Teste de invasão: Modelagem de ameaças

Nos posts anteriores, conversamos sobre a duas primeiras fases do teste de invasão. Na primeira fase (Preparação_, o objetivo é compreender sobre a área de atuação da organização que está solicitando o teste e sobre o objetivo que se quer alcançar com a sua realização, buscando o alinhamento — visto que esse tipo de teste pode gerar impactos inesperados.

A segunda fase é a de Coleta de informações, na qual o objetivo é buscar informações públicas sobre a empresa que possam ajudar nos testes, e essas informações serão utilizadas para a próxima fase que vamos falar neste post: Modelagem de Ameaças.

Na fase de Modelagem de ameaças, todas as informações encontradas na fase anterior de Coleta de informações serão utilizadas como base para analisar como alguém poderia utilizá-las para tentar realizar um ataque.

Nos casos em que a utilização de engenharia social for autorizada, podemos estudar e planejar como este teste pode ser realizado nesta fase, além de seu objetivo e informações sensíveis no contexto do negócio da empresa que se deseja conseguir.

Com relação às informações públicas, é necessário analisar e compreender, levando em consideração o negócio da organização alvo do teste, como que um atacante poderia realizar um ataque conseguindo informações sensíveis ou causar algum dano como indisponibilidade.

A modelagem das ameaças vai variar muito com o tipo de negócio da empresa e com o objetivo do teste. Esta fase é importante, pois vai contribuir para o direcionamento do teste a partir da próxima fase em que iremos analisar as possíveis vulnerabilidades. Portanto, é necessário que o objetivo do teste e o negócio da empresa sejam levados em consideração para que os testes sejam mais efetivos.

No próximo post, vamos iniciar a fase de Análise de vulnerabilidades. Até a próxima!

Referências: Testes de Invasão: Uma Introdução Prática ao Hacking – Georgia Weidman; Segredos do Hacker Ético – Marcos Flávio Assunção

Sobre o(a) autor(a)

Samantha Morais Nunes
Samantha Morais Nunes

Formada em Ciência da Computação pela PUC Minas e pós-graduada em Segurança da Informação pela UNA. Iniciou a carreira na área de QA em 2011 como estagiária e hoje atua como analista de qualidade de software na Take. Participou com Letícia (QA), André (QA) e Rhamon (PO), do STWC 2014, conquistando o 4º lugar na etapa South America e o prêmio Most Useful Test Report. Fez parte da equipe de organização do Minas Testing Conference, um evento sobre qualidade de software que ocorre em Belo Horizonte e atualmente faz parte da equipe de organização dos meetups de Segurança da Informação 0x0d1a e Machine Learning BH.

1 comentário

Comente

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode usar as seguintes tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

by Take ® 2015 | Todos os direitos reservados.linkedin