�Seu pentest não vale nada!

Allan Trindad - Parad0x

BOITATECH

# cat whoami.yaml

---

version: '3.0'

services:

boitatech:

nome: "Allan Trindad"

nickname:

- "parad0x"

cargo: "Offensive Security Engineer"

environment:

CERT_OSCP: "true"

CERT_DCTP: "true"

EXPERIENCE: "5 anos"

redes_sociais:

- "twitter: @parad0x_0xff"

- "git: parad0x-0xff"

​

hobbies: "Dançarino de Hip-Hop / Bboy"

Filosofia Pirata

III Semana Aratu

”Hackear não é algo sobre como quebrar sistemas, é algo sobre como quebrar mentes.” (John McAfee)

Tópicos

III Semana Aratu

• Pentest e suas vertentes
• Porque maturidade?
• Como o mercado faz hoje?
• Red Team Maturity Model
• Oportunidades de melhoria
• Conclusão

Pentest e suas vertentes

III Semana Aratu

Pentest

Visa identificar e explorar pontos vulneráveis em uma aplicação ou infraestrutura a partir de um escopo definido.

Red Team

Possui um escopo mais abrangente do que o pentest, podendo utilizar qualquer técnica necessária, para atingir o objetivo previamente estipulado simulando um adversário real.

Purple Team

União do time ofensivo junto ao time defensivo seja por uma pessoa, um time ou até mesmo uma dinâmica constante entre ambas as equipes.

​

Porque maturidade?

III Semana Aratu

OWASP SAMM

ENISA CSIRT Maturity Framework

The NIST cybersecurity framework

ISO/IEC 27001

GRC

SOC/CSIRT

CLOUD CSPM

AppSec

Porque maturidade?

III Semana Aratu

Segurança Ofensiva??

Como o mercado faz hoje?

III Semana Aratu

Experiências e referências:

• Consultorias

​

• Empresas de investimentos

​

• Fintechs

​

• Empresas de pagamento

​

• Empresas de tecnologia

O que realmente acontece:

• Uma pessoa de segurança ofensiva para fazer pentest na empresa inteira.

• Não existe um time específico de pentest ou red team.

• Só faz pentest, campanha de phishing e chama de red team.

• Famoso ajuda aqui, SSDLC, treinamento, pentest, pipeline, SAST, DAST…

Red Team Maturity Model

III Semana Aratu

Modelo de maturidade

​

Assim como a empresa possui seu nível de maturidade em segurança e isso é medido através de frameworks. A segurança ofensiva não é diferente.

• redteamcmm -> Primeiro commit em Janeiro de 2023.

​

• redteams.fyi -> Foi adicionado no Google em maio de 2020.

Oportunidades de melhoria

III Semana Aratu

Perguntas:

​

• Como está meu processo de red team atualmente?
• Identifique o que você e sua equipe fazem ou ainda não fazem?

​

• Quem/o que está atacando a sua organização?
• Identifique o seu ramo de atuação para entender melhor as ameaças.

​

• Quais são as jóias da coroa de sua organização?
• Quais são as regras de negócio que fazem sua empresa ser quem ela é.

​

• Quais ativos são importantes?
• Ativo comprometido que pode trazer um grande impacto para a empresa.

​

• Como entregar mais valor com meus testes?
• Ações simples que possam gerar valor para outras áreas.

Oportunidades de melhoria

III Semana Aratu

Relatório:

​

É a peça fundamental de um teste de intrusão, se o seu relatório não consegue transmitir o impacto que as falhas que você identificou podem gerar para o negócio. Então seu pentest não valeu de nada.

​

Oportunidades de melhoria

III Semana Aratu

Relatório:

​

• Melhorar o processo de escrita.

​

• Melhorar as informações contidas no relatório.

​

• Gerar métricas.

​

• Gerar valor para outras equipes

Conclusão

II Semana Aratu

Assim como todas as áreas da segurança da informação buscam por melhoria a equipe de segurança ofensiva não deve ser diferente, não nescessáriamente burocratizando o processo mas melhorando o que existe hoje e consiga identificar seu progresso quais pontos ainda precisam ser melhorados.

​

Referências

​

• https://github.com/BCHarrell/redteamcmm
• https://www.redteams.fyi/
• https://github.com/parad0x-0xff/Sunny-Report

​

Conclusão

II Semana Aratu

Dúvidas?

Obrigado por assistir :)