Ir para conteúdo

Vernieri

Membros
  • Total de itens

    6
  • Registro em

  • Última visita

Reputação

1 Neutral

Sobre Vernieri

Últimos Visitantes

53 visualizações
  1. Como ser um bom profissional em segurança da informação?

    Esse Post virou meu Mantra KKKKKk
  2. Primeira Certificação

    Uma dúvida: Pós-Graduação em Segurança da Informação vale à pena tambêm? Ou eh melhor focar nas certificações mesmo? Digo isso pois penso em fazer uma Pós mas não sei se Em Segurança da Informação valeria à pena já que tem tantos certificados por ai e etc.
  3. Primeira Certificação

    Então como primeira certificação vc recomenda as da Offensive Security?
  4. Primeira Certificação

    O que vocês acham da CISSP ? Como primeira certificação vale?
  5. Caminho para os iniciantes em Engenharia Reversa

    Muito bom, ajudou muito.
  6. Introdução ao Pentest

    Introdução ao Pentest - Conceitos básicos Pentest vem do inglês, Penetration testing (Teste de Intrusão). O Pentest é um conjunto de técnicas e ferramentas utilizadas para identificar falhas de segurança em sistemas e redes corporativas. Através dessas técnicas o profissional, conhecido como Pentester irá identificar as vulnerabilidades existentes na arquitetura da empresa, explorá-las e entregar um relatório à empresa, que deverá entar tomar as devidas ações para corrigir essas falhas de segurança. Resumindo, um Pentester seria um Hacker ético, do bem, que presta seus serviços para uma ou mais empresas. Este profissional é o responsável por fazer todos os passos de um Pentest e então entregar um relatório à empresa. É importante frisar que o pentester tem autorização para testar na empresa diversas técnicas de intrusão (Que farei outros tópicos à respeito no futuro). Ele deve possuir essa autorização pois os serviços prestados pela empresa podems e tornar indisponíveis por um período de tempo. O Pentester é um Profissional que possui um elevado conhecimento em sistemas operacionais(Windows, Unix-Like...) e redes de computadores (TCP/IP...) e baseado nisso se utiliza de técnicas,ferramentas e softwares para realizar as suas análises. Existem algumas certificações que todo Pentester deveria almejar, mas a principal, sem dúvidas é a CEH(Certificado Internacional de Hacker Ético). Basicamente esses tipos e sub-classificações diferem nos seguintes termos: - Quantidade de informação que a equipe de PenTesters possui antes de iniciar o teste. - Origem do teste, interna ou externa, simulando um ataque fora da rede ou interno. - Conhecimento ou não da realização dos testes pelos funcionários internos da empresa. Citando apenas as classicações mais macro temos os seguintes tipos: Black-Box Nesse tipo de análise, considera-se o sistema como uma caixa preta. Ou seja, os Pen testers não possuem qualquer tipo de informações sobre a infraestrutura de sistemas e de rede da empresa que será auditada. Nesse caso haverá um maior tempo gasta na análise inicial, inclusive uma pesquisa sobre as características da empresa, existência de filiais, os principais diretos, os serviços prestados, qual a arquitetura de rede e os softwares utilizados e etc. Obs: Esse é o teste normalmente aplicado para se simular um ataque Hacker, externo à empresa. White-Box Já nesse caso é comum que profissional já possua certas informações da empresa como por exemplo: Mapeamento de rede, o range dos ips, firewalls, etc. Nesse caso visa verificar a segurança da empresa de dentro para fora. Um Pentest possui Cinco etapas principais. São elas: Reconhecimento -> Nessa fase o Pentester visa obter o maior número de informações possível da empresa. É a fase do levantamento de informações: Pra que serve a empresa? Onde esta localizada? Sites, etc... Varredura -> Nessa fase o profissional foca em obter outras informações, através de ferramentas como NMAP, WHOis, o profissional fará uma varredura no sistema para obter por exemplo: Email dos funcionários, saber que serviços e em quais portas estão rodando, etc. Em resumo é nessa etapa que o profissional descobre as possíveis vulnerabilidades da empresa. Obtenção de Acesso -> Após saber sobre a empresa e obter suas vulnerabilidades ele irá testar uma por uma e saber o grau de alerta da vulnerabilidade. Dentro dessa fase há tambêm a da exploração, é nessa fase que são realizados os ataques, os famosos exploits. Obtenção de Evidências -> Na ultima fase o profissional limpa seus rastros e entrega toda a documentação do Pentest para a empresa. Atualmente existem sistemas operacionais focados em Pentest que já vem prontas para auxiliar o profissional de Pentest. São alguns deles: Kali , BackBox , ParrotSec Para mais informações leia -> Pentest Fontes: WhatisPentest, ProfissaoHacker, CoreSecurity
×