Título
Plataforma de registo e gestão de resultados de testes de intrusão e auditorias automáticas
Autor
Cananão, Pedro Jorge Duarte Carrilho Pereira
Resumo
pt
Com o crescimento a nível dos sistemas de informação e do número de empresas
que cada vez mais utiliza os mesmos, vai existir uma necessidade de se realizar
auditorias à segurança dos sistemas.
Normalmente numa auditoria, o auditor que realiza os testes vai usar vários
métodos e ferramentas para realizar os testes, e cada uma dessas ferramentas geram
um relatório diferente em relação à outra, e no final disto tudo vai ser necessário
realizar um relatório para se entregar à organização com os resultados de todos os
testes, mas atualmente ainda não existe nenhum template para estes relatórios.
Como tal existe a necessidade da criação de uma plataforma para as empresas
que realizam as auditorias na qual seja possível agregar os resultados destas auditorias,
fazendo com que esta informação seja guardada para mais tarde, se for
feita uma nova auditoria ao mesmo sistema, seja possível verificar se as ameaças
e as vulnerabilidades foram mitigadas para assim a organização responsável fazer
uma melhor gestão da segurança do sistema.
Para tal foi efetuada esta investigação que resultou numa plataforma que tem
como propósito tentar ajudar os auditores nesta tarefa, bem como possibilitar
aos mesmos que possam utilizar ficheiros que são criados a partir de programas
que fazem a pesquisa automaticamente por vulnerabilidades, para registarem as
suas vulnerabilidades para além de ser só manualmente. Esta plataforma oferece
também a possibilidade de classificar as vulnerabilidades utilizando um sistema de
classificação bastante conhecido por parte dos auditores de segurança para assim
permitir que as mesmas estejam com o maior detalhe possível.
en
With the growth in regard of information systems and the number of companies
that increasingly uses them, there will be a need to perform security audits to the
systems.
Normally in an audit, the auditor that performs the tests will use several
methods and tools to perform the tests, and each of these tools generate a different
report in relation to the other, and at the end of it all the different reports will be
necessary to make a final report to deliver to the company with the results of all
tests, but currently there isn’t still a template for these reports.
As such there is a need to create a platform for companies that are responsible
for performing audits, with the objective of aggregating the results of these audits,
so that this information is saved for later use, for when it’s made a new audit of
the same system, it is possible check the threats and vulnerabilities that were
mitigated so as the responsible organization can do a better management of their
system security.
Thanks to this a need for a platform of this type had to be researched, and this
investigation is a result of this. The platform aims to help the people responsible
for the audits by providing the means to insert vulnerabilities manually or by
using a file from a vulnerability scanner. This platform also offers to it’s users a
vulnerability scoring system that is very well know by most auditors, and thanks to
it, the vulnerabilities that are registered have more details that can help everyone
understand them.