Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Verso 2016br
Este documento pode ser copiado na sua totalidade, ou ter extratos feitos, se a fonte for reconhecida na sua reproduo.
Copyright International Software Testing Qualifications Board (ISTQB).
Advanced Level WG: Mike Smith (chair)
Advanced Security Tester Syllabus WG: Randall Rice (chair), Tarun Banga, Taz Daughtrey, Frans Dijkman, Prof. Dr. Stefan
Karsch, Satoshi Masuda, Raine Moilanen, Joel Oliveira, Alain Ribault, Ian Ross, Kwangik Seo, Dave van Stein, Dr. Nor Adnan
Yahaya, Wenqiang Zheng.
ISTQB Advanced Level Syllabus
CTAL Security Tester
Histrico de Revises
1.0 GA Candidate 04/03/2016 After Exam WG review, changed LO 4.1.2 from K2 and K3 and re-
worded appropriately. Text already adequately supports a K3 LO.
1.0 - GA 18/03/2016 GA release beta release comments incorporated
0.3 Exames
Todos os exames realizados no Nvel Avanado para este mdulo so baseados neste Syllabus. O formato do
exame definido pelas Diretrizes de Exames Avanados do ISTQB.
Os exames podem ser tomados como parte de um curso de treinamento acreditado ou realizados
independentemente (por exemplo, em um centro de exames). Exames podem ser feitos em papel ou
eletronicamente, mas todos os exames devem ser supervisionados / observados (supervisionados por uma
pessoa mandatada por um Conselho Nacional ou de Exame).
Objetivos de Aprendizagem
1.1 Riscos de segurana
AS-1.1.1 (K2): Compreender o papel da avaliao de risco no fornecimento de informaes para o
planejamento de testes de segurana e modelagem e alinhamento de testes de segurana com as
necessidades do negcio.
AS-1.1.2 (K4): Identificar os ativos significativos a serem protegidos, o valor de cada ativo e os dados
necessrios para avaliar o nvel de segurana necessrio para cada ativo.
AS-1.1.3 (K4): Analisar a utilizao eficaz das tcnicas de avaliao de riscos numa dada situao para
identificar as ameaas atuais e futuras segurana.
1.2 Polticas e Procedimentos de Segurana da Informao
AS-1.2.1 (K2): Compreender o conceito de polticas e procedimentos de segurana e como eles so aplicados
em sistemas de informao.
AS-1.2.2 (K4): Analisar um determinado conjunto de polticas e procedimentos de segurana, juntamente com
os resultados dos testes de segurana para determinar a eficcia.
1.3 A auditoria de segurana e seu papel no teste de segurana
AS-1.3.1 (K2): Compreender a finalidade de uma auditoria de segurana.
Os testes funcionais baseiam-se em uma variedade de itens, como riscos, requisitos, casos de uso e modelos.
Os testes de segurana baseiam-se nos aspectos de segurana dessas especificaes, mas tambm buscam
verificar e validar os riscos de segurana, procedimentos e polticas de segurana, comportamento do invasor
e vulnerabilidades de segurana conhecidas.
ISTQB Testing Process Processo ISTQB Security Testing Exemplo Security Testing
Implementao e Implementao e Execuo de Criar casos de teste de segurana, cenrios
Execuo do Teste Testes de Segurana - O objetivo de teste, scripts de teste ou outras
traduzir testes conceituais em testes especificaes de teste
que podem ser executados Realizar testes de segurana funcionais
manualmente ou com ferramentas. com base em especificaes de segurana
Alm disso, o objetivo realizar definidas
Realizar testes de segurana funcional e
esses testes usando uma variedade
penetrao
de perspectivas de teste de
Sobre o conhecimento e intuio do
segurana - usurio interno, usurio testador
externo, usurio mal-intencionado, Realizar testes de segurana com base em
etc. um modelo de um sistema
Configurar ou preparar um ambiente de
teste para realizar testes de segurana
Avaliao dos Critrios Avaliao e Relatrios Determinar vulnerabilidades de segurana
de Sada e Relatrios Resultados do Teste de Segurana - especficas com base nos resultados dos
Isso frequentemente realizado testes
juntamente com a execuo do Avaliar os nveis de risco de segurana com
teste para avaliar testes individuais base nos resultados dos testes de
e para relatar novas ameaas o mais segurana realizados
Relatar os resultados dos testes de
rpido possvel.
segurana intermdios e finais
Gesto e outras partes autorizadas
Encerramento do Teste Encerramento do teste - O objetivo Certifique-se de que todos os testes de
colocar as atividades de teste de segurana planejados foram realizados
segurana em um ponto de Determinar se os resultados de testes de
encerramento para que os testes segurana (relatrios) foram entregues
possam ser mantidos e executados Arquivar resultados de teste, dados de
regularmente para suportar novos teste e outras informaes confidenciais
em locais seguros
requisitos de segurana e / ou
Analisar os resultados dos testes de
detectar novas ameaas. Alm disso,
segurana para melhorar o
todos os testes e resultados de desenvolvimento de sistemas e aplicativos
segurana so armazenados de em termos de segurana
forma segura, estando disponveis
para uso se necessrio em testes de
segurana futuros.
importante entender que o ISTQB Security Testing no necessariamente de natureza sequencial. O
processo de teste de segurana deve ser alinhado com o processo de ciclo de vida do software da organizao.
Uma importante implicao do processo descrito nesta seo que as atividades de teste de segurana so
realizadas ao lado e durante outras atividades e testes do ciclo de vida do projeto.
Alm disso, as tarefas de teste de segurana mostradas na Tabela 3.1 servem como exemplos e no como
requisitos prescritivos para tarefas de teste de segurana. As tarefas de teste de segurana exatas para uma
organizao dependem da estratgia de teste de segurana e da abordagem adotada pela organizao,
conforme mostrado na Figura 3.1 a seguirr.
5.3 Criptografia
5.3.1 Entendendo a criptografia
Para evitar a divulgao de dados sensveis, mesmo que possa ser acessado quando armazenado ou trocado
entre cliente e servidor, um mecanismo de criptografia pode ser usado. Hashing e Salting so mtodos usados
durante a criptografia.
A criptografia um processo de codificao de dados (texto simples) em dados cclicos (criptografar texto),
usando um algoritmo criptogrfico e segredos, de tal forma que somente pessoas autorizadas tm o direito
5.8 Formao
5.8.1 Importncia do treinamento em segurana
Os seres humanos so muitas vezes o elo mais fraco no quadro geral de segurana. Portanto, necessrio
treinamento consistente e contnuo para lembrar as pessoas sobre a importncia de seguir as polticas de
segurana estabelecidas e para enfatizar porque as polticas so necessrias. Esse treinamento deve ocorrer
ao longo do processo do ciclo de vida do software e ser atualizado medida que novas polticas so
adicionadas e novas ameaas surgem. O treinamento deve abranger a identificao de ataques de engenharia
social e ameaas internas.
10.3 Literatura
[Chapman, 2000] Chapman, Cooper, Zwicky, Building Internet Firewalls, OReilly & Associates, 2000.
[Jackson, 2010] Jackson, Christopher; Network Security Auditing, 2010.
10.4 Artigos
[ComputerWeekly] www.computerweekly.com/news/2240113549/Cattles-lost-backup-tapeshighlight-
risk-of-unencrypted-data-storage
[Northcutt, 2014] Northcutt, Stephen; Security Controls, SANS Institute.
[Washington Post, 2007],
www.washingtonpost.com/wpdyn/content/article/2007/05/04/AR2007050402152.html
10.5 Guias
[Bittau] Cryptographic Protection of TCP Streams, tools.ietf.org/html/draft-bittau-tcp-crypt-04
[CERT1] Top 10 Secure Coding Practices,
www.securecoding.cert.org/confluence/display/seccode/Top+10+Secure+Coding+Practices
[CERT2] www.cert.org/secure-coding/publications/index.cfm
[CERT3] www.cert.org/secure-coding/tools/index.cfm
[IEEE1] Avoiding the Top 10 Security Flaws, cybersecurity.ieee.org/center-for-secure-
modelagem/avoiding-the-top-10-security-flaws.html
[MDA1] MDA Glossary, DoD Missile Defense Agency, www.mda.mil
[NIST 800-30] NIST Special Publication 800-30, Rev 1, Guide for Conducting Risk Assessments (2012)
[NISTIR 7298] Glossary of Key Information - Security Terms, Revision 2 (2013)
[OWASP1] OWASP Secure Coding Practices Quick Reference Guide,
www.owasp.org/index.php/OWASP_Secure_Coding_Practices_-_Quick_Reference_Guide
[OWASP2] OWASP Risk Rating Methodology,
www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
10.6 Relatrios
[WhiteHat Security, 2014], www.whitehatsec.com
10.7 Web
[CERT4] Vulnerability Notes Database, www.kb.cert.org/vuls/
[Chopitea] tomchop.me/2012/12/yo-dawg-i-heard-you-like-xoring/
[EICAR] www.eicar.org
[RFC2828] Internet Security Glossary, www.rfc-archive.org/getrfc.php?rfc=2828
[Web-1] Top 20 Critical Security Controls, sans.org
[Web-2] National Vulnerability Database, web.nvd.nist.gov/view/ncp/repository
[Web-3] Website Security Statistics Report, www.whitehatsec.com/resource/stats.html
[Web-4] The Google Hacking Database, hackersforcharity.org/ghdb
[Web-5] Shodan, shodanhq.com
[Web-6] NetCat, sectools.org/tool/netcat/
[Web-7] IP Tracer, www.ip-adress.com/ip_tracer
[Web-8] Computer Forensics, Cybercrime and Steganography Resources, www.forensics.nl
[Web-9] Tor Project, www.torproject.org/
[Web-10] Netstat, technet.microsoft.com/en-us/library/Bb490947.aspx
[Web-11] Tracert, www.tracert.com
[Web-12] RIPE Scan, www.ripe.net
[Web-13] Whois, www.whois.net/
[Web-14] NetCat, netcat.sourceforge.net/
[Web-15] Fping, fping.org
[Web-16] Hidetools, hidetools.com/
[Web-17] Kali Linux, www.kali.org/
[Web-18] Web Application Security Consortium, www.webappsec.org/
[Web-19] Hping, www.hping.org/
[Web-20] Nmap, nmap.org/
[Web-21] Zenmap, nmap.org/zenmap/
[Web-22] Xprobe2, null-byte.wonderhowto.com/how-to/hack-like-pro-conduct-os-fingerprintingwith-
xprobe2-0148439/
[Web-23] BackTrack, www.backtrack-linux.org/
[Web-24] Top 125 Network Security Tools, sectools.org
[Web-25] DNS Lookup, who.is/dns/
[Web-26] John the Ripper, www.openwall.com/john/