã - Siemens – SCADA- Siemens – SCADA - Sem internet- Sem internet - Infecção em mais de 60 mil computadores no Irã- Infecção em mais de 60 mil computadores no Irã

    Objetivo – Chegar a estrutura da Usina através de algum Objetivo – Chegar a estrutura da Usina através de algum dispositivo móvel infectado.dispositivo móvel infectado.

    Case – Invasão StuxnetCase – Invasão Stuxnet

  • Case – Explanação (rubber duck)

  • - Elevação do Grau de Segurança- Elevação do Grau de Segurança

    - Segurança Proativa- Segurança Proativa

    - WhiteHats- WhiteHats

    - Dont learn to hack, Hack to learn;- Dont learn to hack, Hack to learn;

    Nome: Tiago Sell Iahn E-mail: tiago.iahn@serpro.gov.br

    mailto:tiago.iahn@serpro.gov.br

    Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11