top of page

Atualizado: 24 de out. de 2022



Bom, antes de mais nada vamos aos conceitos e terminologias....


O que é um Teste de Invasão?

Segundo MITNICK and SIMON (2005) pentest consiste em testar a inviolabilidade de seu site e de sua rede de computadores, observando se os atacantes contratados são capazes de descobrir uma maneira de acessar dados confidenciais, entrar em áreas de acesso restrito ou encontrar falhas na segurança que poderiam colocar a empresa em risco.

Um Penetration Test exige um planejamento cauteloso do escopo que irá testar, assim como a duração do processo e os itens contidos no relatório final. No início do planejamento, o pentester irá colher as informações necessárias para a execução do teste, entre estas informações, podemos citar o escopo do projeto, seu objetivo, duração, tarefas a serem realizadas, custo do serviço, forma de pagamento e as metas que devem ser alcançadas, diferente da análise de vulnerabilidade, o pentest vai além de apenas encontrar as falhas, as mesmas são exploradas com a intenção de estimar o impacto de um ataque bem-sucedido afim de demonstrar a efetividade da metodologia e prova de conceito aplicada.


Vamos agora a algumas ferramentas que na minha opinião são essenciais durante um teste de invasão...


Nmap

NMAP é uma daquelas ferramentas indispensáveis para qualquer pentester, robusta, completa e pode ser integrada com diversos scripts, além de gratuita ela tem a finalidade de examinar seus sistemas ou redes em busca de diferentes portas, IPs e serviços, essa ferramenta também é útil se você deseja realizar outras atividades, como monitorar o tempo de atividade do host ou do serviço e mapeamento de trabalho de superfícies de ataque de rede.


Essa ferramenta geralmente é executada em todos os principais sistemas operacionais e é adequada para varredura de redes grandes e pequenas.


Com esta ferramenta, você também pode entender os diferentes recursos de qualquer rede de destino, incluindo os hosts acessíveis na rede, o tipo de sistemas operacionais funcionando e o tipo de filtros de contêiner ou firewalls na área.


Portanto, o NMAP em si é legal de usar (além da infinidade de coisas que dá pra fazer!) e não apenas por ser uma ferramenta útil.



Metasploit

Metasploit; é uma coleção muito famosa entre todas as várias ferramentas de teste de penetração.


De acordo com os especialistas e pesquisadores em segurança cibernética, esta ferramenta é muito benéfica, pois existe há anos e nunca cai em desuso, é altamente atualizada na versão free (reza a lenda que é a versão paga é um monstro! kkkk porém é que nem caviar...)


Além disso, você pode usar a ferramenta Metasploit em diferentes servidores, assim como aplicativos baseados em online, redes e vários outros locais.


Suponha que, se um novo ponto fraco de segurança ou abuso chegar, o utilitário irá reconhecê-lo. Bem, se você precisa estimar a segurança de sua base sobre fraquezas antigas, então, Metasploit será a escolha certa para você porque é a estrutura mais avançada e bem-sucedida entre todas as ferramentas de penetração, em resumo, podemos dizer que é um produto comercial.



Nessus

A Nessus é um dos scanners de vulnerabilidade mais comumente e amplamente utilizados no mundo, portanto, conseguiu obter o primeiro lugar no ranking mundial em diversos anos consecutivos.

Essa ferramenta simplesmente previne ataques de rede identificando as fraquezas e erros de configuração que podem ser usados para ataques, praticamente mandatória (para ter um bom resultado comparado com ferramentas free) em alguns setores da indústria que precisam fazer a gestão de vulnerabilidades para certificações ex: ISO e PCI.


Além de todas essas coisas, essa ferramenta bem conhecida, é claro, a Nessus tem sido usada por mais de 1 milhão de usuários em todo o mundo, o que simplesmente a torna a líder em avaliação de vulnerabilidades, configuração de segurança e conformidade com padrões de segurança.



Burp

Burp Suite é uma potente ferramenta gráfica que oferece diversos utilitários e extensões de ataque, praticamente um canivete suíço! muitos especialistas juram que o pentest sem essa ferramenta é inacreditável! hehe Essa ferramenta tem sua versão gratuita (mas limitada), diferente da versão PRO, que habilita alguns recursos bem bacanas, tornando esta ferramenta um grande salto para a comunidade de pentesters. Além disso, você também pode usar essa ferramenta em todas as principais plataformas, como ambientes Windows, Apple Mac OS X e Linux para executar esses tipos de tarefas.





Hashcat

Logico que não poderia faltar uma ferramenta de bruteforce ne? heheh Hashcat é uma ferramenta de recuperação de senha multiplataforma que pode quebrar mais de 90 algoritmos, incluindo MD4, MD5, UNIX Crypt, NTLM, MySQL, SHA1, DCC, MySQL, Cisco PIX e muitos outros.

A ferramenta de cracking de senhas licenciada pelo MIT é o primeiro e único cracker de senhas do mundo, com um mecanismo de regras no kernel.

Hashcat está disponível como uma ferramenta de recuperação baseada em CPU e aoclHashcat/cudaHashcat, uma ferramenta acelerada por GPU.




Fonte:


Atualizado: 12 de set. de 2022

Não otimizar seus custos de nuvem é um tiro no pé! além de despesas caras, acaba com a vantagem competitiva que você pode ganhar com a nuvem..


As consequências dos investimentos em nuvem mal planejados podem resultar em grandes gastos ou gastos desnecessários para o negócio.


Como um negócio em crescimento, você tem que entender e aplicar uma gestão sensata de custos em nuvem se quiser maximizar o uso enquanto permanece dentro do orçamento, palavra de ordem é controle do orçamento!




Quais as vantagens do controlar os custos em nuvem?


Valores/custos reduzidos

O benefício mais óbvio do controle de custos em nuvem são os custos reduzidos. Como empresa, você deseja adotar uma abordagem proativa para planejar seus custos em nuvem para garantir que você não vai gastar demais ou com recursos não usados. Isso abre a porta para aproveitar descontos baseados em volume ou pagamentos avançados.


Uso eficiente

Ao procurar controlar seus custos em nuvem, você deve olhar para os gastos para reduzir o desperdício e aproveitar ao máximo os recursos que você paga. Táticas como dimensionamento automático e balanceamento de carga são boas escolhas.... garantindo o uso eficiente dos recursos.


Previsibilidade

O controle de custos em nuvem traz outro benefício fundamental: a previsibilidade. Mantendo seus custos sob controle, você pode aumentar a utilização de recursos, mas também obter muitos dados valiosos do monitoramento de padrões de uso ao longo do tempo. Por que isso é importante? Porque permite que você preveja os custos futuros da nuvem de forma mais eficiente.


Visibilidade

É praticamente impossível praticar um controle razoável de custos em nuvem sem ter visibilidade detalhada do uso e arquitetura em nuvem da sua empresa. Essa visibilidade é uma vantagem para o seu negócio em áreas fora dos custos, como governança e segurança.

Então, como suas equipes podem começar a controlar os custos da nuvem?


Estratégias de controle de custos em nuvem


Rightsizing

Redimensionar... é a maneira mais eficaz de controlar os custos da nuvem. Envolve analisar continuamente o desempenho da instância e as necessidades e padrões dos usuários. Outra parte fundamental desta técnica é desligar quaisquer instâncias ociosas que possam ser superprovisionadas ou mal combinadas com a carga de trabalho em questão. No geral, a resizing é sobre encontrar a configuração de nuvem ideal para maximizar seu desempenho com o menor custo possível.

Considere estabelecer um cronograma de rightsizing para cada equipe, impor práticas de marcação para todos os recursos em nuvem e aproveitar ao máximo as ferramentas de gerenciamento de custos em nuvem.


Estratégias Organizacionais

Embora as estratégias de TI ajudem na redução de custos, você precisa apoiá-las com uma estratégia organizacional. Isso pode incluir a criação de orçamentos e a definição de políticas em torno do uso da nuvem.


Estratégias de Automação

Considere aproveitar a automação em nuvem que pode configurar e gerenciar seus serviços de computação em nuvem sempre que possível. Além disso, você pode automatizar tarefas como backup e armazenamento, implantação de código, configurações, segurança e conformidade e configuração.

Isso reduzirá a quantidade de intervenção humana necessária ao redor da nuvem, economizando custos com a equipe de TI.




Atualizado: 16 de jan. de 2022


Este compilado de dicas e truques é bem interessante, ideal para estudantes e profissionais que atuam na parte de defesa cibernética de uma empresa e equipes de testes de invasão, um compilado digamos que...direto ao ponto! com os comandos e scripts para serem utilizados, particularmente acho bem bacana esses compilados, pois não conseguimos lembrar de tudo, principalmente comandos que não estamos mais usando na rotina, acabamos esquecendo muitas vezes...em seguida estou preparando um post apontando as diferenças das equipes, um breve artigo que pode ajudar a galera ter mais informações...










bottom of page