• 1. Como tornar lojavirtual mais segura evender maisMauro Risonho de Paula AssumpçãoPentester/Analista em Vulnerabilidadesmauro.risonho@siteblindado.com.brwww.siteblindado.com.brhttp://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile
  • 2. CenárioEm 2012, 31% dos ataques virtuaismiravam as PME’s (Pequenas e MédiasEmpresas), justamente por serem empresasque se atentam menos àsquestões de segurança.
  • 3. Pergunta 1Você conhece os principais problemas desegurança enfrentados pelomercado de e-commerce?
  • 4. Pergunta 2E as causas de perda de dados,problemas e impactos que um ataque podegerar à imagem da sua loja virtual e aosseus negócios?
  • 5. Anti-DDoS
  • 6. Práticas Anti DDoSObjetivoMonitorar e entender o perfil do(s) atacante(s) paraevitar o máximo de tempo de indisponibilidade desites, e-commerces, blogs e outros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  • 7. Riscos x Benefícios● Riscos– Atuação reativa aos problemas de segurança;– Indisponibilidades dos sites e do ambiente deinternet;– Falta de visibilidade sobre o nível real do risco daempresa;
  • 8. Riscos x Benefícios● Riscos– Atuação reativa aos problemas desegurança;
  • 9. Riscos x Benefícios● Riscos– Indisponibilidades dos sites e do ambientede internet;
  • 10. Riscos x Benefícios● Riscos– Falta de visibilidade sobre o nível real do risco daempresa;
  • 11. Riscos x Benefícios● Benefícios– Identificar claramente os riscos de negócio;– Maior efetividade nos planos mitigadórios;– Maximizar a eficiência de ações de contenção dosataques;
  • 12. Riscos x Benefícios● Benefícios– Identificar claramente os riscos de negócio;
  • 13. Riscos x Benefícios● Benefícios– Maior efetividade nos planos mitigadórios;
  • 14. Riscos x Benefícios● Benefícios– Maximizar a eficiência de ações de contenção dosataques;
  • 15. O que é DDoS ?●DDoS– Ataque Distribuído de negação de serviço (DDoS - Distributed Denial ofService) um computador mestre (denominado "Master") terá sob seucomando milhares de computadores ("Zombies" - zumbis).
  • 16. O que é DDoS ?
  • 17. O que é DDoS ?● DDoS– No ataque de negação distribuído, váriasmáquinas de potenciais usuárioslegítimos do sistema requisitarão oserviço alvo ao mesmo tempo.– A resposta automática a um ataque destetipo seria negar o serviço aos atacantes,mas é inviável se distinguir dentre asrequisições, quantas, quais vem dosusuários legítimos dos atacantes– Isso torna o ataque inevitalvemente comsucesso, pois os servidores não dãoconta de todo esse volume de acesso eparam de funcionar
  • 18. O que é DDoS ?
  • 19. Nossa única linha de defesa é pelo estudo e monitoração dosatacantes. Através do acompanhamento de mídias e redes sociais,identificamos uma série de sites que, por falhas de segurança,tiveram o código malicioso de ataque injetado nos seus servidorespara que usuários mal intencionados realizem o ataque de formamais anônima.Solução/Mitigação
  • 20. Dado que parte dos ataques virão dos servidores (endereços fixosde internet), planejamos uma linha de mitigação que bloqueará assolicitações vindas desses servidores casos uma grande massa derequisições vindas dessa origem seja iniciada.Para que a defesa seja efetiva, nossos atacantes não podem terciência de seu modus operandi.Caso ela seja identificada, eles poderão contorná-la simplesmentebloqueando o acesso as listas de servidores infectados, ou usandodiretamente botnets (máquinas zumbis).Solução/Mitigação
  • 21. As linhas de defesa da maioria das empresas para ataques do tipoDDoS são frágeis e pouco efetivas.O mercado em geral está mal preparado para esse tipo de ataque.Solução/Mitigação
  • 22. As linhas de defesa da maioria das empresas para ataques do tipoDDoS são frágeis e pouco efetivas.O mercado em geral está mal preparado para esse tipo de ataque.Solução/Mitigação
  • 23. Perda de dados – SSL
  • 24. Perda de dados – SSLObjetivoImplementar segurança para evitar o máximo devazamento de informações valiosas de sites,e-commerces, blogs e outros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  • 25. Riscos x Benefícios● Riscos– Vazamento de informação sigilosa;
  • 26. Riscos x Benefícios●Riscos– Vazamento de informação sigilosa;
  • 27. Riscos x Benefícios● Benefícios– As informações trafegando com mais segurança nosite
  • 28. Phishing – SSL EV
  • 29. Phishing – SSL EVObjetivoUma forma de garantir mais segurança e provar oambiente é autêntico para sites, e-commerces, blogs eoutros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  • 30. Riscos x Benefícios● Riscos– Vazamento de informação sigilosa;– Falta de autenticidade do ambiente.
  • 31. Riscos x Benefícios● Riscos– Vazamento de informação sigilosa;– Falta de autenticidade do ambiente.http://adrenaline.uol.com.br/internet/noticias/16502/falso-groupon-oferece-iphone-5-a-r599.html
  • 32. Riscos x Benefícios● Benefícios– As informações trafegando com mais segurança nosite e também mostrando informações sobre aempresa
  • 33. Principais tipos de malwareBlacklist – Anti malware
  • 34. Tipos de malwareObjetivoUma forma de garantir mais segurança, através deidentificação e remoção de malwares em sites,e-commerces, blogs e outros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  • 35. Riscos x Benefícios●Riscos– Blacklist de malware no Google– Infecção do site e replicação pela internet– Roubo de informações financeiras– Outros
  • 36. Riscos x Benefícios●Riscos– Blacklist de malware no Google– Infecção do site e replicação pela internet– Roubo de informações financeiras– Outros
  • 37. Riscos x Benefícios● Benefícios– O site está livre de infecções– Não será bloqueado pelo Google
  • 38. Informações Gerais
  • 39. ClassificaçãoVulnerabilidades x impacto- Confidencialidade- Integridade- DisponibilidadeQuanto às características da Informação - CID
  • 40. Escopo dos RiscosRecursos x Vetores de AtaqueTecnologiaProcessosPessoasAmbienteElementos do Negócio
  • 41. ResultadosClassificação das vulnerabilidadesAltoMédioBaixoVulnerabilidades encontradas no ambiente
  • 42. +10000 CLIENTES4.000 blindagem + 2000 SSL + 2000 antimalware + outros produtos
  • 43. Mauro Risonho de Paula AssumpçãoPentester/Analista em Vulnerabilidadesmauro.risonho@siteblindado.com.brwww.siteblindado.com.brhttp://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile
    Please download to view
  • All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
    ...

    Site blindado - Como tornar loja virtual mais segura e vender mais

    by mauro-risonho-de-paula-assumpcao

    on

    Report

    Category:

    Technology

    Download: 0

    Comment: 0

    482

    views

    Comments

    Description

    Palestra com apenas visão estratégica, sem visão técnica
    Download Site blindado - Como tornar loja virtual mais segura e vender mais

    Transcript

    • 1. Como tornar lojavirtual mais segura evender maisMauro Risonho de Paula AssumpçãoPentester/Analista em Vulnerabilidadesmauro.risonho@siteblindado.com.brwww.siteblindado.com.brhttp://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile
  • 2. CenárioEm 2012, 31% dos ataques virtuaismiravam as PME’s (Pequenas e MédiasEmpresas), justamente por serem empresasque se atentam menos àsquestões de segurança.
  • 3. Pergunta 1Você conhece os principais problemas desegurança enfrentados pelomercado de e-commerce?
  • 4. Pergunta 2E as causas de perda de dados,problemas e impactos que um ataque podegerar à imagem da sua loja virtual e aosseus negócios?
  • 5. Anti-DDoS
  • 6. Práticas Anti DDoSObjetivoMonitorar e entender o perfil do(s) atacante(s) paraevitar o máximo de tempo de indisponibilidade desites, e-commerces, blogs e outros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  • 7. Riscos x Benefícios● Riscos– Atuação reativa aos problemas de segurança;– Indisponibilidades dos sites e do ambiente deinternet;– Falta de visibilidade sobre o nível real do risco daempresa;
  • 8. Riscos x Benefícios● Riscos– Atuação reativa aos problemas desegurança;
  • 9. Riscos x Benefícios● Riscos– Indisponibilidades dos sites e do ambientede internet;
  • 10. Riscos x Benefícios● Riscos– Falta de visibilidade sobre o nível real do risco daempresa;
  • 11. Riscos x Benefícios● Benefícios– Identificar claramente os riscos de negócio;– Maior efetividade nos planos mitigadórios;– Maximizar a eficiência de ações de contenção dosataques;
  • 12. Riscos x Benefícios● Benefícios– Identificar claramente os riscos de negócio;
  • 13. Riscos x Benefícios● Benefícios– Maior efetividade nos planos mitigadórios;
  • 14. Riscos x Benefícios● Benefícios– Maximizar a eficiência de ações de contenção dosataques;
  • 15. O que é DDoS ?●DDoS– Ataque Distribuído de negação de serviço (DDoS - Distributed Denial ofService) um computador mestre (denominado "Master") terá sob seucomando milhares de computadores ("Zombies" - zumbis).
  • 16. O que é DDoS ?
  • 17. O que é DDoS ?● DDoS– No ataque de negação distribuído, váriasmáquinas de potenciais usuárioslegítimos do sistema requisitarão oserviço alvo ao mesmo tempo.– A resposta automática a um ataque destetipo seria negar o serviço aos atacantes,mas é inviável se distinguir dentre asrequisições, quantas, quais vem dosusuários legítimos dos atacantes– Isso torna o ataque inevitalvemente comsucesso, pois os servidores não dãoconta de todo esse volume de acesso eparam de funcionar
  • 18. O que é DDoS ?
  • 19. Nossa única linha de defesa é pelo estudo e monitoração dosatacantes. Através do acompanhamento de mídias e redes sociais,identificamos uma série de sites que, por falhas de segurança,tiveram o código malicioso de ataque injetado nos seus servidorespara que usuários mal intencionados realizem o ataque de formamais anônima.Solução/Mitigação
  • 20. Dado que parte dos ataques virão dos servidores (endereços fixosde internet), planejamos uma linha de mitigação que bloqueará assolicitações vindas desses servidores casos uma grande massa derequisições vindas dessa origem seja iniciada.Para que a defesa seja efetiva, nossos atacantes não podem terciência de seu modus operandi.Caso ela seja identificada, eles poderão contorná-la simplesmentebloqueando o acesso as listas de servidores infectados, ou usandodiretamente botnets (máquinas zumbis).Solução/Mitigação
  • 21. As linhas de defesa da maioria das empresas para ataques do tipoDDoS são frágeis e pouco efetivas.O mercado em geral está mal preparado para esse tipo de ataque.Solução/Mitigação
  • 22. As linhas de defesa da maioria das empresas para ataques do tipoDDoS são frágeis e pouco efetivas.O mercado em geral está mal preparado para esse tipo de ataque.Solução/Mitigação
  • 23. Perda de dados – SSL
  • 24. Perda de dados – SSLObjetivoImplementar segurança para evitar o máximo devazamento de informações valiosas de sites,e-commerces, blogs e outros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  • 25. Riscos x Benefícios● Riscos– Vazamento de informação sigilosa;
  • 26. Riscos x Benefícios●Riscos– Vazamento de informação sigilosa;
  • 27. Riscos x Benefícios● Benefícios– As informações trafegando com mais segurança nosite
  • 28. Phishing – SSL EV
  • 29. Phishing – SSL EVObjetivoUma forma de garantir mais segurança e provar oambiente é autêntico para sites, e-commerces, blogs eoutros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  • 30. Riscos x Benefícios● Riscos– Vazamento de informação sigilosa;– Falta de autenticidade do ambiente.
  • 31. Riscos x Benefícios● Riscos– Vazamento de informação sigilosa;– Falta de autenticidade do ambiente.http://adrenaline.uol.com.br/internet/noticias/16502/falso-groupon-oferece-iphone-5-a-r599.html
  • 32. Riscos x Benefícios● Benefícios– As informações trafegando com mais segurança nosite e também mostrando informações sobre aempresa
  • 33. Principais tipos de malwareBlacklist – Anti malware
  • 34. Tipos de malwareObjetivoUma forma de garantir mais segurança, através deidentificação e remoção de malwares em sites,e-commerces, blogs e outros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  • 35. Riscos x Benefícios●Riscos– Blacklist de malware no Google– Infecção do site e replicação pela internet– Roubo de informações financeiras– Outros
  • 36. Riscos x Benefícios●Riscos– Blacklist de malware no Google– Infecção do site e replicação pela internet– Roubo de informações financeiras– Outros
  • 37. Riscos x Benefícios● Benefícios– O site está livre de infecções– Não será bloqueado pelo Google
  • 38. Informações Gerais
  • 39. ClassificaçãoVulnerabilidades x impacto- Confidencialidade- Integridade- DisponibilidadeQuanto às características da Informação - CID
  • 40. Escopo dos RiscosRecursos x Vetores de AtaqueTecnologiaProcessosPessoasAmbienteElementos do Negócio
  • 41. ResultadosClassificação das vulnerabilidadesAltoMédioBaixoVulnerabilidades encontradas no ambiente
  • 42. +10000 CLIENTES4.000 blindagem + 2000 SSL + 2000 antimalware + outros produtos
  • 43. Mauro Risonho de Paula AssumpçãoPentester/Analista em Vulnerabilidadesmauro.risonho@siteblindado.com.brwww.siteblindado.com.brhttp://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile
  • Fly UP