Autor(a)Samantha Morais Nunes

Teste de invasão: Análise de vulnerabilidades – Parte 2

No post anterior, iniciamos a discussão sobre a etapa de Análise de vulnerabilidades, na qual utilizamos ferramentas e análises manuais para realizar um levantamento das vulnerabilidades existentes, levando em consideração tanto a pesquisa de informações disponíveis de forma pública quanto o que seria crítico a nível de segurança da informação do negócio da organização.

Neste post, vamos falar sobre as ferramentas de scan, que realizam uma verificação e comparação com uma base de dados de vulnerabilidades para identificar as falhas.

Leia mais

Teste de invasão: Análise de vulnerabilidades – Parte 1

Prosseguindo com a nossa série de posts sobre Teste de invasão!

Nos posts anteriores, discutimos sobre as fases de:

Neste post, vamos começar a entender sobre alguns métodos para realizar a etapa de análise de vulnerabilidades, na qual vamos não somente identificar as vulnerabilidades, mas também realizar uma análise sobre os problemas que a exploração daquela falha poderá causar, levando em consideração o tipo do negócio da organização. Leia mais

Teste de invasão: Modelagem de ameaças

Nos posts anteriores, conversamos sobre a duas primeiras fases do teste de invasão. Na primeira fase (Preparação_, o objetivo é compreender sobre a área de atuação da organização que está solicitando o teste e sobre o objetivo que se quer alcançar com a sua realização, buscando o alinhamento — visto que esse tipo de teste pode gerar impactos inesperados.

A segunda fase é a de Coleta de informações, na qual o objetivo é buscar informações públicas sobre a empresa que possam ajudar nos testes, e essas informações serão utilizadas para a próxima fase que vamos falar neste post: Modelagem de Ameaças.

Leia mais

Teste de invasão: Coleta de Informação – Parte 2

No post anterior, Teste de invasão: Coleta de Informação – Parte 1, iniciamos a discussão sobre a fase de Coleta de informação, que tem como objetivo conhecer o cliente. No post de hoje, vamos dar continuidade ao assunto dando foco na utilização do Google Hacking, técnica que utiliza recursos de busca para encontrar informações disponíveis sobre empresas. Isso pode acontecer, por exemplo, quando um servidor é mal configurado, o que permite a exposição de dados, de arquivos dentro de sites, páginas que deveriam ser secretas, lista de e-mails, lista de senhas, entre outros, com a utilização de comandos.

Leia mais

Teste de invasão: Coleta de Informação – Parte 1

Neste post, iremos conhecer um pouco sobre a segunda fase do teste de invasão que é chamada de Coleta de informações, que tem como objetivo conhecer o cliente.

Essa fase pode ser realizada de diversas formas, como pesquisa em fontes abertas, pesquisa nas redes sociais da empresa e até nos requisitos para uma vaga de emprego, locais que podem ter informações importantes sobre a infraestrutura, sistemas operacionais utilizados, entre outras.

Leia mais

Teste de invasão: Preparação

O teste de invasão, como discutimos no post Teste de invasão – Introdução, é realizado para identificar vulnerabilidades através de diversas técnicas e explorá-las com o objetivo de ganhar acessos não autorizados simulando o que atacantes fariam. Porém, esse tipo de teste pode impactar negativamente, causando, indisponibilidades e, dependendo do negócio, até prejuízos. Por isso, é importante que todo teste de invasão seja autorizado e acompanhado. 

Neste post, vamos falar exatamente sobre a fase de Preparação, que trata desse alinhamento entre o solicitante do teste e quem efetivamente vai realizá-lo. Confira!

Leia mais

Teste de invasão: Introdução

Não é segredo que sistemas podem apresentar falhas. Os recursos podem estar mal configurados, com usuários com permissões desnecessárias, falta de atualização de softwares e redes desprotegidas (falta de criptografia, por exemplo), permitindo que atacantes capturem dados sigilosos. Além de tudo isso, há o fator humano, que pode ser explorado através de engenharia social.

Esses são alguns exemplos de por que é tão importante utilizar o Pentest ou Teste de Invasão.

Leia mais

A engenharia social pode ser potencializada através de chatbots?

A utilização de aprendizagem de máquina pode potencializar e sofisticar ataques de engenharia social, sendo esta uma das tendências presentes no relatório de previsões sobre ameaças em 2017 pela McAfee Labs (2016). Surge, então, a preocupação com os chatbots que estão sendo muito utilizados.

Segundo a Gartner, em 2020, as pessoas irão conversar mais com os bots do que com seus cônjuges, o que demonstra o aumento na confiança em assistentes virtuais. Entretanto, ao ser posicionado como uma interface de interação com seus consumidores, o chatbot pode representar uma ameaça tanto para as organizações quanto para os usuários.

Leia mais

by Take ® 2015 | Todos os direitos reservados.linkedin