SlideShare ist ein Scribd-Unternehmen logo

Gestão de Risco e Vulnerabilidades em

Andracom Solutions
Andracom Solutions

Albert Gonzalez first compromised a web application via SQL injection which gave him access to Heartland's web server. From there, he established remote control of the server and used it to pivot into other internal systems. By identifying the credit card transaction traffic flow, he was able to steal 40 million card numbers costing Heartland $130 million.

Technologie
1 von 47
Análise de Vulnerabilidade
Gestão de Risco | Análise de Vulnerabilidade Orientando pelo Números “75 porcento das empresas serão infectadas com um malware alvo, que sairam de seu tradicional perímetro e defesas do host. Até agora, estas Organizações permanecem ignorantes.” Organizações que sofreram uma brecha nos seus dados tiveram os seguintes custos incluindo: 74% 59% 33% 32% reportaram se depararam se depararam tiveram uma perda de com possíveis com possíveis queda no valor clientes litígios multas de suas ações -Ponemon Institute Survey
Gestão de Risco | Análise de Vulnerabilidade Tendências das Vulnerabilidade CompTIA Redes Sociais Brechas Prejuízo •  Uma •  Novas •  A severidade das •  Para 2011, a organização não vulnerabiildades brechas numa média do custo lucrativa diz que vieram do uso escala de 1 a 10. total de uma as brechas de crescente dos Em 2008 a brecha de segurança severidade média segurança atingiu ficaram mais sites de redes foi de 4,8, em $85.161 severas nos sociais como 2009 de 5,3 e em últimos 12 Facebook e 2012 de 5,9. meses. Twitter.
Gestão de Risco | Análise de Vulnerabilidade Os Quatro Pilares da Segurança Para cada pilar, existem diversos objetivos adicionais a serem considerados, relevantes e prioritários na área de segurança de dados.
Gestão de Risco | Análise de Vulnerabilidade Diferente de teste de intrução •  Não necessita de consultores on-site •  Varreduras contínuas: diárias/semanais •  Relatórios de ação, com informações para remediações fundamentadas em links com vendors de soluções •  Vai custar menos para você do que um teste de intrusão manual e vai ocupar menos recursos do seu time Lembre-se de que os ataques bem sucedidos não respeitam a muralha convencional de proteção. Daí conhecer as suas vulnerabilidades e antecipar correções nos ativos de segurança.
Gestão de Risco | Análise de Vulnerabilidade Como administrar Vulnerabilidades? Automatizar para se ter um regime contínuo de administração de vulnerabilidades.
Gestão de Risco | Análise de Vulnerabilidade The Automated Vulnerability Detection System (AVDS) O AVDS é desenhado para detectar, administrar e controlar vulnerabilidades diariamente em ambientes de TI múltiplos, heterogêneos e de aplicações WEB, através de uma simples interface central de gerenciamento AUTOMATICAMENTE.
Gestão de Risco | Análise de Vulnerabilidade Característica do sistema Automático
Gestão de Risco | Análise de Vulnerabilidade Os componentes do sistema da AVDS Scanning Server (SS) Responsável por descobrir e prover os dados de vulnerabilidade para cada rede/ segmento. Uma visão de Hacker de sua rede. Information Server (IS) Ponto Central de Gerenciamento para todos os scanning servers
Gestão de Risco | Análise de Vulnerabilidade Diagrama de Rede do AVDS
Gestão de Risco | Análise de Vulnerabilidade
Gestão de Risco | Análise de Vulnerabilidade SecuriTeam As vulnerabilidades para o sistema AVDS são fornecidos pelo portal Securiteam.com. De propriedade e operado pela Beyond Security, SecuriTeam.com é o maior portal independente de segurança na web •  Operante desde 1998 onde convergem todas as informações sobre novas vulnerabilidades e que nos permite desenvolver as assinaturas de ataque muito antes das atualizações dos ativos de segurança instalados. •  Recebe mais de 3.000.000 visitantes por mês •  Contém mais de 11,000 artigos de segurança, consultores, e guias de como fazer •  Atualiza e gerencia a base de dados de nossos testes de vulnerabilidade (9.900 ou mais testes)
Gestão de Risco | Análise de Vulnerabilidade Principais Funcionalidades do IS 1/3 •  Sistema de Chamados ü  Controla o processo de correção ü  Designa tarefas corretivas ü  Acompanha o progresso das correções ü  Bilhetagem inclui detalhes completos •  Automação Completa ü  Atualizações Automatizadas ü Escaneamentos programados •  Não necessita de qualquer tipo de agentes •  Escaneia qualquer coisa que “fale IP” ü  Comunicação, Produtos e Serviços de Segurança de Dados ü  Testes específicos de Sistemas Operacionais ü  Nível de Aplicação (Escaneamento até a camada 7) ü  Detecção de vulnerabilidades nas aplicações WEB
Gestão de Risco | Análise de Vulnerabilidade Principais Funcionalidades do IS 2/3 •  Administração de Ativos – A capacidade de controlar e monitorar o risco dos ativos de acordo com as prioridades estabelecidas pelo administrador. •  Relatórios Diferenciados – põe em evidência as mudanças ocorridas na vulnerabilidade da rede e ajuda a acompanhar o processo corretivo •  Sistema de Auditoria para acompanhar toda a atividade de uso •  Mecanismo de Scoring customiza as severidades das vulnerabilidade usando o modelo de definição de scoring CVSS •  Dia Zero de Scan – Escaneia imediatamente quando um novo problema de ALTO RISCO aparece. •  Scans On-demand DoS disponível quando for necessário •  Completo gerenciamento da empresa: ü  Múltiplas redes ü  Hierarquia Empresa/Usuário
Gestão de Risco | Análise de Vulnerabilidade Principais Funcionalidades do IS 3/3 •  Totalmente Não Intrusivo •  Simula ataques na rede da organização sem causar qualquer dano •  Consumo mínimo de banda – Nenhum efeito negativo na performance da rede – configurável entre 8k e 32K •  Precisão – menos de 0.1% de taxa de falso positivo Definindo e administrando um número ilimitado de organizações através de uma única interface – sistema de administração de vulnerabilidade que permite administrar várias organizações de forma hierárquica (AD) •  Faz uso do portal SecuriTeam.com como fonte de informações •  Em conformidade com o padrão MITRE CVE •  Data Mining - drill down através de queries de relatórios interativos na organização na rede, host e nível de porta
Gestão de Risco | Análise de Vulnerabilidade Hierarquia Baseada em Regras
Gestão de Risco | Análise de Vulnerabilidade Opções de relatórios —  Relatórios incluem: ü  Tabelas e Gráficos ü  Resumo do hosts vulneráveis ou ativos de IP ü  Vulnerabilidades incluindo informações de correções e classificações Mitre CVE —  Tipos de Relatórios: ü  Relatórios de Resumos ü  Relatórios Detalhados das vulnerabilidades e dos chamados abertos ü  Relatórios Diferenciais —  Relatórios disponíveis em vários formatos incluindo HTML, PDF, XML & CSV
Gestão de Risco | Análise de Vulnerabilidade AVDS (tela)
Gestão de Risco | Análise de Vulnerabilidade Tendência da Vulnerabilidade (tela)
Gestão de Risco | Análise de Vulnerabilidade Tendência da Vulnerabilidade por Scan (tela)
Gestão de Risco | Análise de Vulnerabilidade Hosts mais vulneráveis por Organização (tela)
Gestão de Risco | Análise de Vulnerabilidade Detalhe da vulnerabilidade HIGH s/chamado aberto (tela)
Gestão de Risco | Análise de Vulnerabilidade Resultado do Scan diferencial por host (tela)
Gestão de Risco | Análise de Vulnerabilidade Acompanhamento do Processo de Correção da Vulnerabilidade (tela)
Gestão de Risco | Análise de Vulnerabilidade Detalhes do Chamado Aberto (tela)
Gestão de Risco | Análise de Vulnerabilidade Programa Flexível de Escaneamento (tela)
Gestão de Risco | Análise de Vulnerabilidade Internet DMZ Router Auth Firewall Server App/data Server App/data App/data Server Server App/data Server L2 Switch ProbeLSS ProbeLSS Router Router w/ WCCP Auth Server Branch Office App/data Router Server Branch Office Branch Office Router Router ProbeLSS App/data ProbeLSS Server ProbeLSS L2 Switch L2 Switch App/data Server L4 Switch
Teste de Intrusão
Gestão de Risco | Teste de Intrusão Pense como o inimigo pensa Teste seus sistemas para verificar se ou como podem estar comprometidos •  Faça o teste de intrusão em: Servidores Patches IPS/IDS/Firewalls Políticas/ Usuários Aplicação de clientes Usuários •  Nossa solução: CORE IMPACT §  Software para teste automático de invasão §  Lança teste de ameaças do mundo real contra as redes, aplicações e clientes, de maneira segura e eficiente, demonstrando exatamente o estrago que um invasor pode fazer §  Funcionalidades: interface do usuário intuitiva; log completo de todas as atividades; relatórios customizados; links para correções; tecnologia patenteada
Gestão de Risco | Teste de Intrusão Como os clientes usam Core Impact Os cliente de Core Impact compartilham uma necessidade crítica de provar ou sentir-se confiante na força de suas estratégias de segurança em relação a ameaças em potencial: Motivador #1 de “avaliação de risco” •  Realiza testes de invasão na rede e usuários final de forma segura, repetitiva e efetiva em custo •  Verificação da eficiência das defesas de segurança (Fw/ IDS/IPS ) •  Conformidade de segurança comprovada com as Regulamentações (e.g., FDIC, HIPAA, SOX, PCI, etc.) •  Otimiza o processo de administração de vulnerabilidade "Teste de invasão que vai além de um simples escaneamento de vulnerabilidades tem que ser realizado com frequência”. John Pescatore, VP Distinguished Analyst Gartner.
Gestão de Risco | Teste de Intrusão O Ciclo da Administração da Vulnerabilidade A  solução  endereça  o  mais  substancial  e  desafiador  aspecto  da  administração  da   vulnerabilidade  em  “testes  de  ameaças  do  mundo  real”.    
Gestão de Risco | Teste de Intrusão Impact 12.0 – Teste de Segurança Integrado Primeiro produto a integrar o teste de segurança através de três vias de ataques replicando ataques de multiestágio. Base de dados comprometidas durante o teste de aplicações web... Pode ser conduzida por endereços de e-mail para uso em IMPACT client-side Tests, que avalia os usuários finais contra ataques de engenharia social. Servidores comprometidos durante os testes de aplicações Web e estações de usuários finais comprometidas durante o teste Client- Side... Podem ser usados como cabeças de ponta de onde lançar IMPACT Network Tests, que identifica e valida vulnerabilidade de OS serviços nos sistemas de backend
Gestão de Risco | Teste de Intrusão Teste de penetração externo (ou interno) Internet ü ü ü Firewall ü ü Rede da Matriz ü ü ü ü ü Rede da Filial
Gestão de Risco | Teste de Intrusão Teste de penetração externo (ou interno) ü ü ü ü ü ü ü ü ü ü
Gestão de Risco | Teste de Intrusão Teste de penetração externo (ou interno) Phishing, spear phishing ü ü ü and client-side exploits ü ü ü ü ü ü
Gestão de Risco | Teste de Intrusão Teste de Segurança nas Aplicações Web Internal Internal Network Servers Workstations User leverages compromised server to “pivot” the test to internal network systems. Web Application Server ü ü SQL Database
Gestão de Risco | Teste de Intrusão Exemplo: O famoso ataque de Alberto Gonzalez Albert Gonzalez: Condenado pela violação do sistema de pagamentos da empresa Heartland Payment Systems e roubo de 40 milhões de números de cartões de crédito custando à Heartland US$130 milhões. Abaixo as ações passo a passo. 7. Identificou o destino do tráfego 1. Comprometeu 2. Ganhou acesso ao 4. Estabeleceu um 6. Identificou da transação dos uma aplicação servidor web de controle outros sistemas cartões de crédito. Web via SQL dados. persistente. na rede. 5. Instalou Injection. sniffer. 3. Não encontrou nenhuma 8. Acessou a base informação de valor no de dados contendo servidor web de dados. os números dos cartões de crédito.
Gestão de Risco | Teste de Intrusão Testes abrangentes Testes de multiestágio com base nas ameaças do mundo real revelam exposições nas camadas de infraestrutura quando se adota a abordagem do invasor. Abaixo uma repetição do ataque efetuado pelo Alberto Gonzalez usando Core Impact. 8. Ajuda o Banner Grabber a conhecer as aplicações no sistema 5. Instala um alvo. 1. Identifica alvo das páginas web agente persistente 7. Roda o via o Módulo de Information de SO. Information 9. Roda exploits de 6. Roda o módulo Gathering (obtenção de de Sniffer de Gathering aplicações para informações). tráfego.. Module comprometer o sistema. 2. Gera 10. Roda o dinamicamente um 3. Ganha acesso ao módulo Get exploit de SQL servidor web de Sensitive Data para Injection customizado. dados. identificar os números dos cartões de crédito. 4. Roda o módulo Get Database Schema. Mostra que a base de dados não contem nada de valor.
Gestão de Risco | Teste de Intrusão IMPACT revela os caminhos exploráveis dos ataques A trilha de ataque do CORE IMPACT: Um dos 14 tipos de relatório para identificar os riscos exploráveis e prover dados de ação para remediação eficaz. Violação da App Web >>>Violação do servidor>>>Violação dos dados
Gestão de Risco | Teste de Intrusão Complementando Scanners de Vulnerabilidades Identifica e prova O sistema complementa os scans vulnerabilidaes de vulnerabilidades por: Descobre e críticas. verifica —  Rodando exploits contra as vulnerabilidade s vulnerabilidades identificadas durante a varredura —  Revelando quais vulnerabilidades impõem riscos críticos (ameaças de execução remota de códigos) – sem falso positivos —  Demonstrando com segurança as consequencias de uma violação – incluindo ameaças de multiestágios aos sistemas de Valida a Aplica patchs e correção updates backend
Gestão de Risco | Teste de Intrusão Levantamento dos Riscos no Mundo Real Teste de Intrusão provê Análise Profunda com Ameaças do Mundo Real •  O que os invasores podem saber sobre os nossos sistemas? Exploitation •  Quais sistemas podem realmente ser comprometidos? Info Gathering Pivoting •  Quais as trilhas de ataque que poderiam ser usadas para acessar os sistemas de backend? Scanning Potential Post-Exploitation vulnerabilities •  Quais dados estariam expostos? Re-Testing Reporting •  Como endereçamos as nossas exposições? Patching & Updating •  A remediação foi eficaz? •  Somos capazes de cumprir as exigências?
Gestão de Risco | Teste de Intrusão Software Abrangente para testes de intrusão Provê uma visão do risco de TI por toda a Provê dados para a ação de mitigar riscos infraestrutura •  Relatórios nas atividades dos testes, •  Identifica as vulnerabilidades exploráveis sistemas vulneráveis, dados expostos, e nas aplicações Web, sistemas de Rede, recomendações para remediação sistemas de endpoint, usuários, redes •  Relatórios visuais mostrando a cadeia de sem fio e mobile. fragilidades •  Relatórios de tendências e benchmark e Mapeia as trilhas de ataques desde os medição de progresso. comprometimentos de baixo nível até as violações de dados criticos na rede Apresentado numa solução de software que é… •  Levanta as implicações de uma violação, revelando cadeias de sistemas e dados •  Automatizado para acelerar testes em grandes ambientes expostos. •  Controlado e seguro Filtra resultados de outras soluções de •  Repetitivo visto que sistemas e ameaças evoluem segurança para apontar os riscos reais •  Atualizado visto que vulnerabilidades são •  Elimina falso/positivos e prioriza a descobertas e novas técnicas de ataque remediação emergem
Gestão de Risco | Teste de Intrusão Medida de Segurança usando ameaças do Mundo Real & Benchmarking •  Aponta fraquezas que poderiam permitir aos invasores a Relatórios capacidade de executarem códigos rermotos. §  Relatório da trilha de ataque §  Relatório do PCI Vulnerability Validation •  Aponta graficamente cadeias de sistemas vulneráveis que §  Relatório FISMA Vulnerability Validation expõem os dados e fontes de backend. §  Relatório diferencial (Delta Report) •  Acesso a patches e outras informações de remediações. §  Relatório de Tendências (Trend Report) §  Relatório de vulnerabilidades de •  Provê trilha de informações e auditorias para iniciativas de Aplicações Web conformidade §  Relatório Executivo de Aplicações Web §  Relatório de Atividades ath §  Relatório Executivo Sintético Attack P §  Relatório de Host (Host Report) §  Relatórios de vulnerabilidades §  Relatório Client-Side Penetration Test e d Exploit ilities §  Relatório de Usuário Client-Side on Vu lnerab pplicati Web A §  Relatório de Teste de Intrusão em sistemas wireless
Gestão de Risco | Teste de Intrusão Prêmios Comentários "After using IMPACT it seems obvious to us that manual penetration is obsolete." By Earl Geer 2006 Wall Street "Organizations concerned with Journal Innovation maintaining a tight security profile Award will appreciate Core Security Technologies' CORE IMPACT 6..." By Cameron Sturdevant Vulnerability Assessment & Remediation 19 June 2006 CORE IMPACT 5 IMPACT receives 4 ½ stars. By Frank J. Ohlhorst "We rate CORE IMPACT as Lab Approved … and we will be adding it to our test bench for the coming year." - SC Magazine, January 7, 2007 "We give our Tester's Choice Award to CORE IMPACT. By Mike Fratto, Reviewer “CORE IMPACT 6.0 is an amazing tool to validate your security posture.” - Information Security Magazine, January 16, 2007
Gestão de Risco e Vulnerabilidades em

Empfohlen

Apresentação Gerência de Riscos (PMBOK)
Apresentação Gerência de Riscos (PMBOK)Apresentação Gerência de Riscos (PMBOK)
Apresentação Gerência de Riscos (PMBOK)geraldoao
 
Gerenciamento dos Riscos em Projetos
Gerenciamento dos Riscos em ProjetosGerenciamento dos Riscos em Projetos
Gerenciamento dos Riscos em ProjetosMauro Sotille, MBA, PMP
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
I-SCode
I-SCodeI-SCode
I-SCodeJoao Rosado Pereira‍
 
2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de SegurançaVaine Luiz Barreira, MBA
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 

Empfohlen

Apresentação Gerência de Riscos (PMBOK)
Apresentação Gerência de Riscos (PMBOK)Apresentação Gerência de Riscos (PMBOK)
Apresentação Gerência de Riscos (PMBOK)geraldoao
 
Gerenciamento dos Riscos em Projetos
Gerenciamento dos Riscos em ProjetosGerenciamento dos Riscos em Projetos
Gerenciamento dos Riscos em ProjetosMauro Sotille, MBA, PMP
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
I-SCode
I-SCodeI-SCode
I-SCodeJoao Rosado Pereira‍
 
2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de SegurançaVaine Luiz Barreira, MBA
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSeguraKeySupport Consultoria e Informática Ltda
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Folder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineFolder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineSite Blindado S.A.
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...TI Safe
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebKeySupport Consultoria e Informática Ltda
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Symantec Brasil
 
Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Renato Sobral
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico Jose Ferreira
 
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...Symantec Brasil
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitAmazon Web Services
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.Thiago Viola
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPKemp
 
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...Osvaldo Daibert
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoISH Tecnologia
 
Sistema de Gestão Pública Municipal
Sistema de Gestão Pública MunicipalSistema de Gestão Pública Municipal
Sistema de Gestão Pública MunicipalAndracom Solutions
 
Solução em Mobilidade | Andracom
Solução em Mobilidade | AndracomSolução em Mobilidade | Andracom
Solução em Mobilidade | AndracomAndracom Solutions
 

Weitere ähnliche Inhalte

Ähnlich wie Gestão de Risco e Vulnerabilidades em

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSeguraEduardo Lanna
 
Folder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineFolder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineSite Blindado S.A.
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...TI Safe
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Symantec Brasil
 
Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Renato Sobral
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
 
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...Symantec Brasil
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitAmazon Web Services
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.Thiago Viola
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPKemp
 
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...Osvaldo Daibert
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoISH Tecnologia
 

Ähnlich wie Gestão de Risco e Vulnerabilidades em (20)

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura(4) Comparando o NStalker WAS com o RedeSegura
(4) Comparando o NStalker WAS com o RedeSegura
 
(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura(4) Comparando o N-Stalker WAS com o RedeSegura
(4) Comparando o N-Stalker WAS com o RedeSegura
 
Folder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineFolder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas online
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...
 
Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Apresentação NetSecurity 2011
Apresentação NetSecurity 2011
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico
 
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.Cloud Publica Com alta performance, flexível e gerenciável.
Cloud Publica Com alta performance, flexível e gerenciável.
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
 
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informação
 

Mehr von Andracom Solutions

Sistema de Gestão Pública Municipal
Sistema de Gestão Pública MunicipalSistema de Gestão Pública Municipal
Sistema de Gestão Pública MunicipalAndracom Solutions
 
Solução em Mobilidade | Andracom
Solução em Mobilidade | AndracomSolução em Mobilidade | Andracom
Solução em Mobilidade | AndracomAndracom Solutions
 
Gestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomGestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomAndracom Solutions
 
Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomAndracom Solutions
 
Gestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | AndracomGestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | AndracomAndracom Solutions
 
Gestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | AndracomGestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | AndracomAndracom Solutions
 

Mehr von Andracom Solutions (8)

Sistema de Gestão Pública Municipal
Sistema de Gestão Pública MunicipalSistema de Gestão Pública Municipal
Sistema de Gestão Pública Municipal
 
Solução em Mobilidade | Andracom
Solução em Mobilidade | AndracomSolução em Mobilidade | Andracom
Solução em Mobilidade | Andracom
 
Gestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomGestao de servicos de Ti | Andracom
Gestao de servicos de Ti | Andracom
 
Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | Andracom
 
Gestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | AndracomGestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | Andracom
 
Gestao de Rede | Andracom
Gestao de Rede | AndracomGestao de Rede | Andracom
Gestao de Rede | Andracom
 
Gestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | AndracomGestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | Andracom
 
Cidade Digital | Andracom
Cidade Digital | AndracomCidade Digital | Andracom
Cidade Digital | Andracom
 

Gestão de Risco e Vulnerabilidades em

  • 1.
  • 2.
  • 4. Gestão de Risco | Análise de Vulnerabilidade Orientando pelo Números “75 porcento das empresas serão infectadas com um malware alvo, que sairam de seu tradicional perímetro e defesas do host. Até agora, estas Organizações permanecem ignorantes.” Organizações que sofreram uma brecha nos seus dados tiveram os seguintes custos incluindo: 74% 59% 33% 32% reportaram se depararam se depararam tiveram uma perda de com possíveis com possíveis queda no valor clientes litígios multas de suas ações -Ponemon Institute Survey
  • 5. Gestão de Risco | Análise de Vulnerabilidade Tendências das Vulnerabilidade CompTIA Redes Sociais Brechas Prejuízo •  Uma •  Novas •  A severidade das •  Para 2011, a organização não vulnerabiildades brechas numa média do custo lucrativa diz que vieram do uso escala de 1 a 10. total de uma as brechas de crescente dos Em 2008 a brecha de segurança severidade média segurança atingiu ficaram mais sites de redes foi de 4,8, em $85.161 severas nos sociais como 2009 de 5,3 e em últimos 12 Facebook e 2012 de 5,9. meses. Twitter.
  • 6. Gestão de Risco | Análise de Vulnerabilidade Os Quatro Pilares da Segurança Para cada pilar, existem diversos objetivos adicionais a serem considerados, relevantes e prioritários na área de segurança de dados.
  • 7. Gestão de Risco | Análise de Vulnerabilidade Diferente de teste de intrução •  Não necessita de consultores on-site •  Varreduras contínuas: diárias/semanais •  Relatórios de ação, com informações para remediações fundamentadas em links com vendors de soluções •  Vai custar menos para você do que um teste de intrusão manual e vai ocupar menos recursos do seu time Lembre-se de que os ataques bem sucedidos não respeitam a muralha convencional de proteção. Daí conhecer as suas vulnerabilidades e antecipar correções nos ativos de segurança.
  • 8. Gestão de Risco | Análise de Vulnerabilidade Como administrar Vulnerabilidades? Automatizar para se ter um regime contínuo de administração de vulnerabilidades.
  • 9. Gestão de Risco | Análise de Vulnerabilidade The Automated Vulnerability Detection System (AVDS) O AVDS é desenhado para detectar, administrar e controlar vulnerabilidades diariamente em ambientes de TI múltiplos, heterogêneos e de aplicações WEB, através de uma simples interface central de gerenciamento AUTOMATICAMENTE.
  • 10. Gestão de Risco | Análise de Vulnerabilidade Característica do sistema Automático
  • 11. Gestão de Risco | Análise de Vulnerabilidade Os componentes do sistema da AVDS Scanning Server (SS) Responsável por descobrir e prover os dados de vulnerabilidade para cada rede/ segmento. Uma visão de Hacker de sua rede. Information Server (IS) Ponto Central de Gerenciamento para todos os scanning servers
  • 12. Gestão de Risco | Análise de Vulnerabilidade Diagrama de Rede do AVDS
  • 13. Gestão de Risco | Análise de Vulnerabilidade
  • 14. Gestão de Risco | Análise de Vulnerabilidade SecuriTeam As vulnerabilidades para o sistema AVDS são fornecidos pelo portal Securiteam.com. De propriedade e operado pela Beyond Security, SecuriTeam.com é o maior portal independente de segurança na web •  Operante desde 1998 onde convergem todas as informações sobre novas vulnerabilidades e que nos permite desenvolver as assinaturas de ataque muito antes das atualizações dos ativos de segurança instalados. •  Recebe mais de 3.000.000 visitantes por mês •  Contém mais de 11,000 artigos de segurança, consultores, e guias de como fazer •  Atualiza e gerencia a base de dados de nossos testes de vulnerabilidade (9.900 ou mais testes)
  • 15. Gestão de Risco | Análise de Vulnerabilidade Principais Funcionalidades do IS 1/3 •  Sistema de Chamados ü  Controla o processo de correção ü  Designa tarefas corretivas ü  Acompanha o progresso das correções ü  Bilhetagem inclui detalhes completos •  Automação Completa ü  Atualizações Automatizadas ü Escaneamentos programados •  Não necessita de qualquer tipo de agentes •  Escaneia qualquer coisa que “fale IP” ü  Comunicação, Produtos e Serviços de Segurança de Dados ü  Testes específicos de Sistemas Operacionais ü  Nível de Aplicação (Escaneamento até a camada 7) ü  Detecção de vulnerabilidades nas aplicações WEB
  • 16. Gestão de Risco | Análise de Vulnerabilidade Principais Funcionalidades do IS 2/3 •  Administração de Ativos – A capacidade de controlar e monitorar o risco dos ativos de acordo com as prioridades estabelecidas pelo administrador. •  Relatórios Diferenciados – põe em evidência as mudanças ocorridas na vulnerabilidade da rede e ajuda a acompanhar o processo corretivo •  Sistema de Auditoria para acompanhar toda a atividade de uso •  Mecanismo de Scoring customiza as severidades das vulnerabilidade usando o modelo de definição de scoring CVSS •  Dia Zero de Scan – Escaneia imediatamente quando um novo problema de ALTO RISCO aparece. •  Scans On-demand DoS disponível quando for necessário •  Completo gerenciamento da empresa: ü  Múltiplas redes ü  Hierarquia Empresa/Usuário
  • 17. Gestão de Risco | Análise de Vulnerabilidade Principais Funcionalidades do IS 3/3 •  Totalmente Não Intrusivo •  Simula ataques na rede da organização sem causar qualquer dano •  Consumo mínimo de banda – Nenhum efeito negativo na performance da rede – configurável entre 8k e 32K •  Precisão – menos de 0.1% de taxa de falso positivo Definindo e administrando um número ilimitado de organizações através de uma única interface – sistema de administração de vulnerabilidade que permite administrar várias organizações de forma hierárquica (AD) •  Faz uso do portal SecuriTeam.com como fonte de informações •  Em conformidade com o padrão MITRE CVE •  Data Mining - drill down através de queries de relatórios interativos na organização na rede, host e nível de porta
  • 18. Gestão de Risco | Análise de Vulnerabilidade Hierarquia Baseada em Regras
  • 19. Gestão de Risco | Análise de Vulnerabilidade Opções de relatórios —  Relatórios incluem: ü  Tabelas e Gráficos ü  Resumo do hosts vulneráveis ou ativos de IP ü  Vulnerabilidades incluindo informações de correções e classificações Mitre CVE —  Tipos de Relatórios: ü  Relatórios de Resumos ü  Relatórios Detalhados das vulnerabilidades e dos chamados abertos ü  Relatórios Diferenciais —  Relatórios disponíveis em vários formatos incluindo HTML, PDF, XML & CSV
  • 20. Gestão de Risco | Análise de Vulnerabilidade AVDS (tela)
  • 21. Gestão de Risco | Análise de Vulnerabilidade Tendência da Vulnerabilidade (tela)
  • 22. Gestão de Risco | Análise de Vulnerabilidade Tendência da Vulnerabilidade por Scan (tela)
  • 23. Gestão de Risco | Análise de Vulnerabilidade Hosts mais vulneráveis por Organização (tela)
  • 24. Gestão de Risco | Análise de Vulnerabilidade Detalhe da vulnerabilidade HIGH s/chamado aberto (tela)
  • 25. Gestão de Risco | Análise de Vulnerabilidade Resultado do Scan diferencial por host (tela)
  • 26. Gestão de Risco | Análise de Vulnerabilidade Acompanhamento do Processo de Correção da Vulnerabilidade (tela)
  • 27. Gestão de Risco | Análise de Vulnerabilidade Detalhes do Chamado Aberto (tela)
  • 28. Gestão de Risco | Análise de Vulnerabilidade Programa Flexível de Escaneamento (tela)
  • 29. Gestão de Risco | Análise de Vulnerabilidade Internet DMZ Router Auth Firewall Server App/data Server App/data App/data Server Server App/data Server L2 Switch ProbeLSS ProbeLSS Router Router w/ WCCP Auth Server Branch Office App/data Router Server Branch Office Branch Office Router Router ProbeLSS App/data ProbeLSS Server ProbeLSS L2 Switch L2 Switch App/data Server L4 Switch
  • 31. Gestão de Risco | Teste de Intrusão Pense como o inimigo pensa Teste seus sistemas para verificar se ou como podem estar comprometidos •  Faça o teste de intrusão em: Servidores Patches IPS/IDS/Firewalls Políticas/ Usuários Aplicação de clientes Usuários •  Nossa solução: CORE IMPACT §  Software para teste automático de invasão §  Lança teste de ameaças do mundo real contra as redes, aplicações e clientes, de maneira segura e eficiente, demonstrando exatamente o estrago que um invasor pode fazer §  Funcionalidades: interface do usuário intuitiva; log completo de todas as atividades; relatórios customizados; links para correções; tecnologia patenteada
  • 32. Gestão de Risco | Teste de Intrusão Como os clientes usam Core Impact Os cliente de Core Impact compartilham uma necessidade crítica de provar ou sentir-se confiante na força de suas estratégias de segurança em relação a ameaças em potencial: Motivador #1 de “avaliação de risco” •  Realiza testes de invasão na rede e usuários final de forma segura, repetitiva e efetiva em custo •  Verificação da eficiência das defesas de segurança (Fw/ IDS/IPS ) •  Conformidade de segurança comprovada com as Regulamentações (e.g., FDIC, HIPAA, SOX, PCI, etc.) •  Otimiza o processo de administração de vulnerabilidade "Teste de invasão que vai além de um simples escaneamento de vulnerabilidades tem que ser realizado com frequência”. John Pescatore, VP Distinguished Analyst Gartner.
  • 33. Gestão de Risco | Teste de Intrusão O Ciclo da Administração da Vulnerabilidade A  solução  endereça  o  mais  substancial  e  desafiador  aspecto  da  administração  da   vulnerabilidade  em  “testes  de  ameaças  do  mundo  real”.    
  • 34. Gestão de Risco | Teste de Intrusão Impact 12.0 – Teste de Segurança Integrado Primeiro produto a integrar o teste de segurança através de três vias de ataques replicando ataques de multiestágio. Base de dados comprometidas durante o teste de aplicações web... Pode ser conduzida por endereços de e-mail para uso em IMPACT client-side Tests, que avalia os usuários finais contra ataques de engenharia social. Servidores comprometidos durante os testes de aplicações Web e estações de usuários finais comprometidas durante o teste Client- Side... Podem ser usados como cabeças de ponta de onde lançar IMPACT Network Tests, que identifica e valida vulnerabilidade de OS serviços nos sistemas de backend
  • 35. Gestão de Risco | Teste de Intrusão Teste de penetração externo (ou interno) Internet ü ü ü Firewall ü ü Rede da Matriz ü ü ü ü ü Rede da Filial
  • 36. Gestão de Risco | Teste de Intrusão Teste de penetração externo (ou interno) ü ü ü ü ü ü ü ü ü ü
  • 37. Gestão de Risco | Teste de Intrusão Teste de penetração externo (ou interno) Phishing, spear phishing ü ü ü and client-side exploits ü ü ü ü ü ü
  • 38. Gestão de Risco | Teste de Intrusão Teste de Segurança nas Aplicações Web Internal Internal Network Servers Workstations User leverages compromised server to “pivot” the test to internal network systems. Web Application Server ü ü SQL Database
  • 39. Gestão de Risco | Teste de Intrusão Exemplo: O famoso ataque de Alberto Gonzalez Albert Gonzalez: Condenado pela violação do sistema de pagamentos da empresa Heartland Payment Systems e roubo de 40 milhões de números de cartões de crédito custando à Heartland US$130 milhões. Abaixo as ações passo a passo. 7. Identificou o destino do tráfego 1. Comprometeu 2. Ganhou acesso ao 4. Estabeleceu um 6. Identificou da transação dos uma aplicação servidor web de controle outros sistemas cartões de crédito. Web via SQL dados. persistente. na rede. 5. Instalou Injection. sniffer. 3. Não encontrou nenhuma 8. Acessou a base informação de valor no de dados contendo servidor web de dados. os números dos cartões de crédito.
  • 40. Gestão de Risco | Teste de Intrusão Testes abrangentes Testes de multiestágio com base nas ameaças do mundo real revelam exposições nas camadas de infraestrutura quando se adota a abordagem do invasor. Abaixo uma repetição do ataque efetuado pelo Alberto Gonzalez usando Core Impact. 8. Ajuda o Banner Grabber a conhecer as aplicações no sistema 5. Instala um alvo. 1. Identifica alvo das páginas web agente persistente 7. Roda o via o Módulo de Information de SO. Information 9. Roda exploits de 6. Roda o módulo Gathering (obtenção de de Sniffer de Gathering aplicações para informações). tráfego.. Module comprometer o sistema. 2. Gera 10. Roda o dinamicamente um 3. Ganha acesso ao módulo Get exploit de SQL servidor web de Sensitive Data para Injection customizado. dados. identificar os números dos cartões de crédito. 4. Roda o módulo Get Database Schema. Mostra que a base de dados não contem nada de valor.
  • 41. Gestão de Risco | Teste de Intrusão IMPACT revela os caminhos exploráveis dos ataques A trilha de ataque do CORE IMPACT: Um dos 14 tipos de relatório para identificar os riscos exploráveis e prover dados de ação para remediação eficaz. Violação da App Web >>>Violação do servidor>>>Violação dos dados
  • 42. Gestão de Risco | Teste de Intrusão Complementando Scanners de Vulnerabilidades Identifica e prova O sistema complementa os scans vulnerabilidaes de vulnerabilidades por: Descobre e críticas. verifica —  Rodando exploits contra as vulnerabilidade s vulnerabilidades identificadas durante a varredura —  Revelando quais vulnerabilidades impõem riscos críticos (ameaças de execução remota de códigos) – sem falso positivos —  Demonstrando com segurança as consequencias de uma violação – incluindo ameaças de multiestágios aos sistemas de Valida a Aplica patchs e correção updates backend
  • 43. Gestão de Risco | Teste de Intrusão Levantamento dos Riscos no Mundo Real Teste de Intrusão provê Análise Profunda com Ameaças do Mundo Real •  O que os invasores podem saber sobre os nossos sistemas? Exploitation •  Quais sistemas podem realmente ser comprometidos? Info Gathering Pivoting •  Quais as trilhas de ataque que poderiam ser usadas para acessar os sistemas de backend? Scanning Potential Post-Exploitation vulnerabilities •  Quais dados estariam expostos? Re-Testing Reporting •  Como endereçamos as nossas exposições? Patching & Updating •  A remediação foi eficaz? •  Somos capazes de cumprir as exigências?
  • 44. Gestão de Risco | Teste de Intrusão Software Abrangente para testes de intrusão Provê uma visão do risco de TI por toda a Provê dados para a ação de mitigar riscos infraestrutura •  Relatórios nas atividades dos testes, •  Identifica as vulnerabilidades exploráveis sistemas vulneráveis, dados expostos, e nas aplicações Web, sistemas de Rede, recomendações para remediação sistemas de endpoint, usuários, redes •  Relatórios visuais mostrando a cadeia de sem fio e mobile. fragilidades •  Relatórios de tendências e benchmark e Mapeia as trilhas de ataques desde os medição de progresso. comprometimentos de baixo nível até as violações de dados criticos na rede Apresentado numa solução de software que é… •  Levanta as implicações de uma violação, revelando cadeias de sistemas e dados •  Automatizado para acelerar testes em grandes ambientes expostos. •  Controlado e seguro Filtra resultados de outras soluções de •  Repetitivo visto que sistemas e ameaças evoluem segurança para apontar os riscos reais •  Atualizado visto que vulnerabilidades são •  Elimina falso/positivos e prioriza a descobertas e novas técnicas de ataque remediação emergem
  • 45. Gestão de Risco | Teste de Intrusão Medida de Segurança usando ameaças do Mundo Real & Benchmarking •  Aponta fraquezas que poderiam permitir aos invasores a Relatórios capacidade de executarem códigos rermotos. §  Relatório da trilha de ataque §  Relatório do PCI Vulnerability Validation •  Aponta graficamente cadeias de sistemas vulneráveis que §  Relatório FISMA Vulnerability Validation expõem os dados e fontes de backend. §  Relatório diferencial (Delta Report) •  Acesso a patches e outras informações de remediações. §  Relatório de Tendências (Trend Report) §  Relatório de vulnerabilidades de •  Provê trilha de informações e auditorias para iniciativas de Aplicações Web conformidade §  Relatório Executivo de Aplicações Web §  Relatório de Atividades ath §  Relatório Executivo Sintético Attack P §  Relatório de Host (Host Report) §  Relatórios de vulnerabilidades §  Relatório Client-Side Penetration Test e d Exploit ilities §  Relatório de Usuário Client-Side on Vu lnerab pplicati Web A §  Relatório de Teste de Intrusão em sistemas wireless
  • 46. Gestão de Risco | Teste de Intrusão Prêmios Comentários "After using IMPACT it seems obvious to us that manual penetration is obsolete." By Earl Geer 2006 Wall Street "Organizations concerned with Journal Innovation maintaining a tight security profile Award will appreciate Core Security Technologies' CORE IMPACT 6..." By Cameron Sturdevant Vulnerability Assessment & Remediation 19 June 2006 CORE IMPACT 5 IMPACT receives 4 ½ stars. By Frank J. Ohlhorst "We rate CORE IMPACT as Lab Approved … and we will be adding it to our test bench for the coming year." - SC Magazine, January 7, 2007 "We give our Tester's Choice Award to CORE IMPACT. By Mike Fratto, Reviewer “CORE IMPACT 6.0 is an amazing tool to validate your security posture.” - Information Security Magazine, January 16, 2007