Chefe,o  pentest acabou!

Leonardo  C.  Militelli – CEO  e  FundadoriBLISS Segurança&  Inteligência

...  E  agora?!

ibliss.com.br

Os  desafios  do  Pentest:da  contratação ao ROI

Leonardo  C.  Militelli – CEO  e  FundadoriBLISS Segurança&  Inteligência

Ciclo de vida do PenTest

1)Contratação2)Resultados3)Compartilhamento  com  áreas envolvidas4)Acompanhamento da  correção5)Justificativa do  investimento

Profundidade

Metodologia  TDI§ Levantamento  de  informações§ Análise de  vulnerabilidades§ Exploração§ Elevação de  privilégios§ Obtenção de  dados  e  manter acesso§ Relatório

Abordagem

Visão do  atacante

Visão do  admin  de  rede

Duração fase  de  coleta de  informações

Maior

Menor

Duração fase  de  exploração

Superfíciede  ataque

Maior

Menor

Contexto

Entregáveis e resultados

Entregas e resultados

§ Relatório técnico§ Relatório executivo§ Plano  de  ação§ Reteste§ Suporte à correção§ Plataforma de  gestão

Custo do pentest

PentestEscopo  x Profundidade  x Abordagem  x

Entregáveis

Pentest-­NGEscopo  x Profundidade  x Abordagem  x

Contexto x Entregáveis

Gestão de vulnerabilidades

Gestão contínua

ROI

• Alta  criticidade• 5  vulnerabilidades  críticas• Indisponibilidade   custa  R$50.000/hora

Processo A

• Alta  criticidade• 10  vulnerabilidades  críticas• Indisponibilidade   custa  R$30.000/hora

Processo  B

• Baixa  criticidade• 2  vulnerabilidades  críticas• Indisponibilidade não causa perdas

Processo  C

Gestão de risco contextual

Heatmap

Pesquisa

Frequência de testes

Gestão de Vulnerabilidade

Correção

BONUS:  Quadrante  mágicoGartner

Fato

O  quadrante  mágico possui 4  quadrados!!!

Quadrante mágico GartnerApplication Security

Quadrante WAF 14-15

A iBLISS

§ Especializada  em  soluções  para  segurança  e  risco  tecnológico

§ P&D  de  soluções

§ Experiência  comprovada

§ +10  clientes  das  “100  mais”  da  Exame

§ +50k  ativos/mês  gerenciados

§ +10  anos  em  projetos  de  SI