Unknown

Bom dia pessoal sejam bem-vindos aí a nossa nona edição da semana de capacitação lembrando né que agora a aula a gente vai falar sobre gestão de vulnerabilidades técnicas com ferramentas abertas open source Então pessoal a gente já vai chegar lá no nosso vídeo da nossa aula gravada do Mateus mas antes eu gostaria de dar alguns avisos primeiro deles é agradecimento aos patrocinadores que é Algar brphonia Telecom intercol zab made for it Soluções em ti ican e apoio de mídia da revista rti lembrar que a gente tem um certificado por dia para cada uma das aulas

Então quem quiser o certificado da aula de hoje precisa se inscrever no link de hoje que tá sendo colocado aí no chat e ficar atento tá no e-mail porque vai um link de confirmação no e-mail clicando nesse link de confirmação até as du horas da tarde você vai receber o certificado e se você tiver algum probleminha com o certificado como aconteceu aí algumas pessoas estão escrevendo aí no chat nos outros dias manda o e-mail para eventos @nico vai orientar você e aí a gente vê o que Como pode solucionar esse problema do certificado tá então

Fiquem tranquilos qualquer coisa entre em contato com eventos @nico sorteio do dia de hoje tá o sorteio do kit Nick que ele é composto do por uma camisa polo da semana de capacitação do nickbr uma lapiseira da semana de capacitação do nickbr um kit de adesivos individuais do nickbr um livro vida de programador volume zero da nova Tec editora e um livro vida de programador Volume 1 da nova Tec Editora tá então quem tiver inscrito para ganhar o certificado vai est participando desse sorteio tá então é o mesmo link não precisa aí se preocupar Então

quem quiser participar do sorteio se escreve também e lembrar depois que você consegui o certificado posta ele nas redes sociais marca a gente e aí a gente vai dar ali um up na sua publicação manda ali uma mensagem assim dá um like na sua mensagem tá bom bom não queria aí me alongar demais pra gente poder chamar o palestrante de hoje que tem uma aula muito interessante gostaria de chamar o videozinho do cidadão na rede que é o nosso projeto de cidadania digital que as empresas podem aderir entrando no site fazendo um cadastro e baixando

os vídeos com o logo da sua empresa para poder disponibilizar aí para os seus funcionários e para os seus clientes A ideia é que aqui a gente consiga disseminar o conhecimento sobre cidadania digital para todo mundo e a gente gostaria do apoio das empresas Então pode tocar o vídeo [Música] pessoal muito bom dia bom dia a todos e a todas que estão aí nos acompanhando eh eu gostaria de explicar para quem tá chegando aqui pela primeira vez para quem não acompanhou eh outros dias da semana de capacitação como é a dinâmica Nossa hoje a gente

pediu pro Mateus que é o nosso palestrante de hoje uma aula então O Mateus já fez isso Mateus já pré gravou a aula de hoje a gente tá com o vídeo aqui Prontinho né com o tempo correto tudo certinho e daqui a pouco a gente vai dar play nesse vídeo mas o Mateus também tá online aqui com a gente ao vivo e ele vai est acompanhando daqui a pouco ele vem falar um oi aqui ao vivo para para todo mundo e ele vai est acompanhando o chat do YouTube certo no final da aula que tá

pré-gravada o Mateus volta para tirar dúvidas para interagir com vocês para reforçar algum ponto que talvez não tenha ficado Claro mas durante a aula vocês podem ir interagindo via chat do YouTube e o Mateus pode responder lá o que ele achar ali que é pertinente o que ele achar que tem que deixar pro final ele pode deixar pro final vocês podem ir conversando com ele durante a aula Ok e eu gostaria de saber de vocês aí como que como que tá a transmissão Olha tem tem gente reclamando que tá dando problema para baixar o tutorial

a gente tem tem dois links lá no site para baixar tô vendo aqui no chat né tem dois links para baixar o tutorial se tiver dando problema a gente viu realmente um um servidor nosso não tá dando conta o oncloud não deu conta de aguentar o volume aí de pessoas o arquivo é bem grande mas tem um segundo link lá eh para vocês poderem baixar e a gente já tá resolvendo isso então vai tá tranquilo mas quem não baixou o laboratório até agora quem já não tá com tudo instalado a nossa orientação a nossa sugestão

para vocês é que assistam o tutorial e depois eh vocês baixam eh ou seja não não não é é grande vai demorar um pouquinho para você baixar instalar deixar tudo certinho para acompanhar o tutorial então assiste o vídeo agora assiste a aula assiste o tutorial sem fazer junto depois você baixa com calma e daí refaz né assiste de novo a gravação no YouTube lembra que fica eh fica gravado o mesmo link que você tá usando para assistir agora o tutorial eh fica gravado eh temos duas opções pessoal ainda tá falando tá off não não tá

não tá funcionando o link sim tem duas opções para para fazer o download do link tem uma opção lá que é o on cloud.in pp.br e tem uma outra opção que é o filesender.rnp.br a segunda opção do filesender tá funcionando direitinho então vocês podem baixar mas de um jeito ou de outro a gente vai eh a gente vai disponibilizar vai acertar essa versão essa opção que não está funcionando talvez disponibilizar um outro link no site Não se preocupem que daqui a pouquinho isso vai tá resolvido Tá bom mas eh não esquentem a a cabeça agora

com esse negócio de baixar o laboratório e tentar fazer junto Porque vai demorar um pouquinho o laborató o arquivo é super grande para baixar tal Nossa sugestão assistam a aula e depois vocês fazem o laboratório Bom eh hoje a gente tá hoje a gente tem a palestra aí a aula de vulnerabilidades com ferramentas abertas a gente vai ver o openvas vai ver outra as ferramentas amanhã a gente volta com outro minicurso que é o minicurso de sd1 e na sexta-feira computação quântica Então vocês vem cada dia é um assunto diferente cada dia é um curso

diferente você não precisa acompanhar todos os cursos se você perdeu ontem não tem nenhum problema assistir hoje se você perdeu hoje não tem nenhum problema assistir amanhã são cursos independentes e todos os vídeos ficam no canal do YouTube ficam gravados no canal do YouTube Outro ponto que eu quero que vocês lembrem aí é que a gente tá fazendo essa transmissão via YouTube e via Facebook se vocês tiverem qualquer problema aí o vídeo tiver engasgando parar tiver qualquer problema na transmissão tentem acessar via Facebook a gente tá concentrando a interação aqui no chat do YouTube é

mais fácil lidar tal mas a gente já está transmitindo ao vivo também via Facebook fica como uma alternativa fica como uma espécie de um backup pra gente a gente já teve problemas em lives anteriores em semanas Caps int redes que a gente fez aí anteriormente com a transmissão do YouTube né o problema no YouTube é super raro mas vez por outra acontece tá então daí o Facebook fica como backup é só entrar lá no Facebook procurar lá por nickbr você vai achar a página do nibr já vai aparecer ali que tá ao vivo e tá

tudo certo bom as apresentações os materiais estão disponíveis para download lá no site da semana cap O pessoal vai colocar o endereço do chat aí eh O Rafael tá perguntando se consegue assistir as lives dos dias anteriores no chat Rafael sim né o você consegue assistir as as lives dos Dias anteriores não só desta semana como das outras semanas anteriores que a gente já fez essa é a nona né Tem oito semanas anteriores Cada uma com cinco cursos né mais de 40 cursos Contando os dessa semana aqui disponíveis online e muitos deles eh estão completamente

atualizados Mesmo tendo sido alguns anos atrás são assuntos que não se não vamos dizer assim não requerem uma atualização tão constante são assuntos que ainda são são aulas que ainda estão up to date ainda são válidas hoje Então vale a pena você procurar as playlists da semana Cap das semanas Cap anteriores no nickbr vídeos do YouTube tem muitos muitos cursos super interessantes lá bom Vamos lá eh o J tá perguntando as aulas anteriores teria direito de certificado não as o certificado é só para quem tá assistindo ao vivo interagindo aqui as aulas anteriores eh não

TM direito a certificado pessoal tá falando ainda do oncloud que tá dando internal server erro o ksg hsg a gente sabe a gente já viu Tem uma segunda opção para você fazer download a gente tá resolvendo esse problema aí do oncloud Tá bom a gente já tá cente disso daí pessoal tá falando que a transmissão tá boa Tá excelente gente digam aí da onde vocês são e se é a primeira vez que vocês estão aqui se vocês Já assistiram outras palestras tem 750 pessoas aqui esperando a a palestra começar e eu só tô vendo 93

likes aqui no meu YouTube então eu gostaria de pedir para vocês deixarem seu like deixem desde já de o voto de confiança de que a aula vai ser boa O Mateus é um cara aqui super preparado trabalha com isso no dia a dia lá na RNP gravou uma super aula para vocês deem um voto de confiança deixem seu like porque isso ajuda a plataforma ajuda o YouTube A distribuir o conteúdo para mais gente mais gente vai saber que esse conteúdo existe que tem acesso então pra gente é super importante o like de vocês tá compartil

eh compartilhem esse link compartilhem esse vídeo com o pessoal eh com os outros profissionais com quem vocês têm contato pessoal P do trabalho etc pode até mandar pro grupo da família lá vai lá que tem aquela tia avó meio quietinha em casa sem fazer nada super querendo estudar tecnologia Tô brincando com vocês mas Manda aí pro pessoal pros contatos profissionais tudo bem se não for para assistir agora para assistir depois o link não muda o link é o mesmo certo pessoal aqui ó Então vamos ver aqui que o pessoal tá falando no chat Florianópolis Alvorada

Brasília Rio de Janeiro eh São Paulo eh Cariacica tem gente aí do Brasil inteiro Santo Antônio da Patrulha Moçambique tem gente de fora do Brasil Olha só Moçambique na África eh muito muito legal muito legal muito obrigado pela presença de vocês e eu gostaria de chamar agora o Mateus para ele dar um bom dia aqui se apresentar falar um pouco sobre como vai ser a aula dar um oi para vocês mostrar que tá ao vivo e daí a gente já vai começar de fato o curso vamos lá pessoal da técnica se puder colocar o Mateus

na tela para Mateus poder dar um bom dia para todo mundo bom dia Mateus Muito obrigado aqui um obrigado público para você por você ter eh dedicado esse tempo para est aqui hoje presencialmente para ter gravado pré-gravado a aula pra gente preparado esse minicurso compartilhado esse conhecimento tá o pessoal que que vem aqui fazer esses cursos gente eles vêm como voluntários Mateus Não tá recebendo nada ninguém nenhum dos professores aqui da semana recebeu nada eles estão vindo aqui como voluntários doando realmente o tempo o conhecimento colaborando para que a internet no Brasil seja melhor para

que a tecnologia da informação no Brasil avance aí compartilhando conhecimento então um agradecimento muito grande aí e a palavra é sua beleza Bom dia muito obrigado Moreiras agradeço a aí pelo convite é um grande prazer estar aqui eh fazendo esse esse treinamento eh falando um pouco sobre mim meu nome é Mateus eu trabalho na RNP eh trabalho especificamente no cais que é a equipe de segurança da RNP então eh a gente preparou aqui um material que condiz bastante com o que a gente tá acostumado a fazer lá na RNP e a ideia da aula é

basicamente a seguinte eu vou trazer para vocês um pouco de alguns conceitos teóricos né que são muito importantes e fundamentais sobre a gestão de vulnerabilidades E aí depois na sequência eu mostro para vocês como que a gente pode utilizar as ferramentas eh abertas openv o defect Dojo para poder eh fazer aí um um processo de gestão de vulnerabilidades de forma muito eficiente e que auxilia muito na nas nossas empresas auxilia muito a gente lá na RNP então é basicamente é isso o curso aborda o curso e as ferramentas abordam eh gestão de vulnerabilidade em ativos

de rede também ou só ativos de Ti em geral maus então o o foco do do das nossas ferramentas principais que nós trouxemos eh são ativos em geral né É claro que eu deixei anotado para no final na nossa conversa final eh algumas ferramentas que a gente pode utilizar para complementar essa essa esse processo tá porque O O openvas ele consegue fazer eh avaliações em ativos de rede também mas a gente consegue utilizar outras ferramentas que faz por exemplo a leitura de configurações de ativos de rede tá então eh eu vou trazer para vocês no

final na naquela nossa conversa que a gente tem preparada lá eh como que a gente pode utilizar isso mas a ideia é utilizar o openvas para fazer os Scans e ele de certa forma ele consegue interagir e fazer ali uma verificação em ativos de rede também mas o o lado mais forte do openvas São servidores são desktops tá legal e o e o defect Dojo a gente utiliza ele para fazer ali o eh a eh ajuntar todas as vulnerabilidades todas as estatísticas pra gente conseguir fazer a gestão de uma forma eh melhor controlada vamos dizer

assim tá E ali mostro para vocês o defect Dojo ele consegue ali receber importes de diversas ferramentas então a gente consegue por exemplo importar eh de ferramentas com com foco maior em rede outras com foco maior em Cloud por exemplo com foco maior em servidores enfim a aula vai vir aí vocês vão ver então vamos lá o pessoal acho que já tá ansioso aqui já deve estar me xingando por tomar tanto tempo vamos dar play na aula e o Mateus vai ficar aqui respondendo as dúvidas no chat do YouTube ao vivo né e depois volta

no final gente pode dar para ir na aula aí Opa bom dia Tudo beleza por aí meu nome é Mateus Camargo e estou aqui na semana de capacitação do nickbr estamos em meados de outubro aí de 2024 e hoje eu vou ser o instrutor de vocês nesse treinamento nesse mini treinamento sobre gestão de vulnerabilidades técnicas com ferramentas abertas tá nós preparamos um conteúdo teórico e prático para bater um pouco sobre esse tema no entanto antes de dar e início no conteúdo de fato eu vou apresentar para vocês o ambiente que nós preparamos eu montei uma

AVM em ubun pra instalação das Ferramentas Então vou demonstrar aqui para vocês como que vocês podem fazer login como que vocês podem acessar as ferramentas que estão instaladas e tudo mais então bora lá primeiramente eu apliquei ali a criptografia no disco então a senha para acessar o sistema é Ubunto tá a a senha para liberar o disco é Ubunto na sequência as credenciais para poderar acessar o sistema operacional é usuário Ubunto e sem Ubunto também tá beleza Ubunto Ubunto estamos com as ferramentas já instaladas o openvas e o defect doj no entanto eu também transferi

alguns arquivos eh bem interessantes e úteis que vocês vão utilizar durante o decorrer do treinamento Então deixei eles salvos aqui em documentos tá o esses scripts eu deixei alguns scripts que nós utilizaremos Principalmente quando estiver falando sobre defect doj e api do defect dojô e também deixi aqui na pasta home esse arquivo senha DD que nada mais é do que a senha do defect doj tá e tem essa pasta aqui chamada arquivos e esses são os dois arquivos e principais que estarei apresentando para vocês um deles é o que eu estou chamando de material didático

que é esse PDF que contém aqui basicamente o conteúdo que eu estarei apresentando tá E também tem os slides aqui tá então apresentados as documentações vou mostrar para vocês como que vocês fazem para logar e no openv no defect doj para logar no openv ele roda na porta por padrão 93 92 então a gente chama o endereço da loopback aqui e somos direcionados pra tela de login Então você coloca as credenciais admin bunto certo esse é o ambiente do openvas e para fazer o login no defect ele também é acessível via endereço da loopback Porém

na porta 8080 então está está rodando ele já está o usuário já está logado então basicamente vocês não vão precisar fazer o autenticação com a senha no entanto se tiver algum problema a senha está dentro daquele arquivo que eu citei anteriormente certo então apresentadas as ferramentas e o ambiente que será utilizado no treinamento Bora dar início ao conteúdo Então vou te apresentar ali um pouco um pouco de teoria e também um pouco de prática sobre a gestão de vulnerabilidades técnicas então Eh nós né que somos os profissionais de cybersegurança nós temos o pleno conhecimento de

que atacantes estão nesse exato momento nesse exato momento buscando maneiras de explorar e ganhar acesso aos nossos sistemas e infraestrutura tá uma das formas nas quais eh os atacantes eles conseguem invadir os nossos ambientes é justamente através da exploração de vulnerabilidades que existem então Eh as vulnerabilidades Existem várias formas na qual os atacantes conseguem comprometer e adentrar a ambiente mas através de exploração de vulnerabilidades eh eles também conseguem fazer isso tá então eh diariamente novas falhas surgem nos sistemas e nós que somos os profissionais ali que atuamos protegendo que estamos nas na linha de defesa

nós precisamos sempre estar ciente e do que está acontecendo em nossos ambientes então nós nós precisamos eh atuar coletando informações sobre o nosso ambiente para que nós possamos de fato conhecer ali as falhas que existem antes que os atacantes descubram tá então a gente precisa de alguma forma encontrar descobrir quais são as f e corrigir essas falhas antes que os atacantes as descubram e as explorem tá então essa atividade é uma atividade que requer muita atenção da nossa parte é uma atividade que requer recursos também mas eh eh é um algo que requer que tenhamos

ali eh atenção para com isso que nós dispensem os os esforços necessários e que atuem de forma contínua nessa nesse processo de gestão de V idades certo então Eh falando um pouco aí sobre teoria existem diversas definições eh pra gestão de vulnerabilidades tá eh se você sair e pesquisar eh por na internet você vai encontrar diversas definições de diversos institutos pro nosso treinamento de hoje eu trouxe aqui justamente uma citação do guia de vulnerabilidades técnicas da RNP tá que diz eh a seguinte definição é um conjunto de atividades eh coordenadas que tem por objetivo a

redução a níveis aceitáveis das vulnerabilidades de segurança encontradas durante o processo de análise de segurança ou análise de vulnerabilidades em um determinado ativo conjunto de ativos ou ambiente certo então algo interessante para nós percebermos aqui é que nessa definição da RNP e é é definida ali é tratado né como ações que são feitas de forma coordenadas são atividades coordenadas então é importante a gente entender que não existe eh quando a gente tá falando de de segurança da informação quando a gente tá falando de proteção de dados proteção de informações eh não existe Bala de Prata

tá então as ferramentas elas precisam estar alinhadas com um processo que está bem estruturado e precisa também tudo isso está alinhado com pessoas que são capacitadas para executar o processo para executar as ferramentas eh então Eh entendendo isso entendendo que tudo precisa ser feito de forma coordenada eu trouxe também aqui nós trouxemos aqui uma definição que é existente ali dentro do dentro do da comentação do Center for Internet Security o cis e nos controles do Cis há uma salvaguarda que diz de forma traduzida estabelecer e manter um processo documentado de gestão de vulnerabilidades reavaliar e

atualizar essa documentação anualmente ou quando houverem mudanças significativas na empresa que impactem esta salvaguarda certo então e o processo ele precisa a ser executado de forma periódica mas também é necessário que seja reavaliado para melhorias eh de forma eh emergencial vamos dizer assim por exemplo se a a a empresa tiver uma mudança grande nem em sua infraestrutura o processo ele naturalmente vai precisar ser reavaliado também um exemplo muito bom que a gente pode citar é é uma empresa que começa a incluir ali alguns ativos dentro da dentro de uma nuvem tá dentro dentro de de

uma nuvem que seja dentro de uma aws dentro de uma nuvem gcp por exemplo a partir do momento que a empresa ela passa a incluir esses ativos numa infra de nuvem é necessário que o que o processo de gestão de vulnerabilidades ele seja avaliado para incluir eh o os meios eh técnicos ali de fazer essa nos essa nova análise da infra que agora faz parte também da nuvem tá então é um algo que precisa ser feito de forma periódica né as revisões precisam ser feitas de de forma periódica mas nós não podemos nos prender à

periodicidade Porque se houver uma mudança grande significativa no ambiente precisa ser eh reavaliado também o processo da mesma forma bom se nós avaliarmos ã estes estas definições nós vamos perceber que nós percebemos que eh São citados ativos né Eh tanto na na documentação do sis eh como na na documentação do guia da gestão de vulnerabilidades técnicas da RNP eh São citados o o termo ativos né então eu trouxe aqui uma definição do nist sobre ativos tá então basicamente eh todas as vezes que a gente fala sobre esse processo de gestão de vulnerabilidades a gente vai

falar sobre ativo por isso é importante trazer aqui e uma definição e a definição do nist é a seguinte Dados pessoas dispositivos sistemas e instalações que habilitam a organização a alcançar os objetivos do negócio então a gente entende que um ativo ele pode ali eh a definição de ativo pode ir muito além do que apenas um computador ou uma rede por isso é muito importante é fundamental a gente entender que o processo de gestão de vulnerabilidades precisa ir além de apenas contoles eh físicos controles lógicos controle sobre ativos tangíveis tá eh o processo ele precisa

ir além disso todavia entretanto pro nosso treinamento de hoje a gente preparou algo mais voltado pros ativos que são ali equipamentos físicos que são ali tangíveis tá então pensando nisso A gente buscou algumas definições sobre ativos que eh fossem voltados para para o fim desse nosso treinamento tá então o cis ele define alguns ativos que são mais comuns nas empresas de hoje tá então na nessa listagem aqui que foi retirada de uma documentação do Cis a gente tem ali ativos que vão desde desktops laptops eh icss até mesmo eh telas inteligentes tá então é claro

que a depender do nicho da sua empresa nicho da sua instituição e você pode se deparar no dia a dia com alguns ativos nessa lista mais do que você se depara com outros talvez alguns ativos dessa lista nem sequer existam dentro do parque tecnológico da sua empresa no entanto né pro nosso treinamento de hoje a gente vai focar em alguns ativos em específic que são aqueles ativos na qual o openvas ele tem mais facilidade de fazer a gestão de fazer o escaneamento né de fazer perdão de fazer o escaneamento das vulnerabilidades tá porque e eu

eu gostaria de deixar muito claro que existem diversos tipos de ativos e que para cada tipo de ativo você precisa implementar ali você precisa utilizar uma ferramenta mais adequada para esse tipo de ativo pro nosso caso de hoje estarei demonstrando como fazer isso com openvas Mas se você tiver falando por exemplo de um ativo na nuvem talvez você possa utilizar uma outra ferramenta como prowler por exemplo se você tiver falando sobre ativos de rede talvez seja interessante você utilizar uma ferramenta como net audit por exemplo então a gente precisa entender que o processo né de

gestão de vulnerabilidades ele pode englobar diversos tipos de ativos tá E que para cada um desses ativos você tem ferramentas que melhor eh se adequam na identificação das vulnerabilidades certo então prosseguindo né quando a gente fala sobre gestão de vulnerabilidades a gente tem também um escopo né e geralmente o escopo geralmente o escopo da gestão de vulnerabilidade são todos os ativos da instituição porque a gente não pode deixar eh nenhum tipo de ativo passar despercebido da nossa da nossa n nós precisamos ali ter a ciência de tudo que tá rodando então geralmente o escopo é

tudo que tem na sua instituição mas o o algo interessante aqui é que voltando naquela naquela definição do n sobre sobre ativos tem alguns ativos que você tem meios tecnológicos fazer ali o escaneamento para fazer a identificação da vulnerabilidade Porém tem outros tipos de ativos que esse meio tecnológico ele é mais dificultado dependendo do tipo de ativo que você tem na sua infra eh você talvez precise montar e e criar algo específico paraa sua infra para anisar para analisar um tipo de ativo que você tem tá então a gente precisa entender isso que o escopo

são todas eh são todos os os os ativos que temos na nossa infra Porém para alguns desses ativos eh o tipo de análise o tipo de Scan tipo de eh busca por informações que deverá ser feito é diferente certo então falando aqui agora um pouco sobre o o ciclo de vida eh do do do da gestão de vulnerabilidades basicamente esse ciclo ele tem quatro fases tá e as essas quatro fases estão bem descritas aqui neste Ness nesse slide que são aferir priorizar remediar e monitorar tá então conforme tá bem desenhado aqui nessa imagem e de

acordo com o que a gente já viu anteriormente né que já foi falado aqui o o processo né a gestão de vulnerabilidades é um algo que deve estar sempre acontecendo e não não é um algo que é feito uma vez e morreu não não pode ser dessa forma é um algo que está sempre em movimento está sempre se se revendo se reavaliando tendo novas execuções então por isso essas setas né a gente percebe que isso daqui é um loop e esse loop não tem fim enquanto a sua instituição existir enquanto a sua a sua empresa

estiver ativa esse processo ele vai est ali rodando e executando esse esse Loop Infinito certo falando um pouco especificamente sobre a fase de eh avaliação ou o que eu chamei aqui de aferir nessa fase em específico são realizadas ações para verificar a existência de vulnerabilidades nos ativos tá então idealmente devem ser combinadas ações de escaneamento automatizado testes manuais tá então é aqui nessa fase que são ali encontradas de fato as vulnerabilidades que estão Eh que que existem dentro dos ativos da sua instituição tá então por padrão eh as vulnerabilidades elas são classificadas por severidade então

um score eh é um um modelo de de de de classificação ali que é bastante utilizado é utilizando o score do cvss tá então eh esse score ele é baseado numa eh eh classificação numérica tá e a depender de de quão classificado for eh De zero a 10 a vulnerabilidade a gente vai ter ali um um padrão de severidade eh crítico alto Médio baixo informativa tá tá então geralmente quando encontramos as vulnerabilidades nos ativos quando encontramos as vulnerabilidades dos nossos ambientes essas vulnerabilidades Elas serão classificadas com uma dessas severidades certo e ao término dessa fase

ao término da fase aferir é esperado tá que tenhamos ali uma listagem das vulnerabilidades existentes existentes nos nossos ambientes tá então eh embora eh inicialmente muitas vezes eh as severidades elas precisem ser eh tratadas no futuro inicialmente nessa fase de aferição nós já temos ali uma lista inicial para que nós possamos seguir paraa próxima fase que é justamente a fase de priorização tá então pração eh uma reclassificação das vulnerabilidades tá então a gente vem ali da fase de aferição na qual foram identificadas Quais são as falhas existentes dos nossos ativos no nosso ambiente e na

fase de priorização é feito ali um serviço de eh reclassificação das vulnerabilidades tá e após ter ali tudo eh reclassificado a gente faz uma priorização naquilo que vai ser eh tratado primeiro tá então naturalmente sempre devem ser tratadas as vulnerabilidades de maior severidade né de maior criticidade no entanto tem cenários há cenários específicos no qual uma vulnerabilidade pode ser pode ter a sua severidade alterada né então isso vai depender muito né devido a fatores específicos do ambiente eh devido ali a uma característica única do seu ambiente uma vulnerabilidade que é considerada eh alta ela é

alterada paraa média por exemplo ou o contrário pode acontecer também uma uma vulnerabilidade que ela é considerada média no seu ambiente ela está mais exposta do que normalmente está e por isso ela é considerada Alta ou crítica então é por isso que eh é importante haver eh esse esse trabalho cuidadoso Por parte dos analistas para identificarem Quais as vulnerabilidades existem né Eh de fato é feito também um trabalho de eliminação de falso positivos enfim mas não somente isso é é importante o trabalho do analista para identificar qual vulnerabilidade foi ali reportada com uma severidade que

não reflete o que de fato acontece no ambiente dele tá Então essa é o Esse é o o ponto principal dessa fase de priorização e né ao término dessa dessas atividades dessa fase é esperado também que haja uma listagem organizada eh e com apontamentos de priorização eh nas aplicações de mitigação para que na próxima fase que é a fase de remediação a fase remediar eh possam ser tratadas as coisas eh mais importantes primeiro tá então falando sobre a fase de remediar É nessa fase eh correções ou mitigações são aplicadas tá então o cenário ideal que

que é o cenário ideal é a remoção por completo de uma vulnerabilidade então apareceu uma vulnerabilidade ali é aplicado uma correção e a vulnerabilidade não mais existe no ambiente porém no entanto existem cenários Nos quais isso não é possível tá não é possível você remover por completo você corrigir a vulnerabilidade então nesses casos são aplicadas ali né mitigações então mitigações podem ser aplicadas eh como por exemplo impedir o acesso a tal componente vulnerável tá então a gente precisa entender e fica claro para nós que eh existem cenários na qual você aplica ali uma correção e

a vulnerabilidade não existe mais mas existe cenários na qual não é possível aplicar uma correção não existe uma correção e Você precisará aplicar al algumas ações de mitigação para que ainda que a vulnerabilidade exista ainda no ambiente ela por exemplo não seja acessível tá então ao término da fase de remediação é explicado é esperado que as falhas identificadas sejam tratadas e falando aí da próxima fase dentro daquele nosso eh desenho do ciclo de vida de gestão de vulnerabilidades essa é a última entre aspas né porque é um processo que acontece continuamente em loop mas na

fase de monitorar eh as correções e mitigações que foram aplicadas elas são verificadas tá E essa verificação ali ela tem ali o objetivo de identificar se de fato foram aplicadas corretamente mas não somente isso a gente tá falando aqui de verificar a eficácia das das tratativas que foram aplicadas mas também eh essa verificação adicional que é feita na fase de monitoria ela serve para identificar eventuais problemas que tenham eh Aparecido no ambiente em consequência das alterações aplicadas tá então muitas vezes eh após aplicar uma correção após após aplicar ali uma uma mitigação ou uma correção

eh aparecem outros problemas tá e é por isso que é muito importante essa fase dentro do processo Porque quando você eh identifica que após aplicar uma correção algo não ficou no ambiente como esperado você precisa trabalhar em cima para fazer com que o ambiente volte à normalidade né então quando são identificados problemas na fase de monitoria é necessário que seja verificado a raiz do problema tá você precisa entender de fato o que aconteceu por quê Porque se a raiz do problema for um erro humano na aplicação da correção então é mais né o procedimento ali

deverá ser reaplicado refeito cuidadosamente para fazer com que de fato eh a mitigação a correção eh seja aplicada seja eh efetuada né e que não hajam consequências na no ambiente Agora se a raiz do problema for estrutural se eh o o analista tiver feito ali o técnico tiver feito eh a mitigação a correção conforme esperado E isso gerou outros problemas então a gente define que e isso é um problema estrutural Ou seja a natureza da correção precisa precisará ser alterada falando sobre eh esse problema estrutural é justamente um cenário na qual existe ali um software

que tá em execução esse software ele é importante para pra instituição pra organização porém ele tá numa numa versão vulnerável então a a correção para esse caso é atualizar a versão do software certo mas no entanto para esse cenário de exemplo a gente entende que foi aplicado a correção né foi atualizado a versão do software porém a nova versão e a última versão que é disponibilizada ela também contém uma vulnerabilidade Então nesse caso a gente pode dizer que foi tudo feito certo porém a vulnerabilidade continuou e sendo assim será necessário que sejam aplicadas ali mitigações

adicionais não não foi suficiente aplicar correção porque essa correção ela gerou outras vulnerabilidades e essas outras vulnerabilidades que surgiram elas não têm correção Então nesse cenário a gente vai precisar fazer ali uma mitigação adicional e garantir que esse componente vulnerável ele não será acessível que esse componente vulnerável ele vai tá ali eh fora do alcance de potenciais atores maliciosos então falando um pouco sobre os benefícios da da do processo de gestão de vulnerabilidades os benefícios são variados tá dependendo de quão maduro por exemplo dependendo de quão maduro estiver os processos internos da ti por exemplo

o processo de gestão de vulnerabilidades ele pode trazer ali um um aumento na maturidade da organização e da gestão tá porque por exemplo o processo de gestão de vulnerabilidades ele pode ser feito em conjunto com o processo de inventariado por exemplo em alguns cenários o próprio processo de gestão de vulnerabilidades que vai ali depender de ter uma lista de todos os ativos ele já pode ser utilizado como processo de inventariado então todas as vezes que chegou um ativo novo n no seu Parque Tecnológico você adiciona esse ativo eh dentro do processo de gestão de vulnerabilidades

que ao mesmo tempo é o seu controle de inventário por exemplo Então ele pode trazer esse tipo de benefícios né mas obviamente né e a gente eu coloquei aqui nesse slide alguns itens né que podem ser considerados como benefícios mas no no no geral e o que o o o processo mais ele Visa mais ele objetiva obviamente é deixar o ambiente mais seguro então após você aplicar um processo de gestão de vulnerabilidades no seu ambiente naturalmente que você vai perceber ali um aumento na sua postura de segurança e você vai perceber ali ótimos resultados No

que diz respeito à proteção dos ativos eu trouxe aqui um desenho de um processo né E esse desenho aqui ele é especificamente pro cenário do nosso treinamento na qual é utilizando o openvas tá então eh esse processo aqui ele funciona muito bem pro openvas e pro processo de análise automatizada tá mas se você parar para analisar você pode fazer eh uso desse desse macroprocesso em outros processos que você vem a implementar com outras ferramentas em outros cenários específicos da sua instituição tá então para esse nosso caso em específico tem algumas fases aqui né você tem

a fase de avaliar solicitação a fase de definição de escopo a fase de preparação do ambiente a fase de execução de varredura fase a fase de eh elaborar relatórios a fase de tratar as vulnerabilidades então para cada uma dessas fases nós teremos algumas atividades específicas por exemplo no nosso caso em específico com openvas a gente entende que a fase de avaliar solicitação é uma fase na qual ela vai servir para entender eh se nós estamos falando de uma análise que tá sendo feita pela primeira vez ou se é uma análise recorrente uma análise que tá

ali e agendada eh por exemplo no openvas e tá sendo executada de tempos em tempos tá E aí a gente tem aqui essa fase inicial porque ela é uma fase condicional né se a análise ela já estiver cadastrada na ferramenta por exemplo aí você entende que o o fluxo ele vai ocorrer de forma mais facilitada e automatizada na qual virá a execução da varredura agora se por outro lado for a primeira vez que tá sendo feito esse tipo de análise a primeira vez que tá sendo feita essa execução esse Scan Então a gente vai pegar

o escopo né que que será analisado que provavelmente será um ativo com um IP ou um pequeno bloco de IPs a gente vai pegar esse escopo e vai preparar o ambiente do openvas que é isso que a gente vai fazer daqui a pouco a gente prepara o ambiente do openvas configura ele para poder fazer a execução tá E aí depois que a gente faz essa preparação inicial do Up envas a gente executa a varredura né então a gente faz ali o scand de fato a gente pega o relatório o openvas ele gera o relatório para

nós a gente de eh debulha em cima desse relatório a gente analisa o relatório vê os resultados elimina ali os falsos positivos para depois eh levar adiante a parte das correções tá E lembrando que dentro do ciclo de vida da gestão de vulnerabilidades Esse é um processo que ele vai acontecendo em Loops então quando a gente chega aqui nesse ponto vermelho aqui no final é o final dessa execução em específico mas né ele vai retornar para cá dentro da periodicidade que foi estabelecida e esse ciclo ele vai esse processo ele vai acontecer novamente para que

o nosso ciclo ele não morra para que o nosso processo de gestão de habilidades ele continue ativo e sendo eficiente dentro da nossa infra certo então agora a gente vai passar paraas ferramentas de fato já dei uma breve pincelada sobre a ferramenta do openvas agora a gente vai passar paraas ferramentas de fato que vamos utilizar hoje que demonstrarei que são a ferramenta do openvas e do defect Dojo tá então essas duas ferramentas são ferramentas que são abertas são ferramentas Open Source e e já tem aí um bom reconhecimento dentro da da comunidade tá então iniciando

falando sobre o openvas então ele é um Scan de vulnerabilidades né Ele é aberto ele é open source como acabei de citar eh ele é derivado do greenbone eh do software da Green bone tá porém o software da Green bone ele é pago o openvas por outro lado ele é free né Ele é de graça eh e também ele é conhecido como Green bone community Edition tá então você pode ver alguém falando greenbone community Edition openvas trata-se do mesmo software tá então o o lado mais forte vamos dizer assim o o o o o poder

maior que o openvas tem é em fazer execuções em servidores e desktops tá é aí onde reside a maior e potência do openvas vamos assim dizer ele possui também uma interface web que facilita muito a interação e a realização das atividades e você consegue fazer as coisas pela linha de comando mas geralmente quando a gente tá falando de openvas é tudo feito pela parte web dele mesmo tá E também o openvas ele permite ali a geração de relatórios relatórios em alguns formatos esses formatos são consumidos por outras ferramentas e e isso é deixa muito mais

robusto a ferramenta do openvas né porque você consegue integrar ela com outras ferramentas tá então atualmente a a versão e em uso né a última versão disponibilizada é essa versão 22.4 que é a versão que está instalada na VM que foi de disponibilizada para vocês tá então o processo de instalação do openvas e você pode fazer Eli de algumas formas tá então você pode fazer ali o Build do sece direto e essa talvez seja uma das que dê mais trabalho eh Porém para esse treinamento assim eu optei por fazer esse tipo de instalação eh porque

eh esse esse método de instalação ele permite que você tenha uma visão e bastante Ampla de como funciona o openvas porque você vai instalando componente por componente você vai vendo ali para que cada componente serve né Qual a funcionalidade de cada um então se você nunca instalou o openvas é uma boa forma de você obter um conhecimento amplo sobre a ferramenta tá então se você quiser mais informações você pode acessar esse link que está apresentado aí o link da do do site da greenbone mesmo tá eu fiz a instalação no no bunto 24.04 porém eu

eu fiz somente para testar porque e a a versão recomendada para o bunto segundo os desenvolvedores é a 22.04 tá então eh existem por exemplo para pra debon pra fedor pra centos as versões específicas na qual os desenvolvedores prepararam a instalação do openvas mas e eu fiz na Ubunto 24.4 e funcionou muito bem eu só Precisei fazer algumas Breves alterações por exemplo eu precisei instalar e algumas versões diferentes de de de software por exemplo post GR instal linha 16 enquanto que na documentação do openvas na documentação do site eles indicavam Como a versão 14 para

ser instalada e eu também precisei instalar uma e um pacote adicional que na documentação ele não na documentação do da versão 22 do do buntu ele não pede que foi o libc Jon precisei instalar ele à parte tá E teve alguns comandos também que eu precisei instalar ali com executar conso alguns comandos Python Mas no geral a instalação aconteceu e de forma ok foi possível instalar e por enquanto aqui dos meus testes que estou e realizando tá tudo rodando muito bem tá então basicamente é assim que foi feito a instalação do openvas e foi um

pouco demorado tá eu acho que se eu não me engano demorei umas 4 horas para poder fazer essa instalação e porque são vários Passos né para fazer dessa forma que eu fiz que foi com o build direto do sce e porém também ele demora principalmente na na parte que ele tá fazendo o a atualização dos feed tá ele tem uma fase nas fases finais da instalação quando já tá tudo instalando você precisa fazer ali a atualização dos feeds né que é dos feeds que vem o maior eh poder do openvas que onde ele consegue enxergar

as vulnerabilidades para ele dar Mat os testes de vulnerabilidades é tudo através desses feeds né esses feeds que inclusive são atualizados eh eh bem eh frequentemente vamos dizer assim então essa foi uma das partes que mais Demorou deve ter ficado talvez uns 30 minutos por aí só atualizando o feed porém no geral e foi bem tranquilo fazer a instalação do openvas e né falando sobre instalação tranquila aí o defect doj é mais tranquilo ainda foi muito mais tranquilo acho que enquanto no open Vas eu levei umas 4 horas para fazer a instalação o defect doj

foi 30 minutos e talvez eu esteja exagerando talvez foi menos que 30 minutos tá mas falando um pouco do defect ele é uma plataforma para gestão de vulnerabilidades tá então enquanto que o openvas ali é aquela ferramenta que faz os Scans né que eh interage diretamente com as aplicações com os dispositivos eh escaneando e fazendo as perguntas né para entender o que que tá rodando qual versão que tá rodando enquanto o openvas é o que faz o Scan de vulnerabilidades o defect Dojo por outro lado ele é uma plataforma para gestão de vulnerabilidades então eles

essas duas ferramentas elas trabalham muito bem em conjunto principalmente porque você consegue pegar ali o relatório que o openv Gera imputar ele dentro do defect Dojo e ter ali uma visualização muito mais Atrativa das estatísticas de vulnerabilidades tá então o defect ele também é código aberto tá isso eh facilita muito a nossa vida principalmente quando a gente tá falando de uma instituição que não tem um processo de gestão de vulnerabilidades funcionando ainda e ela não quer gastar dinheiro com Nenhuma ferramenta porque ela não sabe nem como que o processo roda então você pode instalar essas

ferramentas que são open source para poder entender como que o processo funciona para entender como que as coisas vão eh se desenrolando né com o passar do com o desenrolar do processo dentro da sua instituição e depois o você pode investir em uma ferramenta que você já paga depois de você já ter alguma maturidade em processo em pessoas tá então é por isso que a gente gosta de enfatizar bastante o uso de ferramentas open source e código aberto para esse tipo de atividade tá então o defect doj ele é muito forte principalmente quando a gente

tá falando de Dev secops então ele tem algumas automações que são bem interessantes quando a gente tá falando de esteiras de segurança é de segurança ali em codificação ele e tem ali algumas capacidades bem interessantes no que diz respeito a isso porém pro foco do nosso treinamento a gente vai utilizar mais a parte dele que é a interação a integração que nós podemos fazer com ele em openvas que é justamente ele aceita o relatório que o openvas Gera e ele classifica muito bem ali as vulnerabilidades de acordo com o que sai do csv do openvas

então a gente consegue utilizar ele muito bem dessa forma também tá falando aqui sobre a instalação dele como eu já tinha citado foi muito fácil para instalar para você instalar e na versão que é free né a versão que a gente consegue usar porque ele tem a versão paga também assim como o openvas ele também tem a versão dele que é paga mas para você instalar a versão free é só através de contêiner docker Então você precisa ter o docker pré-instalado na sua máquina e aí depois e que eu instalei o o docker no no

nosso bunto da e de do teste do treinamento aqui foi só rodar lá o o clone no eh no repositório e baixar lá o docker o contêiner e hum Pronto ele ele eles disponibilizam alguns scripts que fazem com que a instalação seja mais facilitada ainda ele tem dentro ele tem um script ali para fazer o Build do no docker compose ele tem ali o script para poder subir os contêiners então a instalação do defect doj é realmente muito facilitada tá então beleza agora a gente vai pra nossa parte mais e prática do Desse nosso treinamento

e vamos começar com a utilização do openvas tá então eh basicamente né o que a gente vai fazer agora será a configuração inicial do do do do nosso openvas né eu já instalei ele quando eu instalei eu coloquei uma senha ali bem simples o usuário é admin e a senha é o bunto tá nossa primeira atividade que é a configuração das credenciais eh basicamente eh quando a gente tá falando de de de teses que são as tarefas do openvas Existem várias vários outros pontos que precisam ser preenchidos antes preenchidos na verdade criados antes para que

quando você for preencher ali os campos na criação das tarefas você consiga então abrindo aqui o nosso o nosso openvas Lembrando que a senha da máquina é o o bunto tá sem para acesso à máquina então quando a gente e deixa eu mostrar aqui agora quando a gente fala de criação de uma nova tasque né que é uma nova tarefa tem diversos Campos que você precisa preencher aqui o da credencial é é um deles não diretamente por a credencial você configura ela dentro do alvo que é o target né então e quando você quiser fazer

um teste que é autenticado que é um teste na qual o openvas ele loga dentro da do sistema para poder fazer testes internos de segurança você precisa de ter credenciais e configuradas tá e a configuração ali das credenciais é bem simples Tá eu vou deixar aqui aberto o as informações que eu tinha estabelecido só para ficar mais alinhado os dados Então vamos lá criando credenciais a gente é bem simples você clica aqui né nesse nesse botão e você nomea da forma que você bem entender eu coloquei aqui uma nomeação o under local certo então a

gente vai nomear dessa forma o m underline local a gente pode colocar algum comentário nesse caso eu não vou fazer e aqui são as opções que o openvas ele permite da gente configurar uma credencial então você pode fazer eh por exemplo username e password que é o que a gente vai usar né para fazer o login padrão a gente vai usar para fazer login SSH futuramente então você pode fazer dessa forma Mas você pode também usar username e chave SSH também é bastante interessante essa opção você pode usar uma outra tipo de credencial aqui que

é a somente a senha você pode fazer uma credencial aqui que é via snbp que é a com communities né que você vai colocar não somente communities mas também dependendo da versão do snmp você pode colocar ali o username e o password tá que são o os parâmetros necessários para autenticar V snmp V3 você pode colocar também e chave PGP certificado S mime enfim pro nosso caso Vou colocar aqui essa username e password E aí a gente preen aqui preenche aqui username o que a gente quiser o bunto que vai ser a gente vai fazer

um Scan de teste depois na nossa própria máquina tá então por isso que eu tô configurando a senha o buun Ubunto que é a senha aqui né É É para você logar no na sua máquina local tá então beleza Ubunto Ubunto clica em salvar Aí ele vai ficar salvo aqui tá Então essa é a fase de criação de de credenciais tá então Seguindo aqui dentro do nosso do nosso da nossa apresentação a gente primeiro criou as credenciais e aqui só para mostrar para vocês né as credenciais servem para testes autenticados e Elas serão associadas associadas

aos targets futuramente aos nossos alvos tá a próxima coisa que nós vamos configurar aqui são as listagens de portas aqui na na interface do openvas ele chama de port lists e aqui também na sessão de configuration tá você vem clique em port lists e ele já traz por padrão algumas portas aqui né para você poder testar eh então quando você for configurar você pode configurar portas TCP e portas udp eh O que nós vamos configurar aqui e aí é basicamente o mesmo procedimento para criar uma nova listagem de portas você somente vem aqui e clica

nesse botão né esse botão aqui de um é uma espécie de folha eh sulfite um papel e uma estrela Então você clica aqui e nomeia né conforme eu havia nomeado aqui deixa eu recuperar eh eu tinha nomeado como SSH underline http tá então eh Bora colocar esse nome só para ficar padronizado SSH http e aqui dentro do campo eh manual manual você pode colocar ali portas TCP ou portas udp no nosso caso vai ser uma porta TCP duas na verdade três na verdade TCP 22 80 e 443 né porta TCP 22 pro serviço de SSH

e a 80 e 443 por serviços de http e https E aí bem simples você clica aqui em salvar né a gente percebe que tá aparecendo aqui agora né e ele mostra para nós quantas portas estão eh dentro dessa listagem então é um é um algo que pode nos ajudar bastante quando nós estivermos fazendo um Scan que é direcionado Às vezes você tem uma aplicação que você tá sabe que tá rodando em uma porta específica e você quer fazer um teste num servidor mas somente naquela porta Então você tem que vir aqui configurar o port

list com a porta que você deseja tá e né essa configuração aqui de listagem de portas elas e essa configuração também é associada ao target ao alvo quando você configurar isso depois quando você criar um target você vai lá e seleciona essa listagem de portas assim como você vai selecionar também as credenciais tá aqui a gente tem também uma configuração de agendamentos os agendamentos Como já é bem implícito na palavra são as as ocasiões na qual o os targets serão escaneados dentro das tarefas tá então quando você configura um novo andamento aqui no openvas ele

é chamado de Schedule quando você configura um novo Schedule você vai você associa ele depois numa tarefa que você cria tá então para criar um Schedule para criar um agendamento vem aqui em configuration schedules e clica nesse mesmo botão aqui né E faz o agendamento da forma que você tá nós vamos seguir alguns Alguns parâmetros aqui também para ficar padronizado mas a gente percebe ali que é tudo bem Bem Simples né essa parte aqui de configuração embora você precise de configurar várias coisas né as configurações são simples e querendo ou não Tá então o nosso

agendamento aqui que estarei criando eu vou chamar ele de testes na tá testes na madrugada vou deixar o time Zone dele como esse padrão que tá aqui mesmo que é o coordinated Universal time O TC tá E vou colocar aqui um horário da madrugada então vou colocar aqui por exemplo 3 de outubro às 2:30 por exemplo 1230 e aqui eh a gente tem a opção que é na na onde a gente consegue deixar configurado no openvas as recorrências né o serviço de periodicidade É nesse Campo aqui de recurrence Então vamos selecionar aqui o mensal monthly

e basicamente é isso o que que estou fazendo aqui estou dizendo que e para todos todas as tarefas que forem associadas a esse esquedo teste na madrugada Ela será executado pela primeira vez no dia 2/10 de 2024 eu vou colocar aqui dia 3/10 serão executadas dia 3/10 de 2024 às 2:30 da madrugada e com a recorrência habilitada significa que do mês a esse horário a esse dia vai ser executado esse teste tá então eh quando a gente tá falando de um processo de gestão de vulnerabilidades que será executado de forma periódica é através dessa configuração

específica que a gente garante a periodicidade dos Testes tá então vou clicar aqui em salvar para deixar gravado e aqui a gente percebe ó testes na madrugada será executado eh eh pela primeira vez aqui no dia 4ro né E aí todo mês ele vai executar novamente no dia 4 tá eh então dia 4 de outubro Beleza o nosso próximo a nossa próxima fase agora na criação e configuração do nosso openvas é nas modalidades de alertas pro nosso treinamento de hoje nós não vamos configurar isso mas eu vou mostrar para vocês como é que é e

nós não vamos configurar isso porque de fato os as nossas tarefas elas não vão por exemplo encaminhar o e-mail né porque a gente não essa é uma configuração que que a mais a gente ia precisar configurar um servidor de e-mail aqui eh para enviar e-mails enfim está fora do escopo do nosso treinamento porém eu vou mostrar para vocês como é que funciona porque essa funcionalidade é muito utilizada pelo openvas tá então você configura alertas e esses alertas aques fatores aqueles itens que de fato vão trazer por exemplo dentro da sua caixa de eil o que

você t de execução do Open então voltando aqui para configurar oer também você vem aqui configuration então a gente percebe que aqui dentro do dos dos alerts você tem diversas opções tá você tem você pode fazer uma configuração condicional você pode fazer eh Associação com a parte de de tickets por exemplo tá então são são bastante e as opções que o que o openvas eles ele nos proporciona aqui tá você pode por exemplo incluir eh resultados e dos relatórios certo então são bastante opções e o o openvas ele tem aqui uma facilidade que é fazer

uma associação direta entre por exemplo o nome da tesque ou o nome do do do do da atividade que você executou para mandar por exemplo no e-mail associado Ah você por exemplo você tem uma tes que chama o bunto local se você configurar essa variável aqui por exemplo o e-mail vai ser com tesque o bunto local foi executada com sucesso tá então isso é bem interessante facilita bastante a identificação das das dos das atividades que foram feitas certo mas como eu disse PR Nossa atividade do nosso do nosso treinamento de hoje a gente não vai

configurar nada aqui mas você percebe que são várias as opções existentes tá seguindo pra próxima eh configuração que a gente vai fazer eh a gente vai configurar agora já o nosso alvo tá então dentro do openvas ele chama de target e a gente eh agora que já temos credenciais já temos ali uma listagem de portas a gente já consegue fazer a configuração do do nosso Target configur o tget configuration tets clica no botão e você preenche aqui Conforme você achar necessário dentro do seu ambiente pro nosso cenário eu vou configurar aqui o bu local né

Vou colocar aqui o host e aqui você configura o seu IP né então como a gente vai fazer um um teste na nossa própria máquina Vou colocar aqui o endereço da loopback tá Vou colocar aqui Aquela nossa porta Nossa listagem de portas Que Nós criamos anteriormente SSH andl http e também vou configurar aqui a nossa credencial tá que tínhamos criado anteriormente Ele diz também para poder fazer uma elevação de privilégios ah porém pro nosso caso em específico nós não vamos fazer esse tipo de configuração tá então basicamente Esses são os pontos eh mais interessantes que

a gente precisa configurar eh Lembrando que essa parte aqui é crucial pro nosso proos nossos testes tá então quando a gente tá falando de testes com credenciais você aumenta eh consideravelmente o número de vulnerabilidades que você consegue encontrar quando você faz um teste autenticado só que por outro lado quando você faz um teste autenticado também pode aumentar o número de falsos positivos eh Então a gente tem que tomar um pouco de cuidado com essa configuração Mas de qualquer forma a gente sempre recomenda que os testes autenticados sejam feitos né testes sem autenticação a gente recomenda

apenas para cenários na qual eh você quer ter uma visão externa da sua da sua infraestrutura mas pra gestão de vulnerabilidades de fato é sempre mais interessante você fazer um teste que seja autenticado tá então preenchendo essas esses campos aqui a gente já pode clicar em salvar tá a gente tem aqui salva o nosso alvo que é o ubun local um host com o IP que para esse caso é o IP da loopback mas aqui obviamente a gente preenche com host names de outros servidores ou IPS de outros servidores a listagem de portas que nós

vamos executar e as credenciais que nós configuramos então após fazermos essa configuração nós já podemos agora criar uma nova tarefa tá então quando a gente fala sobre criar uma nova tarefa a tarefa É de fato o escaneamento né enquanto que o target é o que vai ser escaneado a tarefa é o que vai escanear Então quando você fala de uma tarefa ela vai estar associada a um alvo vai pegar aquele alvo e vai executar os testes em cima dele tá então para configurar os nossos teses as nossas teses as nossas tarefas a gente precisa de

ter preenchido tudo isso que a gente já fez né E aqui é uma é um ponto de crítica talvez ao open porque querendo ou não todo esse trabalho aqui que a gente fez até agora é um trabalho que para cada novo target que você vai fazer para cada novo host que você vai avaliar Você vai precisar fazer isso de novo e aí por exemplo se você faz uma configuração aqui com o target aqui eu já vou selecionar o nosso target ubun local mas por acaso o target ubun local precisou mudar o IP você vai ter

que vir aqui remover essa seleção depois de remover essa seleção você vai lá no target altera o IP lá e só assim você vai conseguir fazer essa alteração porque se você não remover essa seleção daqui o o target vai ficar travado lá você não consegue alterar ele a gente vai ver isso aqui na prática eu vou criar um novo vou criar uma nova uma nova tesca aqui Uma Nova tarefa deixa só confirmar o nome ah Scan imediato bunto local beleza colocar aqui então Scan imediato Punto local beleza Esse é o nome da nossa Nova tarefa

Scan target beleza Schedule eu vou deixar vou Vamos fazer um teste aqui vou deixar só sem Schedule vou deixar aqui o executado uma vez on e essa parte aqui também é muito importante a gente prestar atenção essa parte do alterable Task se você não alterar ela e eu vou fazer isso de propósito vou deixar como no se essa tesque não for alterável né Essa aqui é a tradução pro português você não vai conseguir alterar ela depois tá então basicamente eh ela fica travada você não consegue mais modificar ela se você precisar fazer um novo Scan

nesse target você precisa criar uma nova tesk tá é um é um conceito que o openv traz já desde lá de trás e funciona ainda assim tá então eh sem Schedule sendo executado apenas uma vez esan imediato vou deixar o tesque alterável como não para ela ficar travada e basicamente é isso né o essas outras opções aqui de scanner eu vou deixar pelo para esse padrão do openvas e a configuração de Scan vou deixar também essa full infest beleza aqui basicamente a gente clica em salvar né aqui a gente salva porém ainda não foi e

startado né pra gente startar e a nossa o nosso Scan a gente precisa dar o play aqui tá então eu vou dar o play teste foi executado foi solicitado e agora ele está aguardando para ser executado de fato tá e ele vai levar alguns minutos para ser executado assim que terminar e eu retorno então é isso Bora lá e finalizou o o nosso Scan se a gente der uma olhada aqui agora a gente percebe que eh esse Scan tem algumas ele reportou algumas vulnerabilidades né na verdade eh eu rodei alguns Scans tá durante esse período

porque se a gente reparar aqui no primeiro Scan que foi executado ele não reportou nenhuma falha né então Eh provavelmente deu algum comportamento anômalo aqui no openvas mas nas próximas execuções ele reportou aqui para para nós algumas vulnerabilidades tá então o que eu quero mostrar para vocês eh é a respeito do travamento que o openvas faz tá então eh eu já havia citado mas reforçando quando quando a gente configura aqui um target n quando a gente faz a configuração de um target aqui primeiro que eu tinha marcado essa essa tesque aqui essa tarefa como não

alterável né então a gente não consegue fazer modificações aqui por exemplo não consigo eh alterar o o o alvo né nesse caso então Eh esse daqui já é uma das questões que a gente eh precisa prestar atenção né quando tá fazendo criando uma nova tarefa porque se a gente marcar aquela opção de eh alterable T como não a gente não vai conseguir alterar isso E aí o que que eu queria mostrar PR vocês também n um comportamento que eu particularmente não gosto muito do Open V é se eu vier aqui nos targets né Nós temos

um target só eu não consigo alterar ele tá E por que que eu não consigo alterar ele porque ele tá associado uma tesque ele associado a uma tarefa então enquanto elver a uma tarefa a a edição dele né a alteração dele fica travada Então para mim conseguir editar ele Eu precisaria vir aqui as tarefas e editar essa tarefa só que aqui como essa tarefa ela tava como não alterável eu Eu precisaria deletar essa tarefa Criar e deletar essa tarefa para então ir lá e alterar a informação no no alvo tá então basicamente Esse é um

comportamento que o openvas tem eu basicamente não curto muito mas é assim que ele funciona tá então eh eram essas duas coisas que eu queria mostrar para vocês em relação ao comportamento do openvas eh e voltando pro nosso tópico o próximo eh item que nós vamos eh debater agora é justamente Deixa eu tirar aqui a visualização da VM beleza justamente [Música] eh a geração dos relatórios né basicamente o openvas ele tem e alguns formatos que ele suporta tá ele suporta algum alguns formatos e pro Nossa defect Dojo né a ferramenta que estamos utilizando para fazer

a gestão a gente precisa de no openvas gerar o o relatório em csv tá então é de volta pro openvas mostrando para vocês e basicamente e pra gente fazer a geração de um relatório a gente clica aqui em reports né fazendo isso via a interface web e aí vem aqui no relatório que a gente deseja exportar o resultado clica aqui e clica nessa seta aqui né e download Filter reports Ok então esses são os formatos que ele suporta né que ele gera para nós a gente tem o formato do PDF por exemplo vou gerar um

para visualização para vocês verem como é que funciona tá então basicamente Essa é a cara do relatório do openvas tá ele traz aqui as informações eh das vulnerabilidades Ok e aqui ele mostra que o teste foi autenticado né a gente mostra aqui o sucesso na autenticação foi feita via via SSH conforme a gente configurou e ele mostra um resumo das vulnerabilidades né a quantidade de vulnerabilidades altas médias que tem e mais embaixo a gente tem aqui um um um um detalhamento um pouco maior da das vulnerabilidades então a gente percebe que nesse caso aqui ele

reportou algumas algumas vulnerabilidades altas duas no caso né e e a gente consegue ter um detalhamento por exemplo verificar que essa vulnerabilidade alta que ele classificou no cvss 7.8 ela tem aí eh relação com alguns pacotes que estão instalados tá então o openvas ele vai até a base dele né até o a informação dos feeds que ele tem e e verifica relação com as versões desses packages que estão instalados e traz aqui a informação para nós e aqui ele traz até uma solução também que nesse caso é aplicar aí o update dos pacotes certo então

pro caso do da importação no defect dojô a gente precisa que seja em csv Então já vou gerar aqui pra gente já passar pro nosso próximo tópico que é justamente falar um pouco do defect do jogo tá então o relatório foi gerado ã ele tá aqui dentro da pasta de downloads vou mandar o csv a pasta documentos certo então essa foi eh a introdução e a demonstração de como fazer configurações no Ah openvas tá agora a gente vai passar pra parte do e defect Dojo como eu citei o defect Dojo ele é uma ferramenta é

utilizada para fazer a gestão da vulnerabilidade Então ela é uma plataforma que consegue ali e armazenar eh informações estatísticas e trazer de forma bem Atrativa vamos dizer assim bem atraente eh os dados bom então antes de dar prosseguimento na nossa na nossa parte mais prática do defect Dojo Como utilizar ele e configurá-lo eh é interessante eh e mostrar para vocês um pouco da organização e da estrutura dele como que ele é se organiza ali no que diz respeito a informações das das vulnerabilidades tá e o defect Dojo ele tem uma subdivisão né O que os

os desenvolvedores eles chamam ali de data classes ou se a gente traduzir para português classes de dados tá então existem cinco principais classes de dados dentro do defect que são justamente essas que estão aí nesse aqui nesse slide tá então a gente tem no topo da nossa árvore né os product types tá a gente pode chamar de tipos de produto talvez E aí dentro dentro de um product Type Você pode ter n produtos n products dentro de um product que você pode ter n engagements n testes e e findings tá então embora assim se você

olhar né olhando assim essa estrutura você pode imaginar que é algo que é travado né algo que atravancado que não vai permitir você eh configurar não vai se adequar ao ambiente da sua da sua instituição algo particular que você tem aí mas eh Na verdade ele vai para para outra linha tá é muito flexível tá a gente tem essa estrutura e ela funciona bem mas ela funciona bem por causa da flexibilidade que ela nos dispõe tá então eh ela vai permitir que você faça modificações e preencha os campos da maneira que você achar melhor e

da maneira que vai se adequar eh na utilização do seu ambiente específico com as suas particularidades tá então entendendo aqui como que que é estruturado aí eh o o defect a gente vai agora fazer as configurações ali iniciais né então inicialmente quando você for utilizar o o defect você vai ter que fazer a configuração do item lá do topo da árvore que são os tipos de produto tá essa é a primeira coisa que você vai precisar configurar e e é muito fácil de fazer essa configuração tá se a gente parar para para pensar em entender

dentro daquela nossa estrutura de árvore os product types eles vão ser uma forma de organização dos products basicamente serve para isso e um algo que é bastante interessante né falando sobre e product types é que é possível a gente aplicar e a gente configurar alguns controles de acesso baseado em rols Tá então vamos supor que você criou um product Type eh da da área de TI por exemplo Ah eu criei aqui um product Type da área de TI e e só só vai alterar por exemplo eh e visualizar as informações do prod Type chamado área

de TI os usuários que são da área de TI por exemplo então é possível você fazer isso tá então no nosso caso aqui eu já vou demonstrar para vocês e o que nós vamos fazer e vamos criar um product type [Música] chamado segurança tá então criar esse product Type é bem simples A gente vem aqui e clica em prod Type os campos aqui só é obrigatório você colocar o nome no caso do Product Type colocar segurança seg também só para ficar preenchido e aqui embaixo ele permite né ele e tem dois Campos para serem selecionados

Então se se esse product Type que você está fazendo que você está criando ele for eh algo crítico ou algo chave né pra sua instituição pra sua estrutura basta você selecionar aqui então eu vou colocar aqui segurança no meu caso aqui é algo crítico tá E aí basicamente é isso clique em submit ele já cria tá eles o defect ele ele traz por padrão esse esse researching development aqui a gente pode deletar Tá não vamos precisar dele Enfim então a gente tem aqui Um novo tipo de produto criado e a gente vê aqui que nesse

caso ele foi criado como Critical products somente não como k product Ah Mateus Mas que que tem a ver essas duas marcações aí isso daqui vai ser útil lá na hora de fazer as estatísticas e coletar as informações das vulnerabilidades tá então eh a depender de como estiver marcado vai aparecer diferente lá na frente eh a parte das métricas Ah quero ver só os os produtos que são críticos product types que são críticos nessa métrica E aí você tem essa essa forma de de filtro tá essa é só uma das formas o defect ele provê

diversas outras formas tá bom então aqui já temos o nosso product Type criado Vamos pro próximo passo que é justamente os products tá então falando sobre a criação de um novo produto tá então a gente tem lá os os product types que são eh e e aquilo né flexibilidade o defect doj ele permite isso para você você pode configurar ele da que você achar melhor o cenário que eu já configurei quando eu utilizei eu usei o o product Type para fazer áreas dentro da minha empresa Então tinha a área da ti tinha a área da

da da segurança área de atendimento E aí cada uma dessas áreas S um product Type específico tá E aí dentro dos product types e de de cada área né eu colocava os products então ah eu tenho um servidor aqui que é de responsabilidade e da da da ti então eu ia lá criava um product para esse servidor associava esse product ao tipo de produto da ti e as vulnerabilidades deste eh desse produto estariam associadas a ti e quando eu configurei eu fiz dessa forma mas eh mais uma vez eu bato nessa tecla é muito flexível

e você pode configurar da maneira que você achar melhor tá então falando sobre os os produtos né e segundo ali os os desenvolvedores idealmente os produtos eh São ã são para representar ali algum programa ou algum projeto Tá mas nas utilizações que eu fiz eu cadastrei e aplicação web dentro de um product eu eu cadastrei um servidor dentro de um product e novamente quando você tá cadastrando ali a gente vai ver aqui que são vários Campos que você pode preencher eh você tem ali flexibilidade para preencher do jeito que você achar melhor tá no entanto

tem algumas regras que precisam ser seguidas quando a gente tá Cadastrando um novo produto Então você precisa que o nome seja único tá não pode ter produto com nome duplicado no caso do produto você é obrigado a aplicar ali uma descrição e também você você precisa sempre associar um produto a um tipo de produto e tem também uma configuração de sla que no caso dos produtos é obrigatório você aplicar essa configuração tá então esses são os quatro pontos que quando a gente for preencher ali a gente vai ver que tem um asterisco né que é

obrigatório preencher e outra coisa interessante também sobre os products é que a gente consegue aplicar um controle de acesso bem semelhante a aqueles que tem PR os tipos de produto então ah eu tenho um profissional aqui que eu contratei mas ele é responsável somente por um servidor ele é responsável somente por uma por uma aplicação aqui então ele só vai ter acesso às informações desse servidor dessa aplicação a gente consegue fazer esse tipo de controle também dentro do defect Dojo e com esses eh controles de acesso baseado em Rolls certo então no nosso caso aqui

do nosso do nosso treinamento Vamos criar um novo product e vamos chamar ele de Ubunto local tá então de volta a defect Dojo é muito simples também a criação de de de um novo product você vem aqui na barra lateral aqui de de de menu lateral aqui e clique em AD product tá E aqui esse é o formulário que você tem que preencher mas assim grande parte desses Campos aqui não não são obrigatórios é claro que quanto mais informações você colocar melhor vai ficar lá na frente frente para você fazer uma identificação para você poder

fazer um direcionamento em tal vulnerabilidade mas e dependendo do cenário talvez você nem precise preencher muita coisa entendeu então vamos colocar aqui o b local né a gente fez um Scan l no openvas da nossa máquina eu vou colocar aqui na descrição máquina rodando defect do e openvas que é justamente essa nossa máquina aqui tá beleza e aqui a gente pode também fazer uma organização por tags né então por exemplo Ah eu colocar aqui uma tag Linux Ah uma tag Ubunto Ubunto 2404 por exemplo pra gente poder filtrar depois né quando a gente tiver vendo

as informações a gente faz um filtro por tags por exemplo ele permite que a gente faça isso tá E aqui o campo que é obrigatório preencher a gente pode colocar aqui algumas outras informações não tá muito populada porque nesse caso nós só temos criado o usuário admin Mas você pode atrelar esse product a outros e usuários né fazer essa Associação por aqui adicionar contato técnico também eh [Música] gerente da equipe enfim o que é obrigatório aqui para nós são aqueles que eu citei então product Type você precisa segurar Então você precisa configurar né então aqui

segurança né foi o product Type que a gente acabou de criar e não tem nenhuma configuração diferenciada para sla então deixar aqui no default Outro ponto que é interessante também que vai ajudar na parte das métricas depois e das estatísticas é você fazer aqui uma e uma seleção eh das características desse desse produto Ah então esse nosso produto aqui e ele é um um servidor que ele não tá acessível à internet Ah então não vou marcar aqui o internet acesso bom a audiência dele não é externa então não vou marcar entendeu E nesse caso aqui

a gente não tá marcando nada mas né E você pode marcar e isso daqui vai ficar Evidente e vai ajudar depois no futuro quando você esver fazendo a coleta das estatísticas das vulnerabilidades certo então vou clicar em submit Beleza então adicionei um um novo produto com sucesso essa daqui é a cara do da tela a gente percebe aqui aquela configuração default do sla Então as vulnerabilidades dentro desse sla default precisam ser por exemplo corrigidas dentro dessa quantidade de dias isso é algo que pode ser configurado também bom então agora que nós já temos o nosso

produto criado dentro do defect nós podemos passar pra próxima parte que é a parte da importação do relatório do openvas Tá mas antes de falar sobre a importação em si eu vou comentar um pouco sobre a parte dos engagements tá então dentro daquela nossa estrutura que nós eh vimos agora a pouco né das classes de dados do defect Dojo o o os engagements eles estão ali abaixo dos produtos tá então essa classe de dados eh ela define ali basicamente um período na qual estão sendo executados testes no produto tá então você cria um engagement e

você diz que ah dentro desse período aqui eh estarão sendo feito testes em tal produto né E ali a gente inclusive o defect Dojo ele tem um calendário que você consegue visualizar Quais são os testes que estão eh acontecendo eh ver ali eh uma visão de datas tá então é é interessante isso mas eh Essa é a funcionalidade principal dos engagements tá então Lembrando que dentro de um engagement você vai ter n testes tá e dentro de um teste você vai ter Any Finding tá então falando um pouco dos requisitos PR criação de um novo

engagement são bem parecidos com anterior você precisa de ter um nome único tá você não pode ter engagements com nome duplicado dentro da plataforma você precisa de especificar ali uma data de início uma data de fim um determinado também colocar al um responsável pelos testes tá então você associa um usuário do defect toj e fala que esse usuário está fazendo os testes ou está responsável pela equipe de testes desse engagement e você precisa também associar um produto né E você sempre que tiver um engagement como ele tá na nossa árvore embaixo dos produtos você precisa

sempre associar engagement a um produto tá E também tem um campo que você precisa preencher que é o campo do status né de ah eh está em execução não iniciou ainda tá estão os testes Estão parados precisa prener os status também ok então se a gente olhar lá na plataforma existem dois tipos principais de de engagement que você pode criar tá então você pode criar um engagement que é chamado de interactive engagement ou um CIC de engagement Então são dois engagements diferentes mas assim eu particularmente eu nunca adicionei um novo engagement dessa forma eh por

quê Porque quando você importa um novo relatório e o defect doj ele ele automaticamente ele já cria um engagement para você um engagement lá que fica como se não me engano é adck engagement algo assim Enfim então todas as vezes que e eu utilizei essa parte de engagement foi através dessa criação automática depois de ter importado um relatório Tá então vamos ver na na na plataforma como que eh isso fica exibi defect beleza aparecendo para vocês então a gente tá aqui na página do nosso produto que criamos anteriormente então se você clicar aqui em engagements

você consegue ver todos os engagements que já foram criados no caso aqui não tem nenhum E aí você consegue adicionar um novo engagement interativo ou um novo engagement de CCD pro nosso caso né como não estamos falando de CCD seria o um interactive engagement adicionado porém como eu citei é é mais fácil para nós vir aqui em fings e clicar em Import Scan results né a gente clicar aqui Import Scan results nós vamos ter alguns Campos que precisam ser preenchidos Mas ele já vai criar pra gente automaticamente Então vamos fazer isso eu vou preencher aqui

com a data ã dia 3 de outubro severidade mínima é a severidade que eh o defect ele vai eh aceitar então se você falar que você quer só severidade mínima como crítica tudo que for abaixo de crítica ele vai ignorar não vai adicionar tá então não é interessante para nós Geralmente eu não mexo nessa parte ou a gente pode colocar em low né que é baixa para ignorar todas as que são informativas algo interessante para ser feito eh Active verified se a gente não configurar aqui ele vai ficar como default eh essas duas configurações aqui

elas são interessantes da gente modificar principalmente porque depois na hora da de visualizar as métricas e as e as estatísticas eh algumas métricas vão estar baseadas por exemplo eh se eh a vulnerabilidade quando foi importada foi marcada como eh ativa tá ou verificada então eh você pode deixar como default e depois você modifica em massa Ou você já pode modificar aqui agora eh quando nós estamos reportando um importando um relatório com diversas falhas diversas vulnerabilidades e nós não fizemos aquele aquele trabalho de e classificação direto lá no openvas eh aqui é o lugar e ideal

para você fazer isso tá Por que que eu tô falando isso porque lá no open Vas ele tem a aquela opção de de override né para você ignorar algumas vulnerabilidades você pode fazer isso no openvas mas aqui no defect Dojo fica mais fácil você fazer isso porque depois que você importar eu mostro para vocês daqui a pouco você consegue fazer eh pontualmente essas alterações aqui então ah tal vulnerabilidade foi verificada tal vulnerabilidade não está ativa você consegue fazer isso então aqui agora eu vou deixar como default tá vou deixar como default essas duas o que

você vai precisar modificar aqui é o Scan Type tá então como a gente vai e importar um um csv do openvas a gente precisa selecionar aqui o openvas senão o parcer não vai ser feito e aqui o o environment você pode selecionar a depender de como e o servidor está né aqui geralmente isso daqui é focado para uma aplicação que tá em e em diversas fases seja desenvolvimento ou se já está em produção mas também funciona muito bem para servidores tá então ah a gente tem um servidor aqui que tá em produção tá colocar produção

que é o nosso caso né entre aspas Mas tudo bem aqui a gente consegue fazer ali uma associação com end points com sistemas também e aqui nesses Campos que estão todas as aquelas Eh toda aquela flexibilidade que eu havia citado então a gente percebe que ele disponibiliza diversos Campos para nós preenchermos e a gente vai preenchendo de acordo com a nossa necessidade você pode colocar uma observação para ser consumida depois futuramente e e aqui é oonde você seleciona de fato o relatório que você vai importar então no nosso caso ficou em documento report pcsv esse

daqui é o relatório do openvas certo então vou fazer um Import eu acredito que seja esse tá E que a data ali tava de ontem não sei por enfim E essas essas marcações aqui essas opções aqui são bem interessantes tá por qu quando você importa um relatório vamos supor eu rodei o Scan openvas tá rodei o Scan Open vas Ele me trouxe ali cinco vulnerabilidades e aí eu peguei e rodei o Scan novamente só que eu apliquei as mitigações nas vulnerabilidades Então nesse novo Scan que eu rodei pela na segunda vez ele trouxe só três

vulnerabilidades se você marcar esse esses campos aqui o defect do Joe vai verificar que aquela vulnerabilidade não apareceu no seu seu no seu relatório e ele vai e remover ela do Product tá então isso daqui é muito interessante da gente marcar certo então você pode fazer aplicar esse comportamento por engagement ou por product tá então vou deixar aqui nenhuma porque esse é o primeiro Import Tá mas na ocasião de ser a segunda a segunda importação por exemplo você já poderia marcar aqui que o defect doj ia ter essa ação adicional para nós tá então aqui

abaixo ele tem também um agrupamento adicional que ele permite ser feito e credenciais assim geralmente eu não preencho credenciais aqui porque pro pros testes que nós fazemos né não não testes as importações que nós fazemos eh não tem necessidade de ter credencial porque o defect doj ele não tá interagindo diretamente com o nosso servidor porém se você tá falando de um defect doj que tá atuando mais fortemente ali na parte de devops Talvez você precise configurar alguma credencial aqui tá mas não é o nosso caso no nosso caso a credencial é configurada somente no openvas

e já é suficiente porque o openv é quem tá interagindo diretamente com o servidor tá então beleza acredito que preenchi todos agora ven aqui e clico em Import opa deu algum problema aí Mas provavelmente Quando dá esse problema é devido ao ao relatório tá ã colocar esse outro relatório aqui que talvez aquele arquivo corrompeu tava com a data de ontem Deixa eu fazer o teste op aí não bicho bom então nós descobrimos né eu tava colocando a data futura ele não tava aceitando a data futura tá então quando se estiver fazendo uma importação você não

pode colocar data futura acabei descobrindo isso agora mas enfim eu fiz a importação do relatório certo e aqui ele já ele já apresenta para mim os findings tá então se a gente clicar aqui em View Active findings a gente já pode ver que o que foi reportado ali pelo openvas estava no csv já tá aparecendo aqui para mim agora no defect doj tá então Eh bem interessante essa parte tá tem um ponto aqui que é interessante de se citar que é o quê eh o openvas e eu vou fazer o login novamente aqui no openvas

o openvas ele tem uma uma característica única quando ele tá fazendo ali a classificação da severidade das das vulnerabilidades e qual que é porque nesse relatório aqui ele não pegou nenhuma vulnerabilidade acima de nove tá então a gente não vai conseguir visualizar Mas qual que é o comportamento o openvas mesmo quando você tem uma vulnerabilidade que tá ali eh classificada com cvss 9.8 ele ainda reporta como High tá ele reporta como alta e no relatório do do do do openvas ele coloca como alta também então quando você faz o Import no defect Dojo e o

defect dojô eh ele lê ali alta ele não tá olhando pro cvss ele tá olhando pro pra string que tá escrita Então se o openvas reporta como alta o defect doj ele vai importar como alta ainda que o cvss seja 9.8 que pelos padrões 9.8 acima de 9 é considerada crítica tá então esse é um comportamento que a gente tem que ter atenção tá E para resolver esse problema você pode eh trabalhar fazendo as modificações pontualmente né então ah e você pega é um relatório do openvas você faz ali as modificações né Toda vez que

for acima de nove você altera de alta para crítica ou você pode fazer isso via script tá então eu deixei para para vocês aqui nessa máquina alguns scripts tá então aqui em documentos tem uma pasta chamada scripts doj e são scripts em Python que eu montei né para poder facilitar a administração a gente vai ver na no nosso próximo tópico aqui que o defect dojô ele é disponibiliza uma API pra gente consumir pra gente interagir com ela e muitos desses scripts aqui eles fazem essa interação com essa comunicação com api mas tem alguns scripts aqui

que são especificamente para especificamente para al alterar as severidades tá conforme eu citei então por exemplo se a gente pegar aqui esse script Edit sever XL SX vou abrir aqui com o editor de texto porque e é o que tem instalado nessa máquina a gente vai perceber que esse script aqui ele vai fazer alteração tá então depois você pode fazer aí a avaliação do script mas eu coloquei aqui um if basicamente se o cvss né dentro do dentro ali da do reporte do openv se o cvss for acima de no ele altera o valor da

severidade pra crítica tá porque por padrão o openvas ele vai colocar como r e a gente altera pra crítica E aí quando você importar no defect doj você vai perceber que o defect doj importou também como crítica idade dos nossos dados do nosso defect doj tá porque você se você tem uma vulnerabilidade que é crítica Você precisa tratar ela como crítica inclusive para aquela questão do do sla tá então basicamente é isso bom então já que estamos falando agora de scripts vamos passar pra próxima fase que é a parte do da api tá da api

do defect Dojo então a gente tava falando aqui sobre eh fazer a importação manual de forma manual Então você acessa a interface web importa o relatório agora a gente vai falar um pouco sobre a importação via api tá então sobre a api do defect dojô ela vai ser muito útil quando a gente precisa fazer uma uma importação em massa de de informações tá pro defect então eh você pode eu já utilizei ela criando eh eh produtos em massa Então eu tinha uma planilha com diversos eh ativos que eu queria importar então eu fiz um script

para poder fazer uma importação em massa de produtos esse script está disponibilizado para vocês ã você pode fazer ali importação de eh relatórios também então tudo que você for fazer em massa Provavelmente você vai conseguir fazer via api isso dá nos dá um ganho de tempo aí enorme tá então eh falando um pouco da AP em si ela é uma ap rest tá e você consegue algumas informações da documentação do defect doj nesses links que estão aqui na tela e e o que é interessante que é importante a gente saber da pi é que a

gente só vai comunicar com ela obviamente se você tiver o token de acesso então para cada conta de usuário do defect Dojo existe um token de acesso aquele usuário e você consegue comunicar com api somente e informando ali na requisição o token de acesso senão você não vai ter sucesso na comunicação tá então o token ele tá disponível nesse endp aí api barra aqui if V2 tá E e você pode né se você por acaso você tiver aí seu seu token vazado você pode fazer ali a geração de um novo então vamos voltar aí nosso

defect PR verificar essas informações direto nele então tirar Fora esse script aqui vou mostrar para vocês depois os outros scripts mas aqui né aqui o end que eu citei na qual a gente consegue visualizar a chave da nossa da nossa api né nosso token de acesso então aqui o os desenvolvedores colocaram aqui alguns exemplos para você fazer ali a requisição usando Python Inclusive eu me baseei nessa documentação Inicial aqui para poder desenvolver os scripts tá e se você quiser mais informações da documentação da api você pode vir aqui e ver o swager tá para ver

todos os end points e todas as o tipo de requisição que ele aceita tá então tem bastante informação interessante aqui e o assim me basei nisso daqui para poder criar os scripts que eu montei e também eh aqui o botão para criar uma nova chave também tem uma outra documentação aqui que é a documentação do do openv não do defect doj na parte da api você vem aqui e consegue ter algumas informações interessantes também né para você aprofundar aí o seu conhecimento sobre essa ferramenta tá então basicamente a api funciona dessa forma eu vou fazer

aqui a deleção dessas vulnerabilidades na verdade a deleção dos engagements né então e vou vir aqui em a products fazer aqui o clique em um bunto local engagements quando você apaga o engagements eh dentro daquela nossa árvore né do Effects doj que a gente viu quando você deleta o engagement todos os findings associados a este engagement eles também são deletados E aí ele traz aqui uma mensagem né ah tal vai querer fazer isso mesmo delete E aí essas vulnerabilidades não estão mais aparecendo dentro da plataforma então vamos fazer o Import tá via api eh quando

a gente tá falando de Import via api dessa forma a gente vai utilizar principalmente esse script aqui que é o o script Create New Finding tá Create New Finding Scan e eu coloquei aqui a descrição esse script cria eh novos importa Scans no defect Dojo para isso ele deve ser chamado com que representa um diretório que contém os arquivos csvs tá então basicamente para ele funcionar direito você precisa falar para ele um diretório que ele vai utilizar como base né como a ideia é fazer inclusão em massa então é necessário e eu pensei dessa forma

né é necessário você colocar os arquivos csv dentro de um diretório E aí com os arquivo csv dentro desse diretório acaba que você vai lá e tem uma listagem né que ele vai fazer o forem iterar com todos esses e fazendo o Import dentro do defect Então como é que ele faz isso ele pega o nome do arquivo então o que que a gente precisa fazer a gente precis pegar e alterar vou dar um C aqui a gente precisa pegar e alterar o nome do arquivo para eh o mesmo nome que tá lá na plataforma

do defect Dojo por quê Porque ele vai se basear no nome do arquivo para extrair ali a string de caracteres e perguntar pro defect Dojo defect dojo eu tenho essa esse nome aqui qual que é o ID eh desse product com esse nome e aí o defect responde com o ID com o ID a gente vai conseguir importar o csv associado ao queele AD porque ele não permite fazer associação com o nome ele só permite fazer associação com ID o endp de importação de de relatório só permite fazer associação com ID então por isso que

a gente precisa de fazer esse joguinho aqui tá então o que que a gente vai fazer a gente vai dar um copy no relatório tá então pro diretório que eu acabei de criar tá criei esse diretório chamado csvs e aqui dentro desse diretório eu vou colocar o arquivo Ubunto local pcsv tá então basicamente eu tô copiando o relatório né esse relatório aqui com essa nomenclatura report traço e essa string aqui é o que viu o padrão do do openvas eu tô modificando o nome dele só modificando o nome tá E essa modificação é só para

fins do nosso script desse script que eu montei para mim conseguir pegar o ID tá então é só por isso porque se você quiser você pode importar direto no openvas e direto no defect cojo sem precisar alterar o nome do arquivo mas né E você precisa saber o id como eu não sei o ID eu tô utilizando o nome que é o mesmo nome do Product do defecto jo para mim poder saber qual que é o ID certo Enfim então fiz a cópia Deixa eu confirmar se deu certo o comando né Tá aqui o bunto

pon local se a gente se a gente voltar aqui no defect doj é esse nome certo Ubunto underline local precisa ser eh escrito certinho é case sensitivo então precisa ter está escrito exatamente como na plataforma E aí basta agora eu executar o script então Python 3 Create e vou passar para ele o diretório que eu quero eh eh eh iterar né Fazer o for para pegar os arquivos csvs e importar então eu dou novo engagement belza e aí ele criou um engagement com esse nome engagement via script e a data de agora importou o csv

relacionado ao id2 tá então se a gente voltar aqui no defect doj a gente percebe que esse product se eu dar um update na página aqui ele já vai aparecer o engagement com o nome que eu criei ali a gente ver aquio end a gente perce que chamado ub underline local ele tem um ed2 tá então basicamente Ele criou um engagement dentro do Product com id2 com a descrição que eu pedi para ele fazer tá então é dessa forma que a gente utiliza api tá então tem diversos outros scripts aqui tá nessa pasta que tá

dentro da VM mizada para vocês e todos vão dentro dessa mesma linha o que vocês não podem esquecer de de fazer quando vocês tiverem trabalhando com os scripts alterar essa essa variável aqui tá essa variável IP vai ser talvez diferente no na sua máquina né então você precisa de alterar essa variável E você também precisa de alterar o token eh de acordo com o do seu usuário Então vem aqui na plataforma do defect Dojo na parte da api V2 chave copia esse token aqui e depois você consegue executar o script tá E aí só falando

um pouco desses scripts eh eu fiz Ele eles pensando bastante em interações e inclusões em massa no defect do jogo Então grande parte deles e necessita é que você tenha criado aí os diretórios a mais tá então só para ficar dica para vocês quando tiverem utilizando esses scrip que eu t mandando para vocês Beleza então bora pra nossa próxima parte agora que é a parte de métricas e estatísticas então assim se tratando de métricas e estatísticas eh o defect doj também é bastante robusto tá porque ele permite que você tenha uma visualização ali eh específica

para um product Type por exemplo ou eh de produtos críticos ele também traz essa numeração ele traz até um score de product Type e é tudo bem bonitinho Sem contar que ele permite que você e aqui é parte mais importante quando a gente tá falando uma das mais importantes talvez quando a gente tá falando sobre gestão de vulnerabilidades é de ter um histórico né saber de quantas novas vulnerabilidades apareceram quantas foram tratadas tentar a entender eh se tá tendo um aumento de vulnerabilidades se tá tendo uma diminuição no número de de falhas então ele ele

é robusto neste quesito também tá então aqui nem tem muito conceito por trás nem tem muita parte teórica é mais acessar a plataforma mesmo e verificar ali como é que ela se porta Então tá aqui a cara tá do do defect d na parte das métricas você acessa por aqui então você tem um dashboard de mtricas tá então aqui é referente ao período atual que é o período que a gente tá executando então a gente já percebe que aqui ele tem eh de diversas e gráficos diferentes e tem a parte aqui do do do do

time né do do cronológico para falar ah em tal período apareceu uma nova falha e tal a se a gente voltar aqui a gente tem e métricas que eu gosto de utilizar bastante que são as métricas simples tá então por exemplo a gente tem aqui os dados do que a gente acabou de importar certo e a gente consegue clicar aqui em gerar então por exemplo num cenário na qual teria vulnerabilidades que foram imputadas em agosto ele ia trazer aqui pra gente a gente tá em setembro 2024 ele traz Mas como que eu utilizei isso quando

eu utilizei eu vinha eh mês a mês coletava esses dados aqui né esses dados mês a mês para poder ter um gráfico tá então isso isso é interessante a gente pode perceber também aqui e métricas por produtos críticos e aqui é aquilo que a gente marcou né quando a gente estava criando o product Type segurança a gente marcou esse produto aqui como crítico então automaticamente ele se elegeu né ele foi para aparecer nesse tipo de métrica aqui então a gente percebe que tem ele dá um score aqui pra gente também de 0 a 100 quão

seguro esse esse product Type está tá 58 precisa melhorar tá tão ruim mas pode melhorar Então a gente tem aqui métricas por produtos tá então a gente CONSEG ver um top aqui então assim e são são muitas informações que a gente tem tá e a gente consegue eh ter aqui uma boa base e uma boa fonte de dados pra gente poder levar para para indicadores e para toda essa questão de estatísticas Tá bom então a gente consegue ver por exemplo por o que foi aberto se tivesse feixado alguma que iria aparecer aqui tá ah temos

algumas falhas mas a gente entende que e vamos aceitar essas falhas então apareceria aqui então a gente percebe que tem diversas eh diversas maneiras da gente eh verificar os dados tá E aqui tem a parte das tags Lembra lembra quando a gente configurou o product eu coloquei lá duas tags uma tag Linux uma tag umun Ah então a gente pode gerar tags somente para esse para estes produtos com esta tag né E aí não apareceu nada porque eu tinha colocado em janeiro mas se eu colocar aqui em setembro tá aqui informação tá então a gente

percebe que realmente a aplicação né a plataforma do defect doj ela é muito flexível ela permite que nós façamos ali diversos diversas alterações para aquilo que nós necessitamos tá Então realmente por por se tratar de uma ferramenta que é open source que é de graça sim a gente pode agregar muito valor pra nossa segurança se a gente eh fazer uso dessa dessa ferramenta tá e né a gente tá fazendo uma visualização aqui de de métricas e aqui é aquela parte do histórico que Eu mencionei né a gente percebe que ele vai trazer aqui as vulnerabilidades

que foram abertas as vulnerabilidades que foram fechadas a gente CONSEG ver isso de histórico assim para quem tá numa camada gerencial ali isso daqui é o sonho de consumo né você conseguir levantar esse tipo de número e a gente tem a visualização aqui pela essa aba aqui das métricas Mas você consegue visualizar também diretamente nos produtos então se você vier aqui no local né o produto que a gente criou você consegue ver visualizar as métricas por aqui também tá então basicamente a gente tem essa e esses tipos de visualização no defect doj que assim nos

proporcionam e nos trazem um grande ganho certo então e basicamente eh era isso que eu queria mostrar para vocês hoje Mostrar aí como que a gente consegue integrar o openvas com o defect Dojo então a gente fez um Scan ali com o openvas a gente importou esse Scan no defect Dojo a gente visualizou as informações de vulnerabilidades no defect Dojo e daqui para frente né é só seguir cuidando das Ferramentas e importando fazendo novos Scans e importando os novos Scans dentro do defect doj então agradeço muito pela sua eh companhia pela sua atenção Então pessoal

Tudo bem agora a gente volta aqui pro ao vivo eh Vocês conseguem me ouvir queria pedir pro pessoal isso já me colocou aqui no vídeo olha que legal então agradecer o Mateus que gravou essa aula pra gente tá então Obrigado Mateus mas espera aí o Mateus vai entrar aqui daqui a pouquinho o Mateus vai est aqui para conversar com vocês explicar um pouquinho Todas aquelas dúvidas que o Mateus já foi tirando lá no chat mas ele vai estar aqui para fazer um comentário geral tirar novas dúvidas a gente vai dar um tempinho pro Mateus fazer

isso Tá Mas antes do Mateus eh vim para cá eu queria pedir pro pessoal colocar aí o nosso QR Code aí pra gente fazer a nossa Avaliação pessoal é uma avaliação bem pequena você vai dar uma nota pro que você achou do nosso curso de hoje e vai ter pode fazer um comentário né então a gente pede que vocês façam um comentário deixa lá um comentário O que que vocês gostaram da Live de hoje como a gente pode melhorar também para as lives futuras coloca lá sugestões também Ah gostaria de ver tal assunto nas próximas

lives então e a gente utiliza para a gente ler as sugestões de vocês a gente utiliza realmente essas sugestões para procurar novos temas Procurar novos assuntos e tá disponibilizando conteúdo para vocês tá então sem mais delongas para que eu não fique aqui falando demais eu queria chamar o Mateus então a gente vai deixar agora o Mateus conversar um pouquinho com vocês e a gente volta a conversar logo após o Mateus fazer as a despedida dele então tá tchau tchau pessoal Mateus fica à vontade o palco é teu beleza bom eu tô com várias perguntas aqui

né que foram respondidas no chat mas eu deixei algumas em especial para responder nesse momento de agora eh tem algumas aqui que tá na lista que eu ainda não respondi também então eu vou pegar foram as últimas que foram mandadas deixa eu pegar aqui o David Gomes ou David Gomes não tenho certeza ele perguntou se só funciona via Python e Então na verdade não o Python foi a linguagem que eu utilizei nesses scripts Mas se você tiver qualquer script em qualquer linguage que consiga comunicar com api fazer uma requisição web mandando aqueles eh eh tokens

né e eh que eu que eu mostrei para vocês você vai conseguir fazer a comunicação aí então Eh independe da linguagem que você tiver utilizando tá tem mais uma pergunta aqui do Jenner Souza que é as autenticações de usuários e acessos podem ser Integradas com o Microsoft Active directory bom Bora lá vou compartilhar aqui a minha tela para vocês e mostrar o o openvas direto compartilhar aqui beleza share quando a gente tá falando de de criação das das credentials tá ISO daqui não tem nenhuma porque eu não eh quando eu mandei para vocês eu zerei

a máquina mas enfim Esses são os tipos que você consegue tá então pelo openvas não necessariamente você vai conseguir fazer e essa essa integração com o Active directory tá basicamente eu não sei se é essa pergunta tá foi foi o que eu entendi se era na parte dos Scans mas esses são os Scans que foram Eh esses são os formatos suportados para as credenciais tá então você consegue fazer aqui alguém tinha perguntado sobre isso eu respondi você consegue fazer e a parte de acesso via SSH ali com usuário e senha você consegue também mandar a

chave do sshh para poder fazer a autenticação e inclusive essa essa parte aqui do da chave do sshh é a mais recomendada quando a gente tá falando de servidores links tá E para outros cenários por exemplo você pode utilizar apenas eh senha tá eh Tem uma parte que eu queria mostrar para vocês aqui e é especificamente no defect Dojo né que é uma configuração que é muito interessante a gente fazer porque às vezes o que acontece quando você tá você roda um Scan no open Vas às vezes ele traz eh vulnerabilidades duplicadas tá então você

por exemplo você rodou um Scan num determinado host e ele trouxe ali eh duas vulnerabilidades eh com mesmo com o mesmo título com o mesmo IP é é igualzinho aí o que que acontece quando você vai importar ela vem como duplicada tá então você consegue fazer essa configuração aqui no defect para poder eliminar essas duplicadas tá então você pode vir aqui e selecionar o delete duplicates certo e aí você altera esse número aqui para zero por exemplo E aí todas as vezes que chegar uma vulnerabilidade duplicada eh ele já vai deletar já eh automaticamente tá

eu não identifiquei ainda nenhum cenário na qual isso pode interferir no no nos relatórios e nos imports porque ele faz verificações além do do tópico ele faz verificação também do do Product que tá que você tá importando então eu geralmente recomendo fazer essa configuração tá e e tem uma outra coisa também que é importante citar quando a gente tá falando de openvas eh a gente tem a configuração de usuários né então a gente cria diversos diversos usuários eu vou criar um aqui eh com com nome de teste colocar uma senha enfim não sei se ele

vai aceitar qualquer senha aqui mas o que que eu quero mostrar para vocês é a parte dos grupos E por quê porque se a gente se a gente criar um usuário eh o que que vai acontecer quando você gerar o quando você gerar novos Scans dentro do perfil desse usuário teste você só vai conseguir visualizar os Scans com esse usuário teste Tá e isso de certa forma é é um problema porque vamos supor o usuário teste é um funcionário que por exemplo saiu de férias aí outras pessoas não vão conseguir ver os testes que ele

realizou Então como que a gente faz para eh consertar essa situação você cria um grupo tá E aí quando você tá criando o grupo você adiciona ali o o os usuários né que vão fazer parte do grupo E aí você precisa de selecionar esse campo aqui Special groups quando você seleciona esse Special groups você permite que todos os usuários desse grupo eles consiga ver os Scans eh de de outras eh de outros usuários tá então eh é uma configuração que é interessante da gente fazer tá então eu queria mostrar isso para vocês quando a gente

estava no começo o Moreiras ele fez um comentário sobre a a questão de ativos de rede né e a gente consegue escanear ativos de rede com invas é possível fazer isso tá Dá dá para você fazer porém de fato geralmente quando a gente utiliza ele para escanear ativos de rede você não tem tanto retorno tá então o que a gente recomenda quando a gente tá falando de ativos de rede é utilizar esse cara aqui o net audit tá a gente utiliza ele aqui na RNP e qual que é o funcionamento assim dando um um um

resumo macro do Net audit eh basicamente ele faz o login dentro do Switch ou do roteador vê a configuração que está aplicada e ele compara a configuração que está aplicada com as melhores práticas e com as recomendações de segurança tá então você consegue eh utilizar essa ferramenta que ela vai ter uma visão interna né Eh dos switches e dos roteadores que você vai conseguir ali Ter um melhor controle das vulnerabilidades tá E aí falando sobre eh questões de acesso interno externo eu vi que bastante de Vocês perguntaram sobre eh a questão do a questão do

dos Testes eh autenticados né os testes com credencial e não qual qual que é a diferença eh assim Geral de quando a gente executa um teste autenticado e um teste sem autenticação é que se você executar um teste sem autenticação você vai conseguir ter uma visão somente externa do ativo que você tá analisando então por exemplo se esse se esse ativo que você tá analisando ele e não tiver nenhuma porta exposta por exemplo ou tiver só a porta sei lá porta 22 que é para fazer o acesso e você não vai conseguir enxergar muita coisa

Agora se você configurar uma credencial o que que vai acontecer vai acontecer que o openvas ele vai acessar o o o ativo e com uma visão de dentro ele vai encontrar novas vulnerabilidades então quando a gente tá falando de um processo de gestão de vulnerabilidades inicial a gente pode começar fazendo testes sem autenticação funciona bem né para você encontrar as falhas que estão ali na superfície eh Inicial mas só que conforme o processo vai se amadurecendo o ideal é que a gente adicione essas credenciais para que a gente tenha uma visão eh interna dos ativos

e consiga eh consertar novas vulnerabilidades que inicialmente não não foram identificadas tá eh deixa eu ver outra outra pergunta que apareceu aqui eu lembro que alguém tinha perguntado alguma coisa e eu falei que eu responder no final isso foi o Caio retic New ele perguntou assim está ocorrendo um malware que bloqueia completamente um PC pergunto já temos pista de como nos proteger pois PC atualizados e antivírus Ok estão pegando ma enfim eu imagino que essa essa pergunta do Caio é referente a os ataques de H que foram que aconteceram que acontecem dia dia após dia

e assim é muito muito complicado a gente falar sobre isso tá eh porque o processo de gestão de vulnerabilidades que foi apresentado aqui ele vai auxiliar de alguma forma eh em você eh prevenir né ataques de hw por exemplo Porém quando a gente tá falando de segurança da informação a gente tem que entender que várias ações precisam ser feitas em conjunto não basta só você por exemplo implementar o processo de gestão de vulnerabilidades na sua empresa no seu ambiente e achar que isso vai resolver todos os problemas não é o é um dos Passos mas

a gente precisa de ter ações adicionais que vão até mesmo eh de partes e questões técnicas né de aplicações técnicas Mas também de de aplicações que são voltadas né Eh à pessoas aos procedimentos aos processos tá então por exemplo quando a gente fala de um ataque de ransonware uma das melhores formas da gente poder eh sair né Se sobressair desse ataque é ter políticas estab cdas para backup por exemplo tá então eh se você sofre um ataque de Hanser mas você tem backup feito de forma razoável E adequada do seu do seu ambiente você vai

conseguir eh contornar esse ataque de forma mais Sutil tá então são são várias as as formas da gente fazer isso é claro que esse processo de gestão de vulnerabilidades que a gente mostrou auxilia de alguma forma Tá tinha uma outra pergunta também que eu tinha deixado aqui que eu ia respondendo no final Esse foi o Paulo Eustáquio Coelho ele perguntou assim eh utilizamos ferramentas como E aí me me perdoe a pronúncia CL clarot e nosom clarot nosom enfim que são ferramentas eh pagas minha dúvida era se você conhecia alguma ferramenta open source para scanning em

ambiente de automação assim essas duas ferramentas que o Paulo citou eh eu eu conheço elas assim bem pouco tá mas pelo que eu conheço delas eu sei que elas eh fornecem elas fornecem mais funcionalidades do que apenas o Scan de vulnerabilidades por exemplo então eu sei que elas fornecem por exemplo eh um serviço de ids para poder ficar escutando na rede encontrando ali eh possíveis comportamentos maliciosos tá falando de Sistemas de Automação de de ot e etc então assim eh talvez Paulo você você consiga implementar diversas ferramentas que são open source de forma eh paralela

funcionando em conjunto para conseguir o que essas ferramentas pagas elas entregam tá E assim eh novamente eu conheço bem por cima essas ferramentas que o Paulo citou mas pelo que eu entendo você consegue substituir de alguma forma mas só que não com uma ferramenta só você precisaria de implementar várias ferramentas ali para poder eh atender o que essas ferramentas pagas entregam tá Ah Deixa eu ver se tem mais alguma pergunta aqui eh que se se sobressaiu Então teve um comentário aqui do eh Deixa eu confirmar o nome do do Euclides que foi foi meio um

um comentário que ele fez não chega a ser uma pergunta então então a dinâmica é gerar relatórios via buscando openvas para o host ou todos os hosts alvos e importá-los para o defect doj eh Exatamente isso Euclides a gente tá falando desse processo né a gente tem aqui testes que precisam ser feitos para você encontrar as vulnerabilidades e aqui né falando Ah fazendo uma brincadeira assim qual ferramenta que é mais importante assim na minha opinião nesse cenário cada ferramenta tem a sua importância mas o defect doj ele vai ser muito mais fundamental no processo como

um todo porque ele vai ser utilizado para você fazer ali as estatísticas para você identificar eh e classificar as vulnerabilidades então assim sim a dinâmica é essa você tem ali testes que são feitos e através do openvas através do Net audit através do prowler para sistemas eh em nuvem por exemplo E aí eh pensando nisso a gente tem ali a identificação da vulnerabilidade você usa o defect doj para poder eh é imputar os dados de vulnerabilidad para você ter um controle ah essa vulnerabilidade aqui foi tratada essa vulnerabilidade precisa ser tratada ah essa vulnerabilidade aqui

ela eh e alguém comentou sobre isso Ela é crítica né ela tem um cvss ou mesmo um epcs alto mas só que pro meu pro meu ambiente e não não é tão aplicável assim sabe eu tenho mitigações adicionais para essa vulnerabilidade O que que você pode fazer você pode ir lá no defect Dojo e por exemplo modificar o um score pro seu ambiente em específico você você pode fazer isso isso é recomendado porque a gente precisa dar as devidas priorizações então a gente precisa corrigir aquelas vulnerabilidades que podem trazer o impacto e tem um risco

maior de acontecer nos nossos ambientes tá deixa eu ver se tem mais alguma eu acho que será que pingou alguma pergunta nova agora deixa eu ver aí Ah tem uma pergunta aqui do Miller Santos qual a diferença dessa combinação openvas mais defect doj para o azul Ah é verdade eu vi bastante pessoa comentando sobre o azul e na verdade o azul e eu entendo o funcionamento dele é mais Como assim um um cen como um uma ferramenta que você coloca na rede ou nos ativos de rede para ficar escutando o que tá acontecendo tá então

por exemplo Ah e você coloca agentes ou não imagino que o azul também funciona sem agentes e você coloca ali o azul na sua rede ele fica escutando vendo o que que tá acontecendo entendeu então o funcionamento do azul é um pouco diferente do openvas o open Vas ele vai mais na linha da da proatividade né você busca encontrar as vulnerabilidades que estão no seu ambiente enquanto que o azul ele aponta a o que aconteceu ali tá E aí o defect dojô como eu falei ele é utilizado ali para fazer a gestão de vulnerabilidades eh

para você poder ter um controle de forma estatística e com dados de quais vulnerabilidades estão no seu ambiente para você ter ali uma visação mais bonita e etc tá E aí tem uma pergunta também do Elvis Barreto Mateus você tem processo de saste e Dust bom eh o defect Dojo ele funciona muito bem quando a gente tá falando de sast D tá ele funciona muito bem você consegue eh fazer ali algumas importações nele de ferramentas que podem ser utilizadas no processo de sast D naquela parte de Devid secops Na verdade o intuito principal que o

defect doj iniciou né o intuito principal dele foi justamente fazer essa parte de sec devops tá eh só que a gente utiliza ele dessa dessa outra forma eh porque também atende muito bem para você ver como que é robusta essa ferramenta tá E aí né fo teve mais uma pergunta do do azul acho que foi até o Miller que fez novamente eh tem uma pergunta do César L eh César Loureiro trava línguas aí eh eh quando realizo um Scan na rede toda pelo openvas preciso criar antes todos os todos os dispositivos no defect dojô antes

de importar Boa pergunta César eh na verdade não você pode executar o openvas os Scans no openvas e depois E aí inclusive né Eu acho que alguém perguntou sobre os scripts eh quando eu precisei fazer em massa né quando eu precisei fazer em massa esse essa importação que que eu fiz eu gerei ali todos os relatórios no openvas né eu eh gerei ali todos os Scan no openvas realizei os Scans E aí Obviamente você precisa de fazer aquela você precisa de fazer aquele e importação Inicial né configurar os ativos no openvas não tem como você

sair disso né você tem que fazer essa parte o openvas ele permite que você faça algumas automações V linha de comando mas só que esse não é o lado mais forte do openvas né geralmente a gente precisa fazer isso de forma manual mesmo e aí que o que que o que que eu fiz depois de ter todos os Scans executados eu montei um script né que foi o script e m add New product se eu não me engano É acho que foi isso vou abrir aqui para vocês eh esse script que aí o nome ele

já é um pouco sugestivo né é um script para criar os products no openvas de forma massiva tá então eh Pelo menos você não vai precisar ter o retrabalho de cadastrar product por product você consegue fazer isso utilizando o Api do do do defect doj né E aí esse foi o script que eu que eu que eu que eu que eu montei né só que aí no caso para cada cenário e você pode fazer do jeito que você bem entender mas entenda que não é necessário você criar tudo de forma manual no defect doj você

pode utilizar o script para automatizar essa sua essa sua criação tá aí tem esse script aqui que foi o que eu utilizei no para criar E aí aquela dica né não esqueça nunca de alterar esse token aqui da Api para poder você comunicar diretamente com o endp de forma correta tá vamos ver se tem mais alguma mais alguma pergunta hã Mateus Camargo você utilizam o burp ou aspap para testes de aplicações bom eh assim aqui no na na equipe aqui do Kis né eu trabalho dentro da da da área que faz eh segurança ofensiva especificamente

então sim a a gente utiliza extensamente o burp e o zap para fazer teste de aplicações eh é são assim Acho que as ferramentas eh mais adequadas para fazer esse tipo de teste tá então a gente utiliza isso fortemente para poder fazer eh esse tipo de teste em aplicações eh e de certa forma a gente consegue importar dentro do defect Dojo também o resultado desses desses testes mas quando a gente tá falando de testes em aplicação web geralmente é um trabalho que é feito mais de forma manual Então a gente vai lá e importa Finding

por Finding em vez de importar um relatório como que a gente faz isso no defect a gente vem aqui né vou aqui no meu product e por exemplo ã vem aqui em findings e eu em vez de importar um Scan eu importo um Finding só né lembrando daquela nossa estrutura que a gente mostrou os findings se a gente for traduzir assim diretamente os findings nada mais são do que as vulnerabilidades em si e aí eu consigo colocar aqui eh a parte do dos detalhes e tal tá então eh é uma forma da gente fazer geralmente

quando a gente tá falando de de eh análise em aplicação web assim que a gente faz o Import tá de forma manual porque os testes para aplicação web geralmente são de forma manual ah mas tem ferramentas que fazem testes automatizados em aplicações Web sim tem o defect Dojo também aceita esse Import mas a gente sabe que eh o ideal quando a gente tá falando de aplicação web é fazer de forma manual mesmo não tem muito para onde fugir e aí né alguém tinha perguntado né comentado eu não lembro exatamente Quem foi perdão por esse meu

esquecimento sobre a questão do epss Como Eu mencionei na resposta o openvas ele gera ali a classificação Inicial dele somente pelo cvss quando você importar aqui você consegue por exemplo vir aqui e fazer uma uma classificação de acordo com o epss tá então você pode fazer isso que o epss é aquele score que é baseado n Chan De acontecer uma exploração enfim tá voltando para as perguntas minha dúvida sobre as credenciais É justamente no logon no openvas não consegui integrar com o AD para atender a isso tive de criar os usuários de acesso Ah entendi

tá é eu pensei eu pensei nesse caso quando você mencionou porque realmente poderia estar relacionado a isso mas quando a gente tá falando de de usuários no openvas eh Realmente você não você não consegue fazer isso você não consegue fazer essa integração com com AD é uma limitação que o openvas tem tá Ah beleza meu pergunta do Gelson Júnior Meu servidor tem segundo fator de autenticação ativado além da conexão via sshh o openvas consegue fazer essa conexão rapaz ele não vai conseguir não se você tem um mfa ele não vai conseguir fazer fazer a autenticação

no seu servidor não porque ele não suporta eh mfa por enquanto tá se se você tem um servidor que tá com segundo fator de autenticação eh ativado e você precisa de fazer um teste de segurança o ideal é que você abra uma janela e durante essa janela você desabilite os segundo fator Execute o Scan e no término da janela você já Ative o segundo fator de autenticação de forma rápida para ter menos risco de segurança Tá mas o openvas ele não suporta a autenticação utilizando segundo fator pergunta do Gelson Júnior tem um servidor que tem

Ah eu acho que é É acho que é a mesma pergunta né então beleza Alberto Júnior o opennet audit funciona para cisco e e outras marcas sim ele funciona eh funciona é muito bem inclusive o bom do do opennet audit é o fator Open dele então você consegue de certa forma modificá-lo para poder incluir Ah eu tenho um servidor que o net audit por padrão ele não não consegue você pode fazer ali modificações e fazer o tunning nele para ele conseguir eh fazer a leitura de outros outras modelos marcas e fabricantes tá uma pergunta do

pergunta do Cásio Barbosa se o equipamento alvo for uma máquina com Windows é necessário instalar algum agente Ah é boa pergunta cáo Barbosa outras pessoas também perguntaram sobre isso e não o invas ele não necessita de agente eh ele faz uma ele tem uma um Scan com uma visão externa se você tiver falando sobre ah não mas eu quero ter uma uma visão ali das bibliotecas que estão na execução tem eu tenho um um software que tá executando e ele não tá exposto para fora daí para você conseguir ter essa visão você precisa de fazer

um teste autenticado E aí você vai lá no openvas configura as credenciais né E aí você consegue ter uma visão interna do do do ativo que você tá analisando Ah beleza Pera aí vou deixa eu ver aqui Alan szu Alan izu o azul mais Open vice fica bom cara com certeza fica bom é não é é exagero quando a gente tá falando de segurança da informação não existe exagero a gente precisa de aplicar ali eh os a maior quantidade de controles possíveis porque eh você pode ter certeza que os atacantes eles vão ali fazer o

melhor deles então a gente precisa fazer o nosso melhor também dentro das nossas possibilidades para conseguir elevar o nível de maturidade de postura de segurança das nossas instituições tá Alberto Silva Mas qual o motivo de ter que exportar para o defectos dojô então o motivo principal Alberto de você exportar para o defect Dojo É porque no openvas se a gente tiver falando de openv somente você não vai ter uma visão por exemplo de vulnerabilidades com o passar do tempo tá então ah eh eu tenho eu tinha um ambiente que foi analisado em setembro por exemplo

e ele tinha 20 vulnerabilidades só que a minha equipe atuou fortemente e corrigiram sobraram só três vulnerabilidades quando você executa isso de novo Eh em outubro você vai ter menos vulnerabilidades só que para alguns cenários específicos a gente precisa de ter esse histórico tá então a gente utiliza o defects dojô para isso por exemplo porque você consegue fazer a gestão melhor no defect dojô das vulnerabilidades e ter esse controle com o passar do tempo tá então por isso que no meu ponto de vista no processo de gestão de vulnerabilidades o defect Dojo ele é crucial

porque que ele permite que a gente tenha esse controle maior das vulnerabilidades no ambiente tá embora se você não tiver ali os meios para poder encontrar as vulnerabilidade o seu processo também ele vai est deficiente Então as ferramentas se complementam uma pergunta do Anderson Vieira o openvas em docker funciona bem Recomendo o uso dele Cara eu já utilizei o openvas em docker tá eh se você ir lá na página do de instalação né da documentação do openvas eles recomendam eh o docker somente para ambientes não produtivos se eu não me engano é isso Tá Mas

funciona bem De certa forma não assim nunca tive nunca tive problema tá Douglas ti também fez uma pergunta qual o nome da ferramenta que você usa na empresa consegue mandar o nome do chat é essa pergunta aqui eu acheo que é muito invasiva aí foi mal aí Douglas eu não vou responder essa não cara Márcio Hm bom dia Mateus o open Vas é uma alternativa à altura do nessos cara a gente tá falando de nessos e openvas é um pouco complicado aí porque o nessos é uma ferramenta que é paga né então eh a gente

tem por exemplo a versão do openvas que é o Green B que ele tem a versão paga também tá então o o nessus ele entrega eh parecido com o openvas mas do meu ponto de vista o nessus ele tem ali uma interface que é mais amigável uma interface que eh permite talvez quando a gente tá falando de n a gente pode eh excluir do nosso processo de gestão de vulnerabilidades o defect dojô porque essa parte da dos dados de estatísticas de vulnerabilidades o nessos faz muito bem então quando a gente tá falando de nessos eh

a gente talvez eh eh possa excluir da do seu Parque o defect doj porque o nessos ele já vai atender só que a gente sabe que o nessos é pago e ali as as licenças do Ness geralmente não são muito muito baratas Ainda mais quando você precisar escanear por exemplo tav tinha bastante gente comentando aí sobre eh barra 16 escanear com nessos Esquece porque no nessos Pelo que eu sei é baseado em licenças então para você ter ali barra 16 de licença você vai ter que pagar muita grana e e não não é aplicável tá

então assim eh o openvas ele é uma alternativa ao nessos sim e né eh não sei se eu comentei Eu não lembro se eu comentei durante o vídeo mas essas essas duas ferramentas elas são muito boas e muito recomendadas quando a gente tá falando de um uma empresa que tá iniciando no processo de gestão de vulnerabilidades tá a gente vai iniciar o nosso processo de gestão de vulnerabilidad bom você tá iniciando você não precisa já ir de cara comprar um nessos por exemplo você faz ali uma uma abordagem Inicial entendendo o processo entendendo como que

ele se Desenrola usando essas ferramentas que são free E aí evolutivamente né Com o decorrer e com a evolução da maturidade do processo você pode migrar para uma ferramenta paga por exemplo que ela vai entregar algumas a mais que só o openvas não entrega por exemplo tá uma pergunta do Mauro Almeida existe agente do openvas para ser instalado bom já outras pessoas já perguntaram sobre isso e não não precisa de agente no openvas ele funciona é sem a gente Alan Cristian fez uma pergunta quanto a performance do openvas O que é mais prioritário para tuning

da máquina CPU ou memória cara então assim é o o ideal é a gente fazer algo algo balanceado tá você não pode eh instalar ali tipo ah você tem um bastante memória se eu não me engano recomendado do openvas se eu não me engano acho que é 4 GB de memória assim é bem bem pouco mas não adianta nada você colocar 16 GB de memória mas você não não tem um um CPU que vai que vai entregar eh de processamento então assim e a gente você pode pensar em algo equilibrado tá Não não precisa não

precisa esquentar a cabeça muito em fazer isso até porque embora o openvas ele tenha a fama de Principalmente quando você tá escaneando em eh em estâncias mais antigas você pode travar essa Estância né você tá rodando um servidor antigo sem recurso pode travar então é por isso que é importante você fazer eh em em em ambientes que são eh em ambientes não em horários que são ali estratégicos né pro negócio para não causar ali um prejuízo eh mas eh você fora essa parte você não precisa esquentar muito a cabeça com o tunning do da sua

máquina eh física ou que quer que seja do openvas em si o CPU ou a memória dele é só você trabalhar ali no padrãozinho nos recomendados que vai funcionar muito bem tá então acho que basicamente era isso eh eu queria falar com vocês sobre o o net audit Eu já comentei eh mostrei para vocês aqui no defect do Jô sobre a parte do das duplicadas e também mostrei a parte dos grupos no openvas bom acredito que da minha parte aqui é isso eu agradeço mais uma uma vez a oportunidade aí eu gostaria de eh chamar

aí o pessoal do Nick porque eu já estou me despedindo por hoje muito obrigado pessoal Ah obrigado Mateus muito boa sua aula e o pessoal tava cheio das perguntas né uma coisa legal de comentar já que você tocou no no tema hw backup é que Olha vou dar um spoiler para vocês semana que vem na quarta-feira a gente preparou um episódio do camada o para quem ouve o nosso camada oito Olha tem ó spoiler onde a gente vai estar falando exatamente desse assunto né em comemoração a esse mês de outubro agora que é o mês

que faz toda essa parte da conscientização de segurança cibernética e a gente convidou uma colega do Mateus eh que trabalha lá no cai RNP Então vai ter uma complementando mais esse conteúdo né a gente chamou a Cristiane Rodrigues que é coordenadora de segurança lá e ela falou bastante sobre esse assunto né sobre os ataques de hw O que que você precisa fazer para se proteger é importância do backup então bem legal quem já escuta o camada 8 ativa lá o Sininho para receber as notificações e o camada 8 pessoal ele tá disponível em nas principais

plataformas de streams e também tá lá no YouTube você pode ouvir o camada oito Episódio completo lá no YouTube também então assina o canal faz um comentário que que que tá bem legal e pessoal o certificado então inscrições até às 14 horas lembra Vocês precisam se inscrever aqui no curso de hoje é um certificado por dia então se inscreve lá e depois vocês vão receber um segundo link que é para vocês confirmarem a a presença de vocês Ah não recebi o link tive problema manda o e-mail pra gente eventos @nico problema que você teve que

o pessoal vai ajudar vocês queria também falar eh e as ó só voltando lá as inscrições até à 14 viu então você só pode se inscrever até às 14 horas voltando aqui agora semana de capacitação Olha esse aqui é o nosso terceiro dia amanhã a gente tem mais pessoal então a gente espera que vocês voltem amanhã e amanhã a gente tá com uma aula preparada sobre SD One descomplicando Como transformar sua rede com eficiência e a gente chamou ali o pupim né lá da da fiberx lá então ele vai est falando um pouquinho isso daí

para vocês tá então bem legal a aula não percam e a parte que todo mundo gosta o nosso sorteio vamos ver quem foi que ganhou hoje aqui o sorteio O Vencedor de hoje é o da Silva parabéns a AD você vai receber o nosso kit Nick o pessoal vai entrar em contato com você falando o que você precisa fazer para receber o nosso kit e agora o agradecimento aos nossos patrocinadores queremos agradecer a Ug brphonia Telecom intercol zex made for it soluções inem ti a IC e o apoio de mídia da revistas rti queria pedir

Agora para vocês colocarem o vídeo do cidadão na rede por [Música] favor pessoal gostaram gostaram da da Live como é que foi digam aí no chat ch se gostaram se não gostaram não tô vendo ninguém ninguém dizer nada aí tô tô estranhando ah Top Show Agora sim tem um delayzinho né Eu não tô acostumado aqui com com esses Delis muito bem o pessoal tá fazendo muitos elogios Muito bem quero agradecer novamente o o Mateus por ter preparado esse curso foi excelente gente vocês todos que estão dizendo que gostaram Então quem não deixou seu like deixe

seu like aí no no no YouTube deixe seu like se estiver vendo pelo Facebook eh Compartilhe o link com os colegas para que eles possam assistir o mesmo link que você tá assistindo agora já fica disponível imediatamente aí no YouTube pode já sair compartilhando fala pro pessoal assistir a aula de hoje que foi muito boa realmente se inscrevam também no canal do nickbr no canal nickbr vídeos no YouTube para não perder nenhum conteúdo desse tipo temos sempre conteúdos novos e eu quero lembrar novamente vocês da sobre a semana de infraestrutura da internet no Brasil que

vai ser em dezembro aqui em São Paulo vai ser no Vila Blu Tree na zona sul de São Paulo então 9 a 13 de dezembro é nessa semana a gente tem uma série de eventos que falam sobre internet sobre infraestrutura da internet então a semana começa com os super tradicionais GTR e GTS que são as reuniões do grupo de trabalho de engenharia de redes grupo trabalho de segurança né esses grupos de trabalho existem aí desde antes do nickbr eh em forma de listas de email onde o pessoal discute vários temas de engenharia de redes de

segurança e são eventos técnicos com palestras técnicas preparados pelo pessoal que participa dessas listas de discussão desses grupos preparados pela comunidade técnica para a comunidade técnica São eventos super interessantes vale a pena assistir depois a gente tem os X fórums desculpa a gente tem o x fórum o x Forum 18 que é a reunião dos usuários dos ptts dos usuários do xbr dos participantes do xbr né é a reunião dos sistemas autônomos aqui da internet no Brasil então a gente espera o máximo de de provedores de sistemas autônomos de participantes do PTT aí que forem

possíveis que estejam aqui presentes que participem que também é um evento técnico também é um evento com discussões sobre infraestrutura da internet temos o nosso tradicional Beer Pier and Gear né que é a nossa confraternização também com oportunidades de Network oportunidades para você fazer acordos de piring eh oportunidade para você conhecer nossos patrocinadores as ofertas de de Gear né Pier Bear and Gear eh e tomar cerveja com a gente bater papo também aí durante a semana então é um evento muito muito legal para você vir presencialmente na sexta-feira temos o fórum deop com a premiação

do desafio o bop tá então marquem a data na agenda 9 a 13 de dezembro se puderem venham presencialmente a São Paulo porque vale muito a pena o networking vale muito a pena Vem muita gente também de fora do Brasil para cá e se não puderem assistam a transmissão online que vai acontecer também Ok eh Agradeço a todos reforço aí para quem não preencheu ainda o formulário de avaliação da Live de hoje do do curso de hoje por favor encha né se se puder colocar algum comentário lá sobre pontos que a gente precisa melhorar coloa

um comentário lá e vai ser muito bom isso daí pra gente muito obrigado muito obrigado pela participação de todos muito obrigado pro Mateus e a gente se vê amanhã a gente encerra por aqui a Live de hoje l