Microcredencial em Cibersegurança Ofensiva - M1 UD4.

1 -
Pentesting e as Metodologias

1. Notas Práticas do Pentester

Como vimos anteriormente, os pentest são um método para avaliar a segurança de um sistema de
informação ou rede através da simulação de um ataque para descobrir vulnerabilidades que um
atacante poderia explorar. O pentest expõe as lacunas no modelo de segurança de uma organização e
ajuda-a, de acordo com a análise de risco, a alcançar um equilíbrio entre a funcionalidade, usabilidade
e segurança. O teste valida a eficácia das proteções e controlos de segurança implementados,
devendo realçar se existem vulnerabilidades de alta severidade (i.e., risco alto para o negócio).

Os pentests são efetuados com a utilização de ferramentas proprietárias ou de código aberto.

Muitas vezes os testes são conduzidos apenas com ferramentas que automatizam o processo (e.g.,
ferramentas de deteção de vulnerabilidades), mas os pentests com técnicas personalizadas e
adaptadas a sistemas específicos (e.g., inclui engenharia social com colaboradores), garantem uma
abordagem ainda mais completa.
Para a realização do teste de penetração, tem de existir um acordo entre quem executa o teste e
a entidade/organização submetida a esse teste. Pentests incompletos e não profissionais
podem resultar em quebra de serviços, interrupção da continuidade do negócio e graves
consequências legais.
Um teste de penetração não só aponta e documenta as vulnerabilidades detetadas (e.g., serviços
desatualizados, software inseguro/mal configurado), mas também documentará como os pontos fracos
podem ser explorados (e.g., colaboradores mal treinados, demonstração da exploração).

Ao concluir o pentest, os pentesters elaboram um relatório abrangente com detalhes das

vulnerabilidades identificadas (algumas podem incluir demonstração da exploração) e um
conjunto de contramedidas recomendadas. Tipicamente o relatório deve ter um sumário
executivo (e.g., destinado a gestores) e uma componente mais técnica (e.g., destinado aos
profissionais de TI da organização).

O conselho executivo da organização cliente, deve fornecer permissão clara por escrito para a
realização do pentest. Essa aprovação deve incluir o âmbito dos testes (i.e., objetivos e limites), uma
descrição do que testar e quando os testes serão realizados. Devido à natureza dos pentest, uma
falha em obter essa aprovação pode resultar em cometer um crime informático, apesar das
melhores intenções de cada um.

1.1. O que faz um bom teste de penetração?

As seguintes atividades irão garantir um bom teste de penetração:

 Estabelecer parâmetros para o teste de penetração, tais como o âmbito, objetivos, limitações e
justificação dos procedimentos;
Contratação de profissionais altamente qualificados e experientes para a realização do pentest;

Seguir as regras do acordo de confidencialidade (não-divulgação);

Seguir uma metodologia com planeamento e documentação adequados;
Documentar cuidadosamente os resultados e torná-los compreensíveis para o cliente.
Declarar claramente os resultados e recomendações no relatório final.
Garantir que todas as ações efetuadas no teste são reversíveis.

2. Tipos de Pentest

Os pentests dependem da quantidade de informações que a equipa de pentest recebe sobre a

organização, antes do teste. Os pentests podem ser realizados tanto externamente (realizado contra
hosts publicados/visíveis na Internet) ou internamente (realizado contra hosts dentro da rede interna
da organização). Se quisermos um teste completo, então dever-se-á testar tanto externa como
internamente. Por exemplo, se a rede interna não estiver devidamente segura e se um atacante
obtiver acesso a um host da organização (e.g., através de phishing) a partir do exterior, facilmente
pode explorar a rede a partir desse host já comprometido e comprometer outros hosts.

Os três tipos de pentest são os seguintes:

Teste Black-Box (Caixa negra - teste com conhecimento zero)

Os pentesters podem optar por realizar testes sem qualquer conhecimento, informação ou
assistência por parte de quem contrata o serviço. Tipicamente só têm acesso ao nome da
organização cliente. Podem obter informações confidenciais/privadas, mapear as redes
disponíveis e enumerar serviços e nomes de domínio, sistemas de ficheiros partilhados e sistemas
operativos, entre outras, desde que o consigam através da Internet. Além disso, o pentester pode
realizar ataques de engenharia social ou war driving (reconhecimento físico em torno de uma área
para encontrar redes sem fios) para descobrir pontos de acesso Wi-Fi vulneráveis, desde que
essas atividades sejam legais e dentro do âmbito do projeto.
Os pentesters realizam estes testes após extensa pesquisa da organização alvo (e.g., com open
source intelligence - OSINT). O teste de black box simula um atacante externo. Este teste
simula o processo de um verdadeiro hacker.
Estes testes podem ser realizados com conhecimento da equipa de defesa (o quê, como e quando
o pentester vai testar) ou sem qualquer aviso, neste último caso é possível aferir a capacidade de
resposta da equipa de defesa de forma mais precisa.
Testes White-Box (com conhecimento completo)
A organização pode dar informação aos pentesters se o objetivo for avaliar a segurança de forma
mais completa, detalhada e abrangente, ou testar um tipo específico de ataque ou um alvo
específico (e.g., ativo crítico). As informações fornecidas podem incluir documentos da topologia
da rede, inventário de ativos, código, entre outras. Normalmente, uma organização opta por esta
abordagem quando quer uma auditoria interna completa.
 As organizações geralmente fornecem as seguintes informações para o teste white-box:
infraestrutura da empresa; topologia e tipos de redes; implementações de segurança atuais;
endereços IP, detalhes de firewaIl e outros dispositivos de segurança, políticas da empresa, etc.
Esta abordagem permite ao pentester ir mais além em relação ao que conseguiria num pentest
black-box, permitindo identificar e corrigir vulnerabilidades que não estariam facilmente ao alcance
de outra forma (i.e., para um atacante médio).
Nota - Na prática, enquanto num teste black-box não há conhecimento do alvo e as técnicas
usadas são essencialmente de fuzzing[1], nos testes de white-box o pentester tem de fazer
mais para além dos testes de fuzzing, por exemplo, a análise de código fonte fornecido pela
organização. É por isso mais demorado e também mais caro já que requer mais tempo para
os testes.

Teste Grey-Box (com conhecimento parcial)

O teste de grey-box, combina as metodologias dos anteriores. É a abordagem mais comum para
testar as vulnerabilidades que um atacante pode encontrar e explorar. Em certos casos, as
organizações preferem fornecer aos pentesters conhecimentos ou informações parciais que os
hackers poderiam encontrar, como o servidor de nome de domínio. Essas informações também
podem incluir os ativos publicamente visíveis de uma organização. Podem também ser dadas
informações, equiparadas às que estão acessíveis a um atacante que já tenha violado o sistema
num determinado grau (e.g., já tenha acesso a um computador da rede interna). Os pentesters,
nesta abordagem, também podem interagir com administradores de sistemas e redes.

3. Metodologias de Pentests

Agora que compreendemos o que são pentests, vamos abordar as metodologias e as etapas para a
consecução do mesmo. Uma metodologia de pentest refere-se a uma abordagem metodológica para
descobrir e verificar vulnerabilidades nos mecanismos de segurança de um sistema de informação,
permitindo assim aos administradores aplicar controlos de segurança apropriados para proteger os
dados críticos e processos do negócio.

A pedra basilar de um teste de penetração bem-sucedido é a metodologia envolvida na sua conceção.

A metodologia subjacente deve ajudar o pentester, fornecendo uma abordagem sistematizada. A
consistência, precisão e eficiência do teste deve ser cumprida e deve estar à altura da marca da
metodologia de teste. Isto não significa, contudo, que toda a estrutura deva ser restritiva mas sim um
referencial. Ou seja, as metodologias são diretrizes (guidelines) e apenas isso, algo para o conduzir e
ajudar, mas não um guia restritivo sobre como realizar um pentest, pois para isso, ao nível técnico,
normalmente é necessário pensar fora da caixa (como um hacker).

Existem dois tipos importantes de metodologias de teste de penetração:

Metodologias Proprietárias:
Há muitas organizações que trabalham em pentests e que oferecem serviços e certificações. Estas
organizações de segurança têm as suas próprias metodologias que são mantidas em sigilo. Exemplos
de algumas metodologias proprietárias são IBM Security Services, McAfee Foundstone ou EC-Council
Licensed Pen Tester.
Metodologias de código aberto e públicas:
Há uma vasta gama de metodologias que estão disponíveis ao público[2]. Qualquer pessoa pode
utilizar estas metodologias e estão acessíveis online nas referências indicadas:

OSSTMM [3], Open-Source Security Testing Methodology Manual, compilado por Pete Herzog,
é uma metodologia abrangente revista por pares, para realizar testes de segurança: operacional de
locais físicos; de fluxos de trabalho; humana (engenharia social); física; de redes sem fios; de
telecomunicações; das redes de dados e conformidade. É considerado como um padrão para o
mais alto nível de testes. É um documento de suporte com referências conceptuais, sem muitos
detalhes práticos (e.g., hands-on, ferramentas).

NIST SP 800-115[4], Technical Guide to Information Security Testing and Assessment, do

Instituto Nacional de Normas e Tecnologia (NIST), a agência federal de tecnologia dos EUA que
trabalha com a indústria para desenvolver e aplicar tecnologia e padrões.

PTF[5], Penetration Testing Framework, de Kevin Orrey, fornece um guia completo de

ferramentas e lista-as de acordo cada categoria de testes.

PCI Penetration Testing Guide[6], a norma PCI DSS (Payment Card Industry Data Security
Standard) define pentests como requisito, e indica este guia.

OWASP, Open Web Application Security Project[7], descreve como identificar vulnerabilidades
em aplicações Web (Top Ten do OWASP). O OWASP fornece guias de testes dedicados a serviços
web/cloud[8], aplicações móveis (Android/iOS)[9], ou firmware IoT[10].

PTES, Penetration Testing Execution Standard[11], fornece orientações técnicas[12] e sugestões

práticas sobre pentests, incluindo recomendações para ferramentas.

3. As Fases (Metodologia PTES)

As fases seguintes seguem o padrão PTES referido anteriormente. É um ponto de partida, pois está
bastante completo e tem uma boa navegabilidade online.

3.1. Fase Preparatória (Pre-Engagement)

Esta é a fase mais importante de um pentest. Nesta fase, começa-se a definir o plano, alinhado com
os objetivos comerciais do cliente. O objetivo é assegurar que todos os envolvidos estejam
sintonizados e que as expectativas sejam fixadas com a máxima antecedência.
Durante esta fase, é necessário tempo para compreender os requisitos e objetivos. É necessário saber
porque é que o cliente está a realizar um teste de penetração? Foi atacado? Devido a necessidade de
compliance? Ou apenas para melhorar a postura de segurança?
É importante falar com o cliente e compreender os seus objetivos comerciais para melhor percebermos
como planear e definir o âmbito do pentest.

Podemos subdividir esta fase em alguns componentes:

 Definir o âmbito
O que é que vamos testar? A chave está em encontrar um equilíbrio entre tempo, custo, e os
objetivos do negócio. É importante notar que tudo o que for aqui acordado deve estar claramente
documentado (evitar complicações legais)!
Algumas perguntas que devem ser feitas:
• Qual a gama de endereços IP ou sistemas a testar?
• O teste deve incluir segurança física, redes sem fio, aplicações nos servidores, engenharia social,
... ?
• O que é que não podemos fazer? (evitar perda de receita para a organização ou indisponibilidade
de serviços críticos)
• Vai ser no local ou remoto?
• É white-box, grey-box ou black-box?
... Entre outras que podem consultar no PTES, claro que, sempre adaptadas ao cliente.
Aqui importa referir o scope creep, problema típico da gestão de projetos, quando o âmbito não
está bem definido ou não é devidamente controlado, neste caso, durante o pentest. Ou seja, evitar
fazer mais (por persuasão do cliente) do que aquilo que está definido, pois pode-se incorrer num
custo não previsto. O custo do pentest deve ser calculado em função do âmbito.
Fita do tempo
Definir prazos, data de início e data de fim para o pentest. Os pentests podem interferir em
servidores críticos que podem necessitar de estar inacessíveis durante o teste, mesmo para
remediação (patching) de eventuais vulnerabilidades encontradas.
Obter autorização de serviços externos (serviços cloud, ou outros fornecedores)
Os servidores a testar podem estar na cloud. É necessário saber de quem é o servidor e onde está
alojado o web site?
As grandes empresas fornecedoras de infraestruturas/serviços cloud (e.g., Microsoft[13],
Amazon[14] e Google[15]) têm Regras de Empenhamento (ROE – permissões, até onde ir) que é
necessário respeitar e assegurar obtendo aprovação.

Outros aspetos
• Se o pentest for realizado com fins comerciais, é importante definir um plano de pagamentos.
Neste sentido é importante definir custos, por teste a cada IP, a cada tipo de serviço, a redes com
determinada dimensão, etc.
• É fundamental obter a autorização (documento formal, e.g., termo de abertura) para a
realização do pentest, que deverá conter ou referenciar (outro documento) os aspetos
mencionados anteriormente. É igualmente importante assinar um termo de confidencialidade NDA
(non-disclosure agreement), pois como resultado do pentest podem ser descobertas
vulnerabilidades valiosas para agentes maliciosos.
• A definição de como será entregue o relatório final (distribuição) e qual a classificação de
segurança que deverá ter, deve ficar clara desde início.

3.2. Recolha de Informações (Intelligence Gathering)

Após terminar a fase anterior e obter autorização para iniciar o pentest, é necessário recolher
informação antes de iniciar o ataque. Esta fase centra-se na recolha do máximo de informação
possível com reconhecimento passivo (e.g., OSINT), com ferramentas como o Maltego, Shodan, entre
outras, incluindo pesquisa direta nos motores de busca.
O objetivo é detetar pontos de entrada na organização, quais os ativos críticos, entre outras, pois
muitas vezes as próprias organizações nem imaginam a quantidade de informação disponível sobre as
mesmas na Internet.

3.3. Modelação da Ameaça (Threat modeling)

Na modelação de ameaças (ver vocabulário[16] relacionado), começa-se a criar a relação entre as

ameaças e o ambiente do alvo (obtido anteriormente). Por exemplo, identificámos os sistemas que
contêm informação valiosa (ativos críticos), agora identificam-se as ameaças que podem atingir esses
sistemas e quais as potenciais vulnerabilidades que permitem ao agressor materializar essas
ameaças. Para além da identificação dos potenciais ativos a atacar, nesta fase temos de ter a noção
de quais os meios necessários para o conseguir e se estão alinhados com o âmbito do pentest. Os
ativos a explorar podem ser pessoas, dados, processos, fornecedores, etc. É importante salientar que
muitas vezes é necessário explorar vários ativos não críticos para chegar aos ativos críticos (e.g.,
ataque phishing a utilizador para entrar na rede e explorá-la em busca de alvos mais remuneradores,
ou vários processos não críticos comprometidos pode revelar-se crítico).

Existem várias técnicas de modelação de ameaças, a STRIDE é mais antiga e ainda útil:

STRIDE - Uma abordagem comum de modelação de ameaças é a estrutura STRIDE criada em

1999 pela Microsoft, ainda hoje utilizada, e que tem seis áreas onde qualquer método de ataque se
encaixa:
• Spoofing - alguém afirma ser uma pessoa ou sistema que não é;
• Tampering/Adulteração - violação e alteração ilegitima de dados, afetando a integridade;
• Repudiation/Repúdio - garante que o ataque não possa ser comprovado;
• Information disclosure/Divulgação de informação - afetar a confidencialidade da informação;
• Denial of service/Negação de serviço - afetar a disponibilidade de um sistema;
• Elevation of privilege/Elevação de Privilégio - afeta a autenticação e autorização garantindo
acesso a áreas restritas.

Existem diversas outras metodologias para modelação de ameaças[17][18]: PASTA, VAST, OCTAVE,
DREAD, entre outras.
Existem também várias ferramentas[18:1], que podem ser úteis nesta fase, para a modelação de
ameaças com recursos a gráficos ou árvores de ataque. Dois exemplos são a Microsoft Threat
Modelling Tool[19] ou a OWASP Threat Dragon[20]. Este tipo de ferramentas, permite visualizar as
ligações e interações possíveis entre vários elementos de um sistema de informação, identificando as
ameaças que podem advir dessas ligações.

3.4. Análise de Vulnerabilidades (Vulnerability analysis)

Uma vez definidas as ameaças que podem levar a um comprometimento, esta é a fase de descobrir se
existem vulnerabilidades que possam permitir materializar essas ameaças. Pode ser ativa (e.g.,
network scanners, web app scanners) ou pode ser passiva (e.g., monitorização de tráfego). Há muitos
scanners de vulnerabilidades, e.g., Nessus, OpenVAS, Nikto, Nexpose, QualysGuard, Acunetix. É
preciso ter em atenção que esta fase, dependendo da configuração dos scanners, pode levar à
deteção do ataque pela equipa de segurança.

3.5. Exploração (Exploitation)

Nesta fase, o foco é explorar vulnerabilidades encontradas e conseguir o acesso aos sistemas,
contornando os mecanismos de segurança implementados. Nesta fase utilizam-se diversas
ferramentas (e.g., Metasploit) e exploits já concebidos por alguém para explorar as vulnerabilidades
encontradas, e em casos mais complexos, pode ser necessário conceber os exploits ou adaptar os
existentes.

3.6. Pós-Exploração (Post-exploitation)

Nesta fase, após entrar num sistema, é tempo de procurar ativos críticos, tentar escalar privilégios,
mover-se lateralmente dentro da rede. Tal como os hackers maliciosos fazem após violar um sistema,
implica mover-se dentro do sistema ou da rede em busca de informação ou ativos mais valiosos. Pode
também instalar backdoors para que os sistemas comprometidos possam facilmente ser acedidos.

Esta fase deve terminar, com a notificação, limpeza e destruição de artefactos. Esta fase é crítica para
qualquer teste de penetração, pois é da responsabilidade do pentester restaurar os sistemas para o
estado de pré-teste.

3.7. Reportar/Relatório (Reporting)

É também muito importante que o pentester documente todas as atividades e registe todas as
observações e resultados, para que o teste possa ser repetido e verificado. Para que a organização
possa quantificar o risco de segurança em termos do impacto nos negócios, é essencial que a
identificação dos sistemas e ativos críticos, tenham as ameaças mapeadas. Toda esta informação
deve ser consolidada num relatório final. É igualmente importante fornecer ao cliente as
recomendações sobre como corrigir as vulnerabilidades expostas no pentest.

O relatório deve ter um sumário executivo e um relatório técnico. Cada secção tem de ser
adaptada ao público que a vai ler ou a quem se está a apresentar. Por exemplo, num sumário
executivo não refere que "o sistema X foi explorado com o exploit MS17-010 EternalBlue...", isto deve
ser dito apenas no relatório técnico. Num sumário executivo pode referir de forma genérica que "o
sistema X tem uma vulnerabilidade crítica que pode ser explorada".

Note-se que, dado que o relatório pode conter informação crítica sobre vulnerabilidades da
organização, deve ser classificado com um nível elevado de confidencialidade (por exemplo TOP
SECRET) e o relatório será tratado em conformidade. A classificação do relatório deverá basear-se na
política de classificação da informação da organização alvo.
A distribuição do relatório, é outro aspeto importante. O número de cópias, o formato (papel ou
digital) e o procedimento de entrega deve ser cuidadosamente implementado para controlar a
distribuição do relatório e certificar-se de que só chega às pessoas certas nos momentos certos, com
base na necessidade de conhecer e no que foi definido previamente.

De seguida faz-se referência ao conteúdo que deve conter cada uma das secções:

Sumário Executivo
Refere os objetivos do pentest e fornece um visão geral dos resultados a um nível macro. Quem lê
esta secção são os administradores da organização (muitas vezes sem conhecimento técnico de
informática), a informação aqui colocada tem de clara e simples. Deve conter:
• Enquadramento, e.g., objetivos do pentest;
• Classificação geral da postura de segurança: quão efetiva é a organização em relação aos testes
efetuados e aos objetivos traçados;
• Nível de risco: e.g., extremo, alto, moderado, baixo. É necessário explicar o porquê (e.g., "o
servidor X tem vulnerabilidades facilmente exploráveis", "foram encontradas N vulnerabilidades
que comprometem...", "não foram encontradas vulnerabilidades de alto impacto", etc.);
• Descobertas: aqui é útil usar gráficos para realçar as vulnerabilidades segundo a severidade ou
facilidade de exploração, bem como, necessidades de patches ou hardening dos sistemas;
• Recomendações e plano de ação: numa perspetiva macro (sem detalhes), o que é que tem de
ser feito para corrigir/mitigar as descobertas. Devem ser definidas janelas temporais (e.g., 1 mês, 3
meses, 1 ano) e ações a desenvolver de acordo com uma priorização associada ao risco ou ao
impacto dessas mudanças no negócio.
Relatório Técnico
O relatório técnico inclui muito mais detalhes em comparação com o anterior. No relatório técnico,
refere-se o âmbito detalhado, a informação, os métodos de ataque, e passos de remediação na
íntegra. Neste relatório, podem utilizar-se termos técnicos (e.g., hashes, endereços IP, shell, etc.).
O relatório pode ser constituído com os resultados principais de cada fase. Deve conter:
• Introdução: inclui o âmbito, contactos, sistemas, abordagem (e metodologia utilizada), síntese
dos principais resultados e estrutura do relatório.
• Recolha de Informação: o que foi possível obter, de interesse para o pentest, com o
reconhecimento passivo (e.g., OSINT) e com reconhecimento ativo (e.g., engenharia social,
scanning, etc.)?
• Análise de Vulnerabilidades: explicar como foi feita a deteção de vulnerabilidades e quais foram
encontradas.
• Exploração: mostrar evidências que demonstram como podem as vulnerabilidades ser
exploradas. Deve incluir também o que foi feito, quando, facilidade, nível de acesso obtido, etc.
• Pós-Exploração: incluir se foi possível escalar privilégios e como, extrair dados, informação
obtida, persistência, etc.
• Exposição e risco: os resultados anteriores são combinados para explicar os riscos e exposição.
Deve incluir a facilidade e nível de competências requeridas para explorar as vulnerabilidades, a
eficácia das contramedidas em vigor, e eventualmente pode envolver o cálculo de estimativa de
perdas.
 • Conclusões: a conclusão deve terminar com uma nota positiva a destacar qualquer orientação
para aumentar a postura de segurança da empresa e deve incluir claro a visão geral do pentest
efetuado.
Exemplos de relatórios:
• Ver white paper[21] da SANS, que para além de ter um relatório de exemplo em anexo ao paper,
tem muitas dicas importantes (as mais importantes estão refletidas neste documento);
• No website pentestreports.com[22] têm muitos exemplos, apesar de nenhum estar perfeito,
podem sempre aproveitar e acrescentar alguns dos aspetos mencionados aqui. Os mais completos
são o da CCSO[23] e o da Satiex[24]. Têm também um plano[25], muito útil como termo de abertura
e para definição do plano do pentest.

Notas Finais

O âmbito e o tipo de pentests a que uma organização se sujeita, evolui na mesma medida da
maturidade de segurança das organizações. As organizações implementam políticas, planos de
continuidade de negócio, avaliação de risco, entre outras, tais como os pentests, como parte
integrante da sua segurança. São necessários pentests regulares para a conformidade com
regulamentos como o PCI DSS e ISO 27001, e são fortemente aconselhados em todas as frameworks
de segurança (e.g., Quadro Nacional de Referência para a Cibersegurança[26]).

Depois de vermos os conceitos e metodologias associadas aos pentests, é altura de passar à parte
prática!

1. https://pt.wikipedia.org/wiki/Fuzzing ↩︎
2. https://owasp.org/www-project-web-security-testing-guide/latest/3-
The_OWASP_Testing_Framework/1-Penetration_Testing_Methodologies ↩︎

3. https://www.isecom.org/research.html#content5-9d ↩︎
4. https://csrc.nist.gov/publications/detail/sp/800-115/final ↩︎
5. http://www.vulnerabilityassessment.co.uk/Penetration Test.html# ↩︎
6. https://www.pcisecuritystandards.org/documents/Penetration-Testing-Guidance-v1_1.pdf ↩︎
7. https://owasp.org/Top10/#methodology ↩︎
8. https://owasp.org/www-project-web-security-testing-guide/ ↩︎
9. https://owasp.org/www-project-mobile-security-testing-guide/ ↩︎

10. https://github.com/scriptingxss/owasp-fstm ↩︎
11. http://www.pentest-standard.org/index.php/Main_Page ↩︎
12. http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines ↩︎
13. https://www.microsoft.com/en-us/msrc/pentest-rules-of-engagement ↩︎
14. https://aws.amazon.com/pt/security/penetration-testing/ ↩︎
15. https://cloud.google.com/security ↩︎
16. https://www.synopsys.com/blogs/software-security/threat-modeling-vocabulary/ ↩︎

17. https://threatmodeler.com/threat-modeling-methodologies-overview-for-your-business/ ↩︎
18. https://www.eccouncil.org/threat-modeling/ ↩︎ ↩︎
19. https://docs.microsoft.com/pt-pt/azure/security/develop/threat-modeling-tool ↩︎
20. https://owasp.org/www-project-threat-dragon/ ↩︎
21. https://sansorg.egnyte.com/dl/yNfjHOQix8 ↩︎
22. https://pentestreports.com/ ↩︎
23. https://pentestreports.com/templates/downloads/ccso-report-template.docx ↩︎

24. https://pentestreports.com/templates/downloads/satiexs-penetration-test-report-template.docx ↩︎
25. https://pentestreports.com/templates/downloads/cmgt400_v7_wk2_penetration_testing_plan_templ
ate.docx ↩︎
26. https://www.cncs.gov.pt/docs/cncs-qnrcs-2019.pdf ↩︎