Você já se perguntou como hackers e criminosos cibernéticos encontram brechas em sistemas e redes? Gostaria de aprender a pensar como eles, mas com uma intenção muito diferente?
Faltam Para Início do Treinamento
Dias
Horas
Minutos
Segundos
O que é o Teste de Penetração?
O Teste de Penetração, também conhecido como Pentest, é uma técnica de avaliação de segurança que visa identificar vulnerabilidades em sistemas, aplicativos e infraestruturas de rede. Ao simular ataques reais, um profissional de Teste de Penetração pode descobrir falhas antes que criminosos cibernéticos as explorem.
O mercado de Teste de Penetração (Pentest) e os serviços oferecidos nessa área trazem diversas vantagens tanto para as organizações quanto para os profissionais envolvidos.
Veja algumas vantagens:
Identificação de Vulnerabilidades: O Pentest permite que as organizações descubram vulnerabilidades e falhas em seus sistemas, aplicativos e infraestrutura de rede. Essa identificação antecipada possibilita que medidas corretivas sejam tomadas antes que criminosos cibernéticos explorem essas brechas.
Proteção contra Ataques Cibernéticos: Ao realizar testes de penetração regularmente, as organizações podem fortalecer sua postura de segurança e reduzir os riscos de ataques cibernéticos. Isso resulta em maior proteção para os dados confidenciais, reputação preservada e evita prejuízos financeiros decorrentes de violações de segurança.
Conformidade com Regulamentações: Muitos setores, como o financeiro e o de saúde, possuem regulamentações específicas de segurança de dados. A realização de Pentests ajuda as organizações a cumprir essas regulamentações e garantir que seus sistemas atendam aos requisitos de segurança exigidos.
Melhoria Contínua: O Pentest não é apenas uma avaliação pontual, mas um processo contínuo. Ao realizar testes regularmente, as organizações podem monitorar a eficácia de suas medidas de segurança e identificar áreas que precisam de melhoria. Isso contribui para uma cultura de segurança em constante evolução.
Demanda Crescente: O número de ataques cibernéticos está aumentando, e as organizações estão cada vez mais conscientes da importância de proteger seus ativos digitais. Isso resulta em uma demanda crescente por profissionais de Pentest qualificados e experientes.
Oportunidades de Carreira: Os profissionais de Pentest têm um amplo leque de oportunidades de carreira. Podem trabalhar em empresas de segurança cibernética, consultorias, órgãos governamentais, instituições financeiras e até mesmo como consultores independentes. Além disso, podem progredir para cargos de liderança, como especialistas em segurança, arquitetos de segurança ou gerentes de segurança de TI.
Remuneração Atrativa: Devido à alta demanda e à escassez de profissionais qualificados, os especialistas em Pentest geralmente recebem salários competitivos. Além disso, o trabalho freelance ou como consultor autônomo pode proporcionar oportunidades de ganhos adicionais.
"Esteja um passo à frente dos invasores com nosso treinamento prático CTF em segurança cibernética."
Professor
Marcos Pitanga
Engenheiro Computacional
Marcos Pitanga é CISO – Chief Information Security Officer e DPO – Data Protection Office e atua nas áreas de Segurança da Informação, LGPD e Big Data Analytics com Hadoop, Spark, Machine Learning, Deep Learning, Inteligência Artificial e Linux.
Tem mais de 33 anos em TI/TCOM, pós graduado em Seg. da Informação pela Estácio de Sá e LGPD/GDPR pela IESB Brasília, Segurança da Informação, Clusters de Alto Desempenho. Tem passagens por grandes corporações com Altair Engineering, Sun Microsystems e IBM. Foi um dos primeiros instrutores da Cisco Network Academy. Autor dos livros Construindo Supercomputadores com Linux, Computação em Cluster e Honeypots a arte de iludir hackers.
Acesso a Gravação
por 4 meses
48 Horas
de Duração
Sábado das 9:00h
às 18:00h
Pagamento Facilitado
em até 12 vezes
Conheça mais sobre o contéudo do treinamento
Início dia 07/10 das 9h às 18h - 6 Sábados
Metodologia
A oferta dos conteúdos aqui definidos ocorre por meio da adoção de estratégias de aprendizagem que são mediadas por recursos tecnológicos utilizados de forma articulada a fim de atingir a plenitude dos objetivos pedagógicos, pautando-se em uma dinâmica com atividades online – utilizando a plataforma de aprendizagem on-line zoom, com aulas ao vivo, durante quatro horas diárias.
No ambiente virtual de aprendizagem (AVA) são disponibilizados conteúdos, atividades didáticas e avaliativas tais como: práticas baseadas em resolução de jogos estilo CTF – Capture The Flags.
Os alunos desse treinamento devem dedicar parte significativa de seu tempo ao estudo individualizado do material disponibilizado e executar as para apoiá-lo no desenvolvimento e organização de suas atividades corporativas.
Entre os recursos metodológicos utilizados para a promoção do estudo individualizado, destacam-se:
1. Transparências das aulas, em formato PDF, com conteúdo desenvolvido por meio das abordagens didáticas e do debate atualizado da área de conhecimento. Trata-se de material fundamental para a compreensão do referencial teórico da disciplina, fazendo ponte para a Bibliografia recomendada aos alunos.
2. Ambientes Desenvolvidos para Simulação de Ataques: são compostos por máquinas virtuais, de domínio público, com vulnerabilidades reais, expostas no ambiente para serem exploradas pelos alunos. Simulando um ambiente realístico sobre as ações de Pentest a serem executadas no treinamento. Alguns ambientes são conhecidos e fornecidos de forma pública por alguns fornecedores do mercado.
Conteúdo Programático | Totalmente Prático baseado em CTF – Capture The Flags
A. Introdução ao Ethical Hacking
- Razões para um Pentest
- Implicações Legais e Marco Regulatórios
- Estratégias de Pentest
- Ameaças
- Fases de um pentest
- Padrões e metodologias (Mitre Att&CK, PTES, NIST, OSSTMM, …)
- Escopo e planejamento
- Recuperação de Desastres e níveis de profundidade dos ataques;
B. Coleta de Informações
- Footpriting e Enumeration
- OSINT
- Google Dorks
- Enumeração Passiva
- Reconhecimento Ativo e Enumeração
- Hosts, Serviços, Rede, Topologias e Tráfego de Rede;
- Coleta de Informações e Código
- Técnicas de Evasão
- Laboratórios e Ferramentas
C. Escaneamento de Vulnerabilidades
- Identificando os requerimentos para análise de vulnerabilidades
- Politicas corporativas
- Alinhamento com os compliances do mercado
- Varreduras ativas/passivas
- Análise dos resultados
- Montagem do relatório
- Correção dos problemas
- Laboratórios e Ferramentas
- Analisando os resultados
- Entendendo os CVSS
- Criando uma análise de riscos
- Validando Falsos positivos de Falsos Negativos
- Classificando as ameaças e criando um plano de análise de riscos
- Laboratórios
D. Explorando Vulnerabilidades de Rede
- Conduzindo Explorações de Rede
- DNS Cache Poisoning
- DoS Attacks e Stress Testing
- NetBios Name Resolution Exploits
- SMB Exploits
- SNMP Exploits
- SMTP Exploits
- FTP Exploits
- Samba Exploits
- Password Attacks
- Acesso remoto
- SSH
- Netcat
- TOR e ProxyChains
- Ataques direcionados a containers e VM’s
- Cloud Attacks
- Laboratórios, Ferramentas e CTF
E. Explorando e Pivotando
- Exploits e Ataques
- Identificando e pesquisando as bases de exploit
- Recursos de exploit
- Ataques de Credenciais em Plataforma Linux e Windows
- Ataques de força bruta e por dicionários
- Ferramentas de auxilio externa para quebras de senhas
- Exploits Tollkits
- Metasploit
- PowerSploit
- BloodHound
- Exploits Específicos
- RPC/DCOM
- PsExec
- WMI
- SMB/DNS
- Scheduled Tasks e cron Jobs
- VNC, RDP, SSH
- Dentre outros
- Pós Exploitation
- Meterpreter
- Cross Compiling
- Backdoors
- Cobrindo as “pegadas”
- Daemons e Serviços
- Permissões vulneráveis
- Pivoting
- Laboratórios e CTF
F. Web Application Hacking
- Exploiting Injection Vulnerabilities
- Input Validation
- Web Application Firewalls
- SQL Injection Attacks
- Code Injection Attacks
- Command Injection Attacks
- Exploiting Authentication Vulnerabilities
- Password Authentication
- Session Attacks
- Exploiting Authorization Vulnerabilities
- Insecure Direct Object References
- Directory Traversal
- File Inclusion
- Privilege Escalation
- Ferramentas goburster, OWASP ZAP, BurpSuite, SQLMap, frameworks diversos.
- Laboratórios de CTF
"Pratique suas habilidades de pentest em um ambiente controlado de CTF."
