Tramonto : um framework para gerenciamento de pentests

Export this record:

Please use this identifier to cite or link to this item: https://tede2.pucrs.br/tede2/handle/tede/8816

Full metadata record

DC Field	Value	Language
dc.creator	Bertoglio, Daniel Dalalana	-
dc.creator.Lattes	http://lattes.cnpq.br/4493244304420308	por
dc.contributor.advisor1	Zorzo, Avelino Francisco	-
dc.contributor.advisor1Lattes	http://lattes.cnpq.br/4315350764773182	por
dc.date.accessioned	2019-07-25T19:40:43Z	-
dc.date.issued	2019-06-26	-
dc.identifier.uri	http://tede2.pucrs.br/tede2/handle/tede/8816	-
dc.description.resumo	Nos dias de hoje, cada vez mais as empresas possuem maior integração de siste- mas com a Internet e também aplicações que lidam com dados sensíveis. Assim, é neces- sário oferecer métodos que possam garantir a segurança dos dados e ativos, considerando o nível de exposição dessas informações. A partir disso, como forma de proteger e miti- gar o alto número de incidentes de segurança que vem surgindo no contexto empresarial, testes de segurança têm sido aplicados para avaliar a existência de vulnerabilidades nos cenários-alvo. Um dos testes conhecidos dessa categoria é o Teste de Intrusão (Pentest ), que aproxima a realidade de ataques por meio da simulação do comportamento de um ata- cante. Considerando as características específicas que diferem os pentests dos demais testes, estabeleceram-se metodologias na tentativa de padronizar os processos e apoiar o executor do teste (tester ) por meio de guias e diretrizes. Contudo, as metodologias mais dis- seminadas na comunidade de segurança destinam seus esforços para atender os critérios de outros tipos de testes de segurança, por vezes desconsiderando as particularidades de um pentest. Portanto, com base nessa problemática, este trabalho propõe a criação de um framework chamado Tramonto. Este framework, baseado nas principais metodologias de teste de segurança, objetiva auxiliar os testers na execução de pentests de modo a oferecer melhor organização, padronização e flexibilidade no workflow do teste. Foram conduzidos estudos com profissionais da área de pentest para validar as proposições sugeridas pelo Tramonto, apoiados da aplicação web Tramonto-App. Os resultados alcançados por meio desses estudos corroboram a importância e auxílio do framework nos testes realizados, e indicam os rumos e possibilidades de atuação do mesmo na área de pentest.	por
dc.description.abstract	Nowadays, companies have more systems integration on the Internet and their ap- plications deal with sensitive data. Thus, providing methods to ensure the security of the data and assets, considering the level of information exposure, is a mandatory requirement. As a way to protect and mitigate the high number of security incidents that arise from the business context, security testing has been applied to assess the existence of vulnerabilities in the target scenarios. One of the known tests of this category is the Penetration Test (Pen- test), which approximates the reality of attacks by simulating the behavior of an attacker. Considering the specific characteristics that differ the penetration tests from the other tests, methodologies have been established in an attempt to standardize the processes and sup- port the test executor (tester) through standards and guidelines. However, the methodolo- gies that are most widespread in the security community seek to meet the criteria of other types of security testing, sometimes disregarding the particularities of a Pentest. There- fore, this work proposes the construction of a framework called Tramonto. This framework, based on the main methodologies applied to security testing, aims to help the testers in Pen- tests execution in order to provide better organization, standardization, and flexibility in the test workflow. Some studies were conducted with security test professionals to validate the propositions suggested by Tramonto, supported by the Tramonto-App web application. The results achieved through these studies confirm the importance of the framework supporting the testers, and also indicate the direction and other possibilities in the Pentest area.	eng
dc.description.provenance	Submitted by PPG Ciência da Computação ([email protected]) on 2019-07-18T18:57:05Z No. of bitstreams: 1 DANIEL DALALANA BERTOGLIO_TES.pdf: 4891379 bytes, checksum: 7f309f930dc96a51224285fbb30fc1ba (MD5)	eng
dc.description.provenance	Approved for entry into archive by Sarajane Pan ([email protected]) on 2019-07-25T19:36:17Z (GMT) No. of bitstreams: 1 DANIEL DALALANA BERTOGLIO_TES.pdf: 4891379 bytes, checksum: 7f309f930dc96a51224285fbb30fc1ba (MD5)	eng
dc.description.provenance	Made available in DSpace on 2019-07-25T19:40:43Z (GMT). No. of bitstreams: 1 DANIEL DALALANA BERTOGLIO_TES.pdf: 4891379 bytes, checksum: 7f309f930dc96a51224285fbb30fc1ba (MD5) Previous issue date: 2019-06-26	eng
dc.format	application/pdf	*
dc.thumbnail.url	http://tede2.pucrs.br:80/tede2/retrieve/176031/DANIEL%20DALALANA%20BERTOGLIO_TES.pdf.jpg	*
dc.language	por	por
dc.publisher	Pontifícia Universidade Católica do Rio Grande do Sul	por
dc.publisher.department	Escola Politécnica	por
dc.publisher.country	Brasil	por
dc.publisher.initials	PUCRS	por
dc.publisher.program	Programa de Pós-Graduação em Ciência da Computação	por
dc.rights	Acesso Aberto	por
dc.subject	Testes de Segurança	por
dc.subject	Pentest	eng
dc.subject	Framework	eng
dc.subject	Security Testing	eng
dc.subject	Penetration Test	eng
dc.subject.cnpq	CIENCIA DA COMPUTACAO::TEORIA DA COMPUTACAO	por
dc.title	Tramonto : um framework para gerenciamento de pentests	por
dc.type	Tese	por
dc.restricao.situacao	Trabalho não apresenta restrição para publicação	por
Appears in Collections:	Programa de Pós-Graduação em Ciência da Computação

Files in This Item:

File	Description	Size	Format
DANIEL DALALANA BERTOGLIO_TES.pdf	DANIEL_DALALANA_BERTOGLIO_TES	4.78 MB	Adobe PDF	Download/Open Preview ×

Show simple item record Recommend this item

PUCRS

Digital Library of Theses and Dissertations