rio info 2009 - green hat segurança da informação - bruno salgado guimarães
TRANSCRIPT
Green Hat Segurança da InformaçãoHistórico da Empresa
Green Hat Segurança da InformaçãoClavis Segurança da Informação
Green Hat Segurança da InformaçãoClavis Segurança da Informação
Soluções em Testes de Invasãopara Redes Corporativas
Green Hat Segurança da Informação
Política de Privacidade
Assinatura do Termo de Confidencialidade
Manutenção do sigilo das informações obtidas
Proteção contra revelações inadvertidas
Despersonificação e descarte após entrega
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
Definição
Atividades técnicas controladas
Testes de segurança
Simulações de ataques reais
Tentativas de acesso não autorizado
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
Justificativa & Motivação
Avaliação de riscos e vulnerabilidades reais
• Determinação da efetividade dos investimentos em SI
• Conformidade (PCI-DSS, SOX, NBR ISO 27001 ...)
• Validação para projetos entrarem ou não em produção
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
Modelos & Referências
Open Web Application Security Project (OWASP)
Open Source Security Testing Methodology Manual (OSSTMM)
Guideline on Network Security Testing (NIST 800.42)
Information Systems Security Assessment Framework (ISSAF)
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
Simulação X Ataque Real
Metodologia
Documentação
Preocupação com o Cliente
Limitações
Autorização documentada
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
Estrutura do Relatório
Sumário Executivo
Escopo do Projeto (e partes fora do escopo)
Ferramentas (e exploits) utilizados
Data e hora dos testes nos sistemas
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
Estrutura do Relatório
TODA saída dos testes realizados
Vulnerabilidades identificadas
Vulnerabilidades exploradas
Plano de Ação
Green Hat Segurança da InformaçãoSoluções em Testes de Invasão para Redes Corporativas
Ferramenta para Automaçãode Testes de Invasão(Pentest Framework)
Green Hat Segurança da Informação
Green Hat Segurança da InformaçãoFerramenta para Automação de Testes de Invasão
“Framework” para Testes de Invasão
Acompanha e auxilia durante todo o procedimento
Elaboração de um relatório detalhado e inteligível
Green Hat Segurança da InformaçãoFerramenta para Automação de Testes de Invasão
Diminuição do custo operacional (Automação)
Execução simples e eficiente (Interface amigável)
Modular e flexível
Aderente com normas nacionais e internacionais
Green Hat Segurança da InformaçãoFerramenta para Automação de Testes de Invasão
Ferramentas atuais
O foco está em etapas específicas
Planejamento e elaboração de escopo não são tratados
Green Hat Segurança da Informação
Muito Obrigado!!!
http://www.greenhat.com.br
Bruno Salgado Guimarã[email protected]
Rafael Soares [email protected]