Análise de aplicações no sector financeiro: vulnerabilidades e mitigações

Detalhes bibliográficos
Autor(a) principal: Vieira, Tiago Miguel Paulino
Data de Publicação: 2016
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10071/13240
Resumo: A segurança de tecnologias de informação é actualmente uma preocupação crescente para indivíduos e organizações. Esta preocupação é ainda maior no sector financeiro, não só pelas quantias monetárias envolvidas, mas também pela informação sensível e privada de clientes e organizações. Como meio de aferir segurança de infraestruturas, redes, aplicações web e muitos outros activos tangíveis ou intangíveis, organizações estão a investir em testes que simulam o comportamento de um atacante malicioso mas, num ambiente controlado para identificar as suas próprias vulnerabilidades. Esta dissertação foca-se na análise dos resultados de auditorias de segurança conduzidos em diversas aplicações financeiras de uma entidade reguladora do sector com auxílio de ferramentas automáticas para avaliar o seu nível de maturidade. Para alcançar esta análise e classificação de risco com testes de intrusão, o processo foi idealizado de raiz desde a definição das “rules of engagement”, escolha da abordagem de testes, seleção de web scanners, realização de testes de intrusão, confirmação de vulnerabilidades e classificação das mesmas. Para registo e apresentação de resultados da auditoria de segurança e priorização de intervenções, foi criado um painel de instrumentos para acompanhamento das vulnerabilidades encontradas em qualquer auditoria de segurança categorizadas com a classificação de risco CVSS v3.0 e capaz de gerar relatórios – o resultado formal de qualquer auditoria baseada em testes de intrusão. Com base nesta auditoria, pode ser estabelecida uma relação com outras entidades reguladores no sector acerca das vulnerabilidades emergentes cujas aplicações web se baseiam nas mesmas tecnologias. Para concluir, as vulnerabilidades encontradas foram mapeadas contra os sistemas de vulnerabilidades mais comuns e severas como o OWASP Top 10 e identificado o impacto no regulador e entidades reguladas.
id RCAP_d1f272d898d074c17c98a545451c71d0
oai_identifier_str oai:repositorio.iscte-iul.pt:10071/13240
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Análise de aplicações no sector financeiro: vulnerabilidades e mitigaçõesAuditoriaSegurança informáticaWeb securityAnálise de riscoSector financeiroFinance sectorPentestingPenetration testingVulnerabilityRisk analysisDashboardCVSS v3.0A segurança de tecnologias de informação é actualmente uma preocupação crescente para indivíduos e organizações. Esta preocupação é ainda maior no sector financeiro, não só pelas quantias monetárias envolvidas, mas também pela informação sensível e privada de clientes e organizações. Como meio de aferir segurança de infraestruturas, redes, aplicações web e muitos outros activos tangíveis ou intangíveis, organizações estão a investir em testes que simulam o comportamento de um atacante malicioso mas, num ambiente controlado para identificar as suas próprias vulnerabilidades. Esta dissertação foca-se na análise dos resultados de auditorias de segurança conduzidos em diversas aplicações financeiras de uma entidade reguladora do sector com auxílio de ferramentas automáticas para avaliar o seu nível de maturidade. Para alcançar esta análise e classificação de risco com testes de intrusão, o processo foi idealizado de raiz desde a definição das “rules of engagement”, escolha da abordagem de testes, seleção de web scanners, realização de testes de intrusão, confirmação de vulnerabilidades e classificação das mesmas. Para registo e apresentação de resultados da auditoria de segurança e priorização de intervenções, foi criado um painel de instrumentos para acompanhamento das vulnerabilidades encontradas em qualquer auditoria de segurança categorizadas com a classificação de risco CVSS v3.0 e capaz de gerar relatórios – o resultado formal de qualquer auditoria baseada em testes de intrusão. Com base nesta auditoria, pode ser estabelecida uma relação com outras entidades reguladores no sector acerca das vulnerabilidades emergentes cujas aplicações web se baseiam nas mesmas tecnologias. Para concluir, as vulnerabilidades encontradas foram mapeadas contra os sistemas de vulnerabilidades mais comuns e severas como o OWASP Top 10 e identificado o impacto no regulador e entidades reguladas.Information security is today an increasing concern for individuals and organizations. This concern is even greater in the finance sector, not only because the financial amount involved but also clients and organization’s private and sensitive information. As a way to test security in infrastructures, networks, deployed web applications and many other important tangible and intangible assets, organizations have been performing penetration testing which simulates an attacker’s behavior in a controlled environment in order to identify its own vulnerabilities. This work focus on the analysis of the results of security audits conducted on several financial web applications from one market regulator institution with aid of automatic tools in order to assess their web applications maturity security level. In order to accomplish this security analysis and risk classification with penetration testing, the full process was built from scratch - from the defining the rules of engagement, choosing the approach, selecting the web scanners, conducting the penetration testing, confirming vulnerabilities and identifying mitigations, and classifying vulnerabilities. In order to register and show results of the security audit and for mitigation prioritize, a web dashboard was developed to keep track of vulnerabilities found in any security audit categorized with CVSS v3.0 and able to build reports - the formal result of any pentest-based security audit. Based on this security audit, a correlation with other regulator entities can be made and what vulnerabilities emerge in the finance sector web applications that are based on the same development technologies. On top of that, the vulnerabilities discovered were mapped against well-known and well-adopted security risks ranking methods, such as the OWASP Top 10 and measure the impact in the regulator and regulated entities.2017-05-05T17:39:08Z2016-12-12T00:00:00Z2016-12-122016-09info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfapplication/octet-streamhttp://hdl.handle.net/10071/13240TID:201608197porVieira, Tiago Miguel Paulinoinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-09T17:35:46Zoai:repositorio.iscte-iul.pt:10071/13240Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T22:16:11.917088Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Análise de aplicações no sector financeiro: vulnerabilidades e mitigações
title Análise de aplicações no sector financeiro: vulnerabilidades e mitigações
spellingShingle Análise de aplicações no sector financeiro: vulnerabilidades e mitigações
Vieira, Tiago Miguel Paulino
Auditoria
Segurança informática
Web security
Análise de risco
Sector financeiro
Finance sector
Pentesting
Penetration testing
Vulnerability
Risk analysis
Dashboard
CVSS v3.0
title_short Análise de aplicações no sector financeiro: vulnerabilidades e mitigações
title_full Análise de aplicações no sector financeiro: vulnerabilidades e mitigações
title_fullStr Análise de aplicações no sector financeiro: vulnerabilidades e mitigações
title_full_unstemmed Análise de aplicações no sector financeiro: vulnerabilidades e mitigações
title_sort Análise de aplicações no sector financeiro: vulnerabilidades e mitigações
author Vieira, Tiago Miguel Paulino
author_facet Vieira, Tiago Miguel Paulino
author_role author
dc.contributor.author.fl_str_mv Vieira, Tiago Miguel Paulino
dc.subject.por.fl_str_mv Auditoria
Segurança informática
Web security
Análise de risco
Sector financeiro
Finance sector
Pentesting
Penetration testing
Vulnerability
Risk analysis
Dashboard
CVSS v3.0
topic Auditoria
Segurança informática
Web security
Análise de risco
Sector financeiro
Finance sector
Pentesting
Penetration testing
Vulnerability
Risk analysis
Dashboard
CVSS v3.0
description A segurança de tecnologias de informação é actualmente uma preocupação crescente para indivíduos e organizações. Esta preocupação é ainda maior no sector financeiro, não só pelas quantias monetárias envolvidas, mas também pela informação sensível e privada de clientes e organizações. Como meio de aferir segurança de infraestruturas, redes, aplicações web e muitos outros activos tangíveis ou intangíveis, organizações estão a investir em testes que simulam o comportamento de um atacante malicioso mas, num ambiente controlado para identificar as suas próprias vulnerabilidades. Esta dissertação foca-se na análise dos resultados de auditorias de segurança conduzidos em diversas aplicações financeiras de uma entidade reguladora do sector com auxílio de ferramentas automáticas para avaliar o seu nível de maturidade. Para alcançar esta análise e classificação de risco com testes de intrusão, o processo foi idealizado de raiz desde a definição das “rules of engagement”, escolha da abordagem de testes, seleção de web scanners, realização de testes de intrusão, confirmação de vulnerabilidades e classificação das mesmas. Para registo e apresentação de resultados da auditoria de segurança e priorização de intervenções, foi criado um painel de instrumentos para acompanhamento das vulnerabilidades encontradas em qualquer auditoria de segurança categorizadas com a classificação de risco CVSS v3.0 e capaz de gerar relatórios – o resultado formal de qualquer auditoria baseada em testes de intrusão. Com base nesta auditoria, pode ser estabelecida uma relação com outras entidades reguladores no sector acerca das vulnerabilidades emergentes cujas aplicações web se baseiam nas mesmas tecnologias. Para concluir, as vulnerabilidades encontradas foram mapeadas contra os sistemas de vulnerabilidades mais comuns e severas como o OWASP Top 10 e identificado o impacto no regulador e entidades reguladas.
publishDate 2016
dc.date.none.fl_str_mv 2016-12-12T00:00:00Z
2016-12-12
2016-09
2017-05-05T17:39:08Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10071/13240
TID:201608197
url http://hdl.handle.net/10071/13240
identifier_str_mv TID:201608197
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
application/octet-stream
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799134720761528320

Registros relacionados