Auditorias do tipo Teste de Invasão (pentests, do inglês Penetration Tests) têm sido cada vez mais demandadas por empresas que buscam atender a normas internacionais e proteger sua infraestrutura e aplicações web. No artigo Case de Sucesso Clavis e Artigo sobre a Importância das Auditorias Teste de Invasão é apresentado um caso de sucesso na utilização desse tipo de auditoria, explicando o seu funcionamento, suas vantagens e características. Já o artigo Auditoria Teste de Invasão(Pentest) – Planejamento, Preparação e Execução descreve as etapas de um pentest e as diversas metodologias para este tipo de auditoria.
O Webinar #5, “Auditorias Teste de Invasão para Proteção de Redes Corporativas”, da Academia Clavis Segurança da Informação, apresenta o funcionamento prático de um teste de invasão, expondo algumas ferramentas utilizadas:
Uma importante etapa do pentest é a obtenção de informações: nela efetua-se o mapeamento da rede ser analisada. Há um artigo da Clavis sobre mapeamento utilizando a ferramenta de código aberto Nmap. O Webinar #14 – “Teste de Invasão com o Nmap Scripting Engine” também apresenta detalhes sobre o uso do Nmap e seu Scripting Engine (NSE). O NSE é um engine do Nmap que possui como funcionalidades: detecção de vulnerabilidades, varredura de aplicações web, execução ataques de força bruta, busca proxies abertos, entre outras. Assista-o a seguir:
Muitos administradores de redes sem fio utilizam o protocolo WEP acreditando que o uso de criptografia garante algum nível de segurança. A sexta palestra da Clavis ( Webinar #6 – Teste de Invasão a Redes Sem Fio – Protocolo WEP ) apresenta as vulnerabilidades deste protocolo e as opções seguras a serem escolhidas.
Bons estudos! =)
E que tal aproveitar para conhecer a Formação de 100 horas – Auditor em Teste de Invasão (pentest) da Academia Clavis Segurança da Informação? 😉