ESTG - Mestrado em Cibersegurança e Informática Forense
Permanent URI for this collection
Browse
Browsing ESTG - Mestrado em Cibersegurança e Informática Forense by advisor "Antunes, Carlos Jorge Machado"
Now showing 1 - 2 of 2
Results Per Page
Sort Options
- ANÁLISE DE SEGURANÇA EM IMPLEMENTAÇÕES OPENID CONNECTPublication . Ferreira, Nuno Filipe Pinto; Antunes, Carlos Jorge MachadoA crescente utilização do OpenId Connect como um protocolo de autenticação e autorização tem sido acompanhada por alguns desafios significativos por parte de múltiplas empresas na área das tecnologias de informação. Implementações incorretas e o uso de versões desatualizadas podem resultar em vulnerabilidades de segurança. Além disso, a negligência em conduzir testes de segurança adequados e a falta de uma rotina regular para realizar esses testes expõe as aplicações a riscos desnecessários. A agregação desses fatores amplifica o aumento das ameaças cibernéticas, à medida que indivíduos mal intencionados buscam explorar essas fragilidades de forma a comprometer a integridade e a confidencialidade dos sistemas. Este projeto segue uma metodologia de investigação e análise, onde o processo passa pela investigação e respetiva análise de algumas das vulnerabilidades mais comuns, existentes nas implementações OpenId Connect, em conformidade com as boas práticas de segurança aplicadas. Adicionalmente, de forma a auxiliar a metodologia de análise, foi desenvolvido um ambiente controlado que possibilitou a avaliação e testes de todos os cenários e vulnerabilidades selecionados, em relação a uma implementação personalizada OpenId Connect. Estes testes têm como objetivo validar os requisitos de segurança da implementação OpenId Connect, de forma a evitar potenciais vulnerabilidades e ataques ao sistema. Como resultado final, das nove vulnerabilidades testadas, apenas uma, foi considerada como falha de não conformidade de acordo com as boas práticas de implementação OpenId Connect.
- AVALILAÇÃO DE FERRAMENTAS DE BREACH AND ATTACK SIMULATIONPublication . Pêgo, Ricardo Jorge Aguiar; Antunes, Carlos Jorge MachadoO constante surgimento de novas ciberameaças cada vez mais sofisticadas representa um desafio significativo para as organizações. Além dos desafios inerentes às ciberameaças em si, existem outros aspetos que impactam as organizações, principalmente no âmbito financeiro e de profissionais. Isso deve-se à necessidade de aquisição de controlos de segurança para diversos vetores de ataque, bem como à capacidade humana de configurar esses controlos de forma eficaz. Isso torna-se ainda mais complexo devido à constante evolução das infraestruturas de tecnologia, o que pode levar a lacunas nas configurações de segurança. Nesse contexto, as ferramentas de Breach and Attack Simulation (BAS) desempenham um papel crucial. Elas permitem a avaliação contínua da segurança num ambiente corporativo, verificando a eficácia dos controlos de segurança face às ameaças em constante evolução. Estas ferramentas oferecem visibilidade sobre possíveis vulnerabilidades existentes, possibilitando que essas falhas sejam corrigidas antes que ocorra um ciberataque. Isso permite que as organizações adotem uma abordagem proativa na defesa cibernética, em vez de reagir apenas após um incidente ter ocorrido. O objetivo principal deste projeto consiste em efetuar uma avaliação comparativa das funcionalidades de duas ferramentas de BAS - Cymulate e SafeBreach. A finalidade dessa avaliação é selecionar a ferramenta que melhor atenda aos critérios estabelecidos como resultado da comparação. Para realizar a avaliação, foram desenvolvidos critérios de comparação e estabelecida uma infraestrutura de testes de pequena escala. Para além disso, foram analisadas de forma aprofundada as ferramentas mencionadas anteriormente, de modo a determinar a ferramenta BAS mais adequada.