Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Introdução ao Pen Test em

    Enviado por

    Tratibo Omar Ussene
    151 visualizações8 páginas

    Título original

    03-intoduça_o_ao_pentest

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    151 visualizações8 páginas

    Introdução ao Pen Test em

    Enviado por

    Tratibo Omar Ussene

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 8

    Introdução ao Pen Test

    Carlos Gustavo A. da Rocha

    Segurança de Redes
    carlos.rocha@ifrn.edu.br
    Introdução ao pentest
    ● A palavra da moda é pen test …
    ● … Mas o que é mesmo isso

    Segurança de Redes
    carlos.rocha@ifrn.edu.br
    Introdução ao pentest
    ● Definição
    ● Abreviação da palavra inglesa “Penetration Test”, que em
    portugues significa “Teste de Penetração”.
    ● Processo de identificação e exploração de vulnerabilidades,
    tentando utilizar dos mais diversificados métodos que um
    atacante poderia utilizar, (ataques logicos, fisicos e
    engenharia social).
    ● Pratica recomendada para aplicação periodica em redes
    institucionais para medir o grau de vulnerabilidade e corrigir
    problemas antes que sejam explorados por agentes
    externos.

    Segurança de Redes
    carlos.rocha@ifrn.edu.br
    Introdução ao pentest
    ● Pen test x analise de vulnerabilidades
    ● A analise de vulnerabilidade não explora as possiveis falhas
    ● Possiveis vulnerabilidades = Vulnerabilidades exploraveis
    ● Analise não mensura o risco que uma vulnerabilidade
    exploravel pode causar.
    ● Pen Test é a forma adequada para determinar o risco real
    das vulnerabilidades, e consequentemente, tratá -las de
    forma correta.

    Segurança de Redes
    carlos.rocha@ifrn.edu.br
    Introdução ao pentest
    ● Muito cuidado !!! Ética!!!
    ● Antes de começar, deve ser firmado contrato com
    valor juridico especificando de forma clara os alvos,
    objetivos, tipos de ataques que podem ser
    realizados, prazos, limites, confidencialidade e
    autorização da organização.
    – Dependendo da legislação local, e do procedimento
    adotado, um pen test pode ter consequencias legais!!!
    ● A equipe de segurança da instituição deve ou não
    estar ciente da contratação do Pen Test por uma
    equipe externa?
    Segurança de Redes
    carlos.rocha@ifrn.edu.br
    Introdução ao pentest
    ● Tipos de Pen Test (uma das varias
    classificações)
    ● Blind: a execução é feita sem conhecimento da estrutura da
    organização, a unica informação são IP(s) ou Host(s).
    ● Non Blind: a execução é feita com conhecimento da
    estrutura da organização, tais como servidores, firewalls,
    roteadores, sistemas operacionais, etc).
    ● Externo: a execução é feita a partir da rede externa.
    ● Interno: a execução é feita a partir da rede interna (LAN).

    Segurança de Redes
    carlos.rocha@ifrn.edu.br
    Introdução ao pentest
    ● Fazer ou não, Porque?
    ● Simulação real de ataque;
    ● Identificação (antes de outros) de fragilidades;
    ● Possibilidade de correção de problemas antes da
    exploração;
    ● Verificação de eficacia de politica de segurança.

    Segurança de Redes
    carlos.rocha@ifrn.edu.br
    Introdução ao pentest
    ● Apesar de serem coisas diferentes analise de
    vulnerabilidades é um requisito para entender
    pen test
    ● Uma boa analise pode servir de base para o pen test
    ● Conceitos e ferramentas para analise de vulnerabilidades
    também são de grande importância

    Segurança de Redes
    carlos.rocha@ifrn.edu.br

    Você também pode gostar