Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • curso hack 2

    Enviado por

    Fabricio Faustino
    4 visualizações3 páginas

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    TXT, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato TXT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    4 visualizações3 páginas

    curso hack 2

    Enviado por

    Fabricio Faustino

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato TXT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 3

    Testes de infraestrutura de rede

    Testar a infraestrutura de rede pode significar algumas coisas. Para os propósitos


    deste curso, dizemos que ele se concentra na avaliação da postura de segurança da
    infraestrutura de rede real e em como ela é capaz de ajudar na defesa contra
    ataques. Isso geralmente inclui switches, roteadores, firewalls e recursos de
    suporte, como servidores de autenticação, autorização e contabilidade (AAA) e IPSs.
    Às vezes, um teste de penetração na infraestrutura sem fio pode ser incluído no
    escopo de um teste de infraestrutura de rede. No entanto, seriam realizados tipos
    adicionais de testes além de uma avaliação de rede com fio. Por exemplo, um
    testador de segurança sem fio tentaria invadir uma rede através da rede sem fio,
    contornando os mecanismos de segurança ou quebrando os métodos criptográficos
    usados para proteger o tráfego. Testar a infraestrutura sem fio ajuda uma
    organização a determinar os pontos fracos na implantação sem fio, bem como a
    exposição. Muitas vezes inclui um mapa de calor detalhado do desembolso do sinal.

    Testes baseados em aplicativos


    Este tipo de teste de penetração concentra-se em testar pontos fracos de segurança
    em aplicativos corporativos. Esses pontos fracos podem incluir, entre outros,
    configurações incorretas, problemas de validação de entrada, problemas de injeção e
    falhas lógicas. Como um aplicativo Web normalmente é criado em um servidor Web com
    um banco de dados back-end, o escopo do teste normalmente também inclui o banco de
    dados. No entanto, ele se concentra em obter acesso a esse banco de dados de
    suporte por meio do comprometimento da aplicação web. Um excelente recurso que
    mencionamos diversas vezes neste livro é o Open Web Application Security Project
    (OWASP).

    A estrutura MITRE ATT&CK (https://attack.mitre.org) é um recurso incrível para


    aprender sobre as táticas, técnicas e procedimentos (TTPs) de um adversário. Tanto
    os profissionais de segurança ofensiva (testadores de penetração, red teamers,
    caçadores de bugs e assim por diante) quanto as equipes de resposta a incidentes e
    de caça a ameaças usam a estrutura MITRE ATT&CK hoje. A estrutura MITRE ATT&CK é
    uma coleção de diferentes matrizes de táticas, técnicas e subtécnicas. Essas
    matrizes - incluindo a matriz ATT&CK empresarial, rede, nuvem, ICS e dispositivos
    móveis - listam as táticas e técnicas que os adversários usam durante a preparação
    para um ataque, incluindo a coleta de informações (inteligência de código aberto
    [OSINT], identificação técnica e de fraquezas pessoais , e mais), bem como
    diferentes técnicas de exploração e pós-exploração. Você aprenderá mais sobre MITRE
    ATT&CK ao longo deste curso.

    O OWASP Web Security Testing Guide (WSTG) é um guia abrangente focado em testes de
    aplicações web. É uma compilação de muitos anos de trabalho dos membros da OWASP.
    OWASP WSTG cobre as fases de alto nível dos testes de segurança de aplicações web e
    se aprofunda nos métodos de teste usados. Por exemplo, chega ao ponto de fornecer
    vetores de ataque para testar scripts entre sites (XSS), ataques de entidade
    externa XML (XXE), falsificação de solicitação entre sites (CSRF) e ataques de
    injeção de SQL; bem como como prevenir e mitigar esses ataques. Você aprenderá mais
    sobre esses ataques no Módulo 6, “Explorando vulnerabilidades baseadas em
    aplicativos”. Do ponto de vista dos testes de segurança de aplicações web, o OWASP
    WSTG é o guia mais detalhado e abrangente disponível. Você pode encontrar o OWASP
    WSTG e informações relacionadas ao projeto em https://owasp.org/www-project-web-
    security-testing-guide/.

    A Publicação Especial (SP) 800-115 é um documento criado pelo Instituto Nacional de


    Padrões e Tecnologia (NIST), que faz parte do Departamento de Comércio dos EUA.
    NIST SP 800-115 fornece às organizações diretrizes sobre planejamento e condução de
    testes de segurança da informação. Substituiu o documento padrão anterior, SP 800-
    42. SP 800-115 é considerado um padrão da indústria para orientação em testes de
    penetração e é mencionado em muitos outros padrões e documentos da indústria. Você
    pode acessar o NIST SP 800-115 em https://csrc.nist.gov/publications/detail/sp/800-
    115/final.

    O Manual de Metodologia de Teste de Segurança de Código Aberto (OSSTMM),


    desenvolvido por Pete Herzog, já existe há muito tempo. Distribuído pelo Instituto
    de Segurança e Metodologias Abertas (ISECOM), o OSSTMM é um documento que
    estabelece testes de segurança repetíveis e consistentes (https://www.isecom.org).
    Atualmente está na versão 3 e a versão 4 está em status de rascunho. O OSSTMM
    possui as seguintes seções principais:

    Métricas de Segurança Operacional


    Análise de confiança
    Fluxo de trabalho
    Testes de segurança humana
    Teste de segurança física
    Teste de segurança sem fio
    Teste de segurança de telecomunicações
    Teste de segurança de redes de dados
    Regulamentos de Conformidade
    Relatórios com o Relatório de Auditoria de Teste de Segurança (STAR)

    O Penetration Testing Execution Standard (PTES) (http://www.pentest-standard.org)


    fornece informações sobre tipos de ataques e métodos, e fornece informações sobre
    as ferramentas mais recentes disponíveis para realizar os métodos de teste
    descritos. O PTES envolve sete fases distintas:

    Interações pré-engajamento
    Coleta de informação
    Modelagem de ameaças
    Análise de vulnerabilidade
    Exploração
    Pós-exploração
    Comunicando

    O Information Systems Security Assessment Framework (ISSAF) é outra metodologia de


    teste de penetração semelhante às outras desta lista, com algumas fases adicionais.
    A ISSAF cobre as seguintes fases:

    Coleta de informações
    Mapeamento de rede
    Identificação de vulnerabilidade
    Penetração
    Obtendo acesso e escalonamento de privilégios
    Enumerando mais
    Comprometendo usuários/sites remotos
    Mantendo o acesso
    Cobrindo os rastros

    O padrão de execução de testes de penetração consiste em sete (7) seções


    principais. Eles cobrem tudo relacionado a um teste de penetração - desde a
    comunicação inicial e o raciocínio por trás de um pentest, passando pelas fases de
    coleta de inteligência e modelagem de ameaças, onde os testadores trabalham nos
    bastidores para obter uma melhor compreensão da organização testada, por meio de
    pesquisa de vulnerabilidade, exploração e pós-exploração, onde o conhecimento
    técnico de segurança dos testadores entra em ação e se combina com o entendimento
    comercial do trabalho e, finalmente, ao relatório, que captura todo o processo, de
    uma maneira que faça sentido para o cliente e forneça o mais valor para isso.

    Esta versão pode ser considerada v1.0, pois os elementos principais do padrão estão
    solidificados e foram "testados na estrada" por mais de um ano pela indústria. Uma
    versão 2.0 estará em desenvolvimento em breve e fornecerá um trabalho mais granular
    em termos de “níveis” – como nos níveis de intensidade nos quais cada um dos
    elementos de um teste de penetração pode ser executado. Como nenhum pentest é igual
    ao outro, e os testes irão variar desde o mais mundano teste de aplicação web ou
    rede, até um envolvimento total da equipe vermelha, esses níveis permitirão que uma
    organização defina quanta sofisticação espera que seu adversário exiba, e permitirá
    o testador aumente a intensidade nas áreas onde a organização mais precisa. Parte
    do trabalho inicial sobre “níveis” pode ser visto na seção de coleta de
    inteligência.

    A seguir estão as principais seções definidas pela norma como base para a execução
    de testes de penetração:

    Interações pré-engajamento
    Coleta de informação
    Modelagem de ameaças
    Análise de Vulnerabilidade
    Exploração
    Pós-exploração
    Comunicando
    Como a norma não fornece nenhuma orientação técnica sobre como executar um pentest
    real, também criamos um guia técnico para acompanhar a própria norma. O guia
    técnico pode ser contatado através do link abaixo:

    Diretrizes Técnicas
    Para obter mais informações sobre o que é esse padrão, visite

    MITRE ATT&CK começou a documentar táticas, técnicas e procedimentos (TTPs) comuns


    que ameaças persistentes avançadas usam contra redes corporativas do Windows.

    emulação de adversário, Red Teaming, desenvolvimento de análise comportamental,


    avaliação de lacunas defensivas, avaliação de maturidade SOC, enriquecimento de
    inteligência de tratamento cibernético

    Quais são os três domínios de tecnologia ATT&CK?

    Empresarial, Móvel, ICS

    Coletar credenciais, endereços de e-mail e nomes de funcionários.

    O Grupo Lazarus é um grupo de ameaças cibernéticas patrocinado pelo Estado da


    Coreia do Norte. Eles conduziram uma campanha chamada Operação Dream Job, na qual
    usaram ataques de phishing para atrair empregos falsos e outros ataques ativos para
    coletar endereços de e-mail que mais tarde foram usados em campanhas de phishing.
    Reconhecimento

    Você também pode gostar