Teste de invasão: Pós – Exploração de Falhas

No post anterior da série, discutimos um pouco sobre um tipo de ataque que é de Força Bruta.

Neste post, vamos falar sobre a próxima fase do teste de invasão: a Pós-exploração de falhas. Confira!

Após terem sido levantadas informações de fontes abertas, ter sido realizada a análise de vulnerabilidades e a exploração de falhas, é o momento de verificar e analisar tudo o que foi possível fazer no que diz respeito aos impactos à integridade, disponibilidade e confidencialidade da informação.

A fase de Pós-exploração de falhas engloba duas questões principais:

  • Analisar as informações sobre o sistema invadido e verificar o que é possível realizar com o acesso adquirido
  • Avaliar quais dessas vulnerabilidades são relevantes

Nessa fase, são analisadas as informações sobre o sistema invadido e verifica-se o que é possível realizar com o acesso adquirido. Um exemplo: Acessar arquivos, criar backdoors para manter o acesso, elevar nível de privilégio do usuário e analisar até onde é possível chegar.

Uma ferramenta que poderá auxiliar nesse processo é o Meterpreter, que é um payload do Metasploit.

Após a realização dessa análise com base na exploração de falhas, é necessário avaliar quais dessas vulnerabilidades são relevantes para o cliente. Isso é de extrema importancia para que o cliente possa focar no que é mais importante, pois pode acontecer de um sistema que foi invadido não permitir acesso a nenhum possível alvo relevante que vá impactar a segurança da informação.

Toda essa análise permite ter uma visão clara do cenário de segurança da informação e pontua onde estão as questões que devem ser levadas em consideração para a criação do relatório e direcionamento das ações por parte da equipe de segurança da informação da empresa alvo dos testes.

Neste post, discutimos sobre a fase de Pós-exploração de falhas. No próximo post, falaremos sobre a última fase do teste de invasão: Geração de Relatórios.

Até a próxima!

Referências: Testes de Invasão: Uma Introdução Prática ao Hacking – Georgia Weidman; Segredos do Hacker Ético – Marcos Flávio Assunção;Curso Fundamentos de Ethical Hacking: curso prático – Marcos Flávio Assunção; OWASP top ten

Sobre o(a) autor(a)

Samantha Morais Nunes
Samantha Morais Nunes

Formada em Ciência da Computação pela PUC Minas e pós-graduada em Segurança da Informação pela UNA. Iniciou a carreira na área de QA em 2011 como estagiária e hoje atua como analista de qualidade de software na Take. Participou com Letícia (QA), André (QA) e Rhamon (PO), do STWC 2014, conquistando o 4º lugar na etapa South America e o prêmio Most Useful Test Report. Fez parte da equipe de organização do Minas Testing Conference, um evento sobre qualidade de software que ocorre em Belo Horizonte e atualmente faz parte da equipe de organização dos meetups de Segurança da Informação 0x0d1a e Machine Learning BH.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode usar as seguintes tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

by Take ® 2015 | Todos os direitos reservados.linkedin