experiência e cases com auditorias teste de invasão em redes e sistemas
DESCRIPTION
Título: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em redes e sistemas já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente. Cursos e Soluções Relacionadas: Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/ Solução em Auditoria Teste de Invasão em Redes e Sistemas http://www.clavis.com.br/servico/solucao-auditoria-teste-de-invasao-produto-consultoria.php Palestrante: Henrique Ribeiro dos Santos Soares Sobre o Instrutor: Henrique Ribeiro dos Santos Soares graduou-se em Ciência da Computação (2010) pela UFRJ e está finalizando o seu Mestrado em Informática na área de Redes de Computadores e Sistemas Distribuídos no PPGI/UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO).Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão e da redação de material utilizado na Academia Clavis.TRANSCRIPT
![Page 1: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/1.jpg)
AuditoriasAuditorias Teste de Invasão para Teste de Invasão para Proteção de Redes CorporativasProteção de Redes Corporativas
Henrique SoaresHenrique SoaresClavis Segurança da InformaçãoClavis Segurança da Informação
[email protected]@clavis.com.br
![Page 2: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/2.jpg)
$ whoami
• Analista do Grupo Clavis
• Mestre em Informática pela UFRJ
• Detecção e resposta a incidentes de segurança
• Testes de invasão em redes, sistemas e aplicações.
![Page 3: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/3.jpg)
Introdução
“Avaliação da Segurança da Informação em Redes, Sistemas ou Aplicações através da simulação de Ataques”
Definição
![Page 4: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/4.jpg)
Introdução
• Entender reais riscos presentes no seu negócio
• Conformidade com normas nacionais e internacionais
• Homologação
Por que fazer?
![Page 5: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/5.jpg)
Introdução
• Ausência ou desrespeito à política de atualização de software
• Ausência ou desrespeito à política de senhas
• Negligência na configuração de servidores
• Exposição de Informação
Principais causas de vulnerabilidades
![Page 6: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/6.jpg)
Política de Atualização
• Aplicação de correções de segurança disponibilizadas
• Monitoramento da publicação de novas vulnerabilidades
• Aplicação de medidas de mitigação (work arounds)
Do que se trata?
![Page 7: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/7.jpg)
Política de Atualização
• Execução de código arbitrário
• Ataques de negação de serviço
• Ataques de injeção
Problemas de segurança mais comuns
![Page 8: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/8.jpg)
Política de Senhas
• Controle da complexidade das credenciais de acesso utilizadas
• Controle da frequência com que senhas devem ser trocadas
Do que se trata?
![Page 9: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/9.jpg)
Política de Senhas
• Senhas padrão não modificadas
• Senhas baseadas em informações divulgadas em meios públicos
Problemas de segurança mais comuns
![Page 10: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/10.jpg)
Configuração de Servidores
• Aplicação das funcionalidades de segurança oferecidas pelas aplicações
• Controle de quais aplicações estão em execução nos ativos
• Monitoramento de funcionalidades com prazo de validade
Do que se trata?
![Page 11: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/11.jpg)
Configuração de Servidores
• Community Names SNMP Padrão
• Vazamento de informação em diretórios compartilhados
• BEAST Attack e Cifras Fracas
Problemas de segurança mais comuns
![Page 12: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/12.jpg)
Exposição de Informação
• Falhas em Controles de Acesso
• Falha na Cultura de Segurança
• Divulgações Inadvertidas
Do que se trata?
![Page 13: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/13.jpg)
Exposição de Informação
• Descarte Inseguro
• Problemas de Autenticação / Autorização
• Postagens em Sites, Blogs, listas de discussão, Mídias Sociais e etc.
• Anúncios de vagas e conhecimentos requeridos
Problemas de segurança mais comuns
![Page 14: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/14.jpg)
Conclusões
Auditorias abrangentes para identificação de falhas básicas
Ataques simples são responsáveis por grande parte dos incidentes
Nível de Segurança X Complexidade dos Ataques
![Page 15: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/15.jpg)
Dúvidas?
![Page 16: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/16.jpg)
Siga a Clavis
![Page 17: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas](https://reader033.vdocuments.net/reader033/viewer/2022061211/549261b2ac7959ff2d8b45db/html5/thumbnails/17.jpg)
Muito Obrigado!Muito Obrigado!
Henrique SoaresHenrique SoaresClavis Segurança da InformaçãoClavis Segurança da Informação
[email protected]@clavis.com.br