Tramonto: Uma estratégia de recomendações para Testes de Penetração

  • Daniel Dalalana Bertoglio PUCRS
  • Avelino Francisco Zorzo PUCRS

Resumo


As pesquisas envolvendo técnicas para testes de segurança em organizações, redes e sistemas, têm apresentado grande variedade nas suas contribuições. A diversidade de cenários-alvo nos quais esses testes são executados pode envolver, por exemplo, Redes, Sistemas, Bancos de Dados, Aplicações Web, Internet das Coisas (IoT) ou Computação em Nuvem. A partir disso, a padronização destes testes, através de metodologias e frameworks, pode aumentar a eficácia e ajudar o tester na execução das atividades. Este trabalho apresenta a Tramonto, uma estratégia de recomendações para Testes de Penetração criada a partir das principais metodologias de teste de segurança existentes.

Referências

D. D. Bertoglio and A. F. Zorzo. Um mapeamento sistemático sobre testes de penetração. Technical Report TR 084, Faculdade de Informática, Programa de Pós-Graduação em Ciência da Computação, Pontifíca Universidade Católica do Rio Grande do Sul (PUCRS), Porto Alegre, Rio Grande do Sul, 2015.

T. Dimkov, A. van Cleeff, W. Pieters, and P. Hartel. Two methodologies for physical penetration testing using social engineering. In Proceedings of the 26th Annual Computer Security Applications Conference, ACSAC ’10, pages 399–408, New York, NY, USA, 2010. ACM.

O. I. S. S. Group. Information Systems Security Assessment Framework. Open Information Systems Security Group, 2006.

K. M. Henry. Penetration Testing: Protecting Networks and Systems. IT Governance Publishing, 2012.

P. Hertzog. OSSTMM Open Source Security Testing Methodology Manual. Institute for Security and Open Methodologies ( ISECOM), 2010.

F. Holik, J. Horalek, O. Marik, S. Neradova, and S. Zitta. Effective penetration testing with metasploit framework and methodologies. In Computational Intelligence and Informatics (CINTI), 2014 IEEE 15th International Symposium on, pages 237–242, Nov 2014.

D. Kennedy, J. O’Gorman, D. Kearns, and M. Aharoni. Metasploit: The Penetration Tester’s Guide. No Starch Press, San Francisco, CA, USA, 1st edition, 2011.

K. Lam, D. LeBlanc, and B. i. Smith. Assessing network security. Redmond, Wash. Microsoft Press, 2004.

B. Liu, L. Shi, Z. Cai, and M. Li. Software vulnerability discovery techniques: A survey. In Proceedings of the 2012 Fourth International Conference on Multimedia Information Networking and Security, MINES ’12, pages 152–156, Washington, DC, USA, 2012. IEEE Computer Society.

M. Meucci, E. Keary, and D. Cuthbert. OWASP Testing Guide v.3. OWASP Foundation, 2008.

C. Nickerson, D. Kennedy, E. Smith, A. Rabie, S. Friedli, J. Searle, B. Knight, C. Gates, and J. McCray. Penetration Testing Execution Standard. PTES, 2014.

M. Prandini and M. Ramilli. Towards a practical and effective security testing methodology. In Computers and Communications (ISCC), 2010 IEEE Symposium on, pages 320–325, June 2010.

K. Stouffer, J. Falco, and K. Scarfone. NIST SP 800-115: Technical Guide to Information Security Testing and Assessment. National Institute of Standards and Technology, 2008.

A. Whitaker and D. Newman. Penetration Testing and Cisco Network Defense. Cisco Press, 2005.

J. J. Zhao, S. Y. Zhao, and S. Y. Zhao. Opportunities and threats: A security assessment of state e-government websites. Government Information Quarterly, 27(1):49 – 56, 2010.
Publicado
07/11/2016
Como Citar

Selecione um Formato
BERTOGLIO, Daniel Dalalana; ZORZO, Avelino Francisco. Tramonto: Uma estratégia de recomendações para Testes de Penetração. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 16. , 2016, Niterói. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2016 . p. 366-379. DOI: https://doi.org/10.5753/sbseg.2016.19320.

Artigos mais lidos do(s) mesmo(s) autor(es)