| Compartilhe o registro |
|
Exportar este item:
Use este identificador para citar ou linkar para este item:
https://tede2.pucrs.br/tede2/handle/tede/8816| Tipo do documento: | Tese |
| Título: | Tramonto : um framework para gerenciamento de pentests |
| Autor: | Bertoglio, Daniel Dalalana  |
| Primeiro orientador: | Zorzo, Avelino Francisco |
| Resumo: | Nos dias de hoje, cada vez mais as empresas possuem maior integração de siste- mas com a Internet e também aplicações que lidam com dados sensíveis. Assim, é neces- sário oferecer métodos que possam garantir a segurança dos dados e ativos, considerando o nível de exposição dessas informações. A partir disso, como forma de proteger e miti- gar o alto número de incidentes de segurança que vem surgindo no contexto empresarial, testes de segurança têm sido aplicados para avaliar a existência de vulnerabilidades nos cenários-alvo. Um dos testes conhecidos dessa categoria é o Teste de Intrusão (Pentest ), que aproxima a realidade de ataques por meio da simulação do comportamento de um ata- cante. Considerando as características específicas que diferem os pentests dos demais testes, estabeleceram-se metodologias na tentativa de padronizar os processos e apoiar o executor do teste (tester ) por meio de guias e diretrizes. Contudo, as metodologias mais dis- seminadas na comunidade de segurança destinam seus esforços para atender os critérios de outros tipos de testes de segurança, por vezes desconsiderando as particularidades de um pentest. Portanto, com base nessa problemática, este trabalho propõe a criação de um framework chamado Tramonto. Este framework, baseado nas principais metodologias de teste de segurança, objetiva auxiliar os testers na execução de pentests de modo a oferecer melhor organização, padronização e flexibilidade no workflow do teste. Foram conduzidos estudos com profissionais da área de pentest para validar as proposições sugeridas pelo Tramonto, apoiados da aplicação web Tramonto-App. Os resultados alcançados por meio desses estudos corroboram a importância e auxílio do framework nos testes realizados, e indicam os rumos e possibilidades de atuação do mesmo na área de pentest. |
| Abstract: | Nowadays, companies have more systems integration on the Internet and their ap- plications deal with sensitive data. Thus, providing methods to ensure the security of the data and assets, considering the level of information exposure, is a mandatory requirement. As a way to protect and mitigate the high number of security incidents that arise from the business context, security testing has been applied to assess the existence of vulnerabilities in the target scenarios. One of the known tests of this category is the Penetration Test (Pen- test), which approximates the reality of attacks by simulating the behavior of an attacker. Considering the specific characteristics that differ the penetration tests from the other tests, methodologies have been established in an attempt to standardize the processes and sup- port the test executor (tester) through standards and guidelines. However, the methodolo- gies that are most widespread in the security community seek to meet the criteria of other types of security testing, sometimes disregarding the particularities of a Pentest. There- fore, this work proposes the construction of a framework called Tramonto. This framework, based on the main methodologies applied to security testing, aims to help the testers in Pen- tests execution in order to provide better organization, standardization, and flexibility in the test workflow. Some studies were conducted with security test professionals to validate the propositions suggested by Tramonto, supported by the Tramonto-App web application. The results achieved through these studies confirm the importance of the framework supporting the testers, and also indicate the direction and other possibilities in the Pentest area. |
| Palavras-chave: | Testes de Segurança Pentest Framework Security Testing Penetration Test |
| Área(s) do CNPq: | CIENCIA DA COMPUTACAO::TEORIA DA COMPUTACAO |
| Idioma: | por |
| País: | Brasil |
| Instituição: | Pontifícia Universidade Católica do Rio Grande do Sul |
| Sigla da instituição: | PUCRS |
| Departamento: | Escola Politécnica |
| Programa: | Programa de Pós-Graduação em Ciência da Computação |
| Tipo de acesso: | Acesso Aberto |
| Restrição de acesso: | Trabalho não apresenta restrição para publicação |
| URI: | http://tede2.pucrs.br/tede2/handle/tede/8816 |
| Data de defesa: | 26-Jun-2019 |
| Aparece nas coleções: | Programa de Pós-Graduação em Ciência da Computação |
Arquivos associados a este item:
| Arquivo | Descrição | Tamanho | Formato | |
|---|---|---|---|---|
| DANIEL DALALANA BERTOGLIO_TES.pdf | DANIEL_DALALANA_BERTOGLIO_TES | 4,78 MB | Adobe PDF |  Baixar/Abrir Pré-Visualizar |
Os itens no repositório estão protegidos por copyright, com todos os direitos reservados, salvo quando é indicado o contrário.