1. TEDE PUCRS
  2. Teses e Dissertações dos Programas de Pós-Graduação da PUCRS
  3. Programa de Pós-Graduação em Ciência da Computação
Export this record: EndNote BibTex

Please use this identifier to cite or link to this item: https://tede2.pucrs.br/tede2/handle/tede/8816
Document type: Tese
Title: Tramonto : um framework para gerenciamento de pentests
Author: Bertoglio, Daniel Dalalana 
Advisor: Zorzo, Avelino Francisco
Abstract (native): Nos dias de hoje, cada vez mais as empresas possuem maior integração de siste- mas com a Internet e também aplicações que lidam com dados sensíveis. Assim, é neces- sário oferecer métodos que possam garantir a segurança dos dados e ativos, considerando o nível de exposição dessas informações. A partir disso, como forma de proteger e miti- gar o alto número de incidentes de segurança que vem surgindo no contexto empresarial, testes de segurança têm sido aplicados para avaliar a existência de vulnerabilidades nos cenários-alvo. Um dos testes conhecidos dessa categoria é o Teste de Intrusão (Pentest ), que aproxima a realidade de ataques por meio da simulação do comportamento de um ata- cante. Considerando as características específicas que diferem os pentests dos demais testes, estabeleceram-se metodologias na tentativa de padronizar os processos e apoiar o executor do teste (tester ) por meio de guias e diretrizes. Contudo, as metodologias mais dis- seminadas na comunidade de segurança destinam seus esforços para atender os critérios de outros tipos de testes de segurança, por vezes desconsiderando as particularidades de um pentest. Portanto, com base nessa problemática, este trabalho propõe a criação de um framework chamado Tramonto. Este framework, baseado nas principais metodologias de teste de segurança, objetiva auxiliar os testers na execução de pentests de modo a oferecer melhor organização, padronização e flexibilidade no workflow do teste. Foram conduzidos estudos com profissionais da área de pentest para validar as proposições sugeridas pelo Tramonto, apoiados da aplicação web Tramonto-App. Os resultados alcançados por meio desses estudos corroboram a importância e auxílio do framework nos testes realizados, e indicam os rumos e possibilidades de atuação do mesmo na área de pentest.
Abstract (english): Nowadays, companies have more systems integration on the Internet and their ap- plications deal with sensitive data. Thus, providing methods to ensure the security of the data and assets, considering the level of information exposure, is a mandatory requirement. As a way to protect and mitigate the high number of security incidents that arise from the business context, security testing has been applied to assess the existence of vulnerabilities in the target scenarios. One of the known tests of this category is the Penetration Test (Pen- test), which approximates the reality of attacks by simulating the behavior of an attacker. Considering the specific characteristics that differ the penetration tests from the other tests, methodologies have been established in an attempt to standardize the processes and sup- port the test executor (tester) through standards and guidelines. However, the methodolo- gies that are most widespread in the security community seek to meet the criteria of other types of security testing, sometimes disregarding the particularities of a Pentest. There- fore, this work proposes the construction of a framework called Tramonto. This framework, based on the main methodologies applied to security testing, aims to help the testers in Pen- tests execution in order to provide better organization, standardization, and flexibility in the test workflow. Some studies were conducted with security test professionals to validate the propositions suggested by Tramonto, supported by the Tramonto-App web application. The results achieved through these studies confirm the importance of the framework supporting the testers, and also indicate the direction and other possibilities in the Pentest area.
Keywords: Testes de Segurança
Pentest
Framework
Security Testing
Penetration Test
CNPQ Knowledge Areas: CIENCIA DA COMPUTACAO::TEORIA DA COMPUTACAO
Language: por
Country: Brasil
Publisher: Pontifícia Universidade Católica do Rio Grande do Sul
Institution Acronym: PUCRS
Department: Escola Politécnica
Program: Programa de Pós-Graduação em Ciência da Computação
Access type: Acesso Aberto
Fulltext access restriction: Trabalho não apresenta restrição para publicação
URI: http://tede2.pucrs.br/tede2/handle/tede/8816
Issue Date: 26-Jun-2019
Appears in Collections:Programa de Pós-Graduação em Ciência da Computação

Files in This Item:
File Description SizeFormat 
DANIEL DALALANA BERTOGLIO_TES.pdfDANIEL_DALALANA_BERTOGLIO_TES4.78 MBAdobe PDFThumbnail

Download/Open Preview
Show full item record Recommend this item


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.