centro de defesa cibernÉtica -...
TRANSCRIPT
CENTRO DE DEFESA CIBERNÉTICACENTRO DE DEFESA CIBERNÉTICA
TESTES DE INVASÃO NO EXÉRCITO BRASILEIRO:TESTES DE INVASÃO NO EXÉRCITO BRASILEIRO:O PONTO DE VISTA DO ATACANTEO PONTO DE VISTA DO ATACANTE
Maj Com DAVID DA SILVA Maj Com DAVID DA SILVA POLVERARIPOLVERARI
Planejar, orientar e controlar as atividades operacionais, de inteligência, doutrinária, de ciência e tecnologia, e de capacitação no âmbito do Sistema Militar de Defesa Cibernética
Planejar, orientar e controlar as atividades operacionais, de inteligência, doutrinária, de ciência e tecnologia, e de capacitação no âmbito do Sistema Militar de Defesa Cibernética
COMANDO DE DEFESA CIBERNÉTICACOMANDO DE DEFESA CIBERNÉTICA
COMANDO DE DEFESA CIBERNÉTICACOMANDO DE DEFESA CIBERNÉTICA
COMPETÊNCIAS:
Assessorar o Comandante do Exército e o Ministro da Defesa nas atividades do Setor Cibernético, formular doutrina e obter e empregar tecnologias.
Planejar, orientar e controlar as atividades operacionais, doutrinárias e de desenvolvimento das capacidades cibernéticas.
Supervisionar as atividades de exploração cibernética, em conformidade com as políticas e diretrizes do Ministério da Defesa.
Executar as atividades operacionais e de inteligência no âmbito do Sistema Militar de Defesa Cibernética
Executar as atividades operacionais e de inteligência no âmbito do Sistema Militar de Defesa Cibernética
CENTRO DE DEFESA CIBERNÉTICACENTRO DE DEFESA CIBERNÉTICA
COMPETÊNCIAS:
Assessorar o Comandante de Defesa Cibernética nas atividades do Setor Cibernético
Executar as atividades operacionais e de desenvolvimento das capacidades cibernéticas.
Realizar as atividades de exploração cibernética, mediante supervisão do Comandante de Defesa Cibernética.
CENTRO DE DEFESA CIBERNÉTICACENTRO DE DEFESA CIBERNÉTICA
DEFINIÇÕESDEFINIÇÕES
TESTE DE INVASÃO
Simulação de um ataque real contra uma organização,
devidamente autorizado, realizado de forma controlada,
com a finalidade de encontrar e explorar vulnerabilidades
em seus sistemas de tecnologia da informação, determinar
o seu impacto e propor medidas para mitigar ou eliminar as
falhas encontradas.
DEFINIÇÕESDEFINIÇÕES
ANÁLISE DE VULNERABILIDADE
Processo que consiste em encontrar e medir a
severidade das vulnerabilidades em um sistema. Gera
listas de vulnerabilidades, frequentemente priorizadas
por severidade ou por criticidade ao negócio.
COMPARAÇÃOCOMPARAÇÃO
● Análise de vulnerabilidade
– Orientada a listas
– Maior amplitude, menor profundidade
– Processo em grande parte automatizado
– Foco em vulnerabilidades existentes
– Encontra mais vulnerabilidades, porém não as explora
● Teste de Invasão
– Orientado a objetivos
– Maior profundidade, menor amplitude
– Necessita criatividade
– Busca também outros vetores (ex: má configuração)
– Expõe vulnerabilidades que podem ser exploradas
CONSIDERAÇÕESCONSIDERAÇÕES
● Escopo do teste● Objetivos do teste● Período do teste● Tipo do teste– Caixa preta (“black box”)– Caixa branca (“white box”)– Caixa cinza (“gray box”)
● Estratégias de teste– Externo– Interno
● Equipe da própria organização vs Equipe externa● Autorização para o teste
MOTIVOS DE ÊXITO DE UM ATAQUE
MOTIVOS DE ÊXITO DE UM ATAQUE
ATRIBUIÇÕES
1) Sysadmin/gerente de redes (conflitantes)
1) Disponibilidade x Manutenção
2) Praticidade para o usuário x Segurança
3) Especialização vs Generalização
2) Atacante
1) …
2) Profit!
METODOLOGIAMETODOLOGIA
Fonte: Offensive Security
LIMITAÇÕES DE UM PENTESTLIMITAÇÕES DE UM PENTEST
● Tempo
● Segurança
● Legalidade
● Exfiltração de dados
● Persistência
CONCLUSÃOCONCLUSÃO
ENCONTRE SUAS VULNERABILIDADES ANTES QUE OUTROS O FAÇAM!
CONCLUSÃOCONCLUSÃO
OBRIGADO!