Embed Size (px)
Citation preview
Tendências na Segurança
da Informação
Fabio Robson Leandro
fabio.rleandro
@fabiorl
perfil
• Especialista em Infraestrutura de TI;
• Consultor para projetos e Suporte para soluções de Datacenter, Cloud Computing, Segurança e Monitoramento de Ambientes críticos;
• Ex-Coordenador de cursos de TI do Senac Sorocaba;
• Main Contact Cisco para todas as academias do Senac no estado de São Paulo;
• Certificações/Parcerias:
Agenda
• Conceitos sobre Segurança da Informação;
• Perfil de invasores;
• Principais Vulnerabilidades;
• O Quadrilátero de Brecha;
• TOP 10 das vulnerabilidades;
• O que fazer;
• Conclusões;
• Onde buscar mais informações.
O que é Segurança da Informação?
• É um conjunto de normas?
• É um departamento?
• Área “cheia de proibições”?
...
• Tem relação com equipamentos?
• Políticas?
• Senhas?
• Armazenamento em local seguro?
?
? ?
?
? ?
? ?
? ?
?
Segurança?
• Do latim “securĭtas”, do grego “ασφάλεια”, do letão “drošība” ...
• Aquilo que é seguro, ou seja, àquilo que está ao protegido de quaisquer perigos, danos ou riscos;
• Sentimento, sensação é uma certeza;
• Conhecimento detalhado da situação;
• Analise para identificar possíveis falhas;
• Plano para recuperação de catástrofes;
• Estar preparado;
“Aspália”
“Dróchiba”
Segurança da Informação
• Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799.
• A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês.
• A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.
Origem: Wikipédia, a enciclopédia livre
Resumo: Segurança da Informação
Proteção de um grupo de informações, visando preservar o valor que possuem para
um indivíduo ou uma organização.
• Características básicas:
– Confidencialidade;
– Integridade;
– Disponibilidade;
– Autenticidade.
Notícias...
“...um belo exemplo do que pode acontecer quando uma potência inimiga ou um simples grupo de
hackers atinge os sistemas internos de outro país. Os softwares de três
redes de televisão e dois dos maiores bancos foram paralisados
por um ataque cibernético na quarta-feira, 20/03/2013...”
“... No mesmo dia em que a lei brasileira contra crimes cibernéticos entrou em vigor, o site do Banco do Brasil registrou uma lentidão acima do comum ao longo de toda terça-
feira, 2/04/2013...”
Um pouco mais de notícias...
...”Testes realizados pela Trustwave mostram que a maioria dos aplicativos
disponíveis em lojas virtuais, ou 87,5%, tem alguma falha...”
“...A educação somada às ferramentas e soluções de TI adequadas, se torna essencial para o sucesso de qualquer ação preventiva de segurança, pois a maioria dos incidentes
ocorre por um descuido ou falta de conhecimento dos usuários em relação às
melhores práticas...”
Um problema Global
Fonte: 2013 TRUSTWAVE GLOBAL SECURITY REPORT
Perfil de invasores
• Hackers:
– White Hats;
– Black Hats;
– Gray Hats;
– Suicide Hackers.
• Script Kiddies
Psicologia Hacker
• O que motiva um Hacker? – Aspectos pessoais;
– Aspectos morais;
– Aspectos financeiros;
• White Hats: Foco em adquirir conhecimento. “Invadir para aprender e não aprender para invadir”
• Black Hats: Foco no retorno do conhecimento. Poder é a motivação principal, conseguido das informações e acessos obtidos.
• Gray Hats: são um grupo misto e é difícil de entender quais são seus motivos. Usam suas habilidades para fins legais ou ilegais, mas nunca para ganho pessoal
Psicologia Hacker
• Suicide Hackers: realiza atividades ilegais sem medo ou preocupações com a polícia ou das leis.
• Script Kiddies: crackers inexperientes que utilizam o trabalho intelectual dos verdadeiros especialistas técnicos.
Não possuem conhecimento de programação, e não estão interessados em tecnologia, e sim em ganhar fama ou outros tipos de lucros pessoais.
Principais Vulnerabilidades
Pesquisa
Fonte: http://www.datasecurity.com.br
O Quadrilátero de Brecha
• Modelo anterior:
Triangulo de brecha:
– Infiltração;
– Coleta;
– Extração;
• Atualmente:
– Infiltração;
– Propagação;
– Agregação de dados;
– Coleta de dados;
Infiltração
• Acesso remoto via aplicações;
• Scan das portas destas aplicações;
• Acesso usando: usuários e senhas default / credenciais fracas.
Propagação
• Depois da primeira infiltração:
– Scan da rede;
– Identificação de mais sistemas para propagação;
• Principais métodos de propagação internos:
– Acesso via compartilhamentos administrativos default
– Uso das ferramentas de administração com as pré definições do administrador real;
– Uso de utilitários de comandos remotos.
Agregação de dados
• Uso das credenciais internas para adicionar dados, arquivos aos dados de sistemas existentes;
• Adição de códigos em servidores web;
• Realizar dump de informações;
• Upload/download de novas ferramentas para o ataque
• Criar/remover contas de usuários;
Coleta de Dados
Dados em transito são mais valiosos pois são mais “frescos”;
Podem ser acessados direto da memória;
Extração de Dados
Extração de Dados - infiltração
Mais atacados...
TOP 10 das vulnerabilidades nas aplicações WEB
Dispositivos Móveis
• Aumento de 400% de ataques massivos;
• Das aplicações testadas - foram:
– Financeiras/Bancarias – 42%;
– Segurança da Plataforma – 25%;
– Redes Sociais – 17%;
– Jogos – 8%;
– Compras on-line – 8%.
TOP 10 das vulnerabilidades de aplicações em dispositivos móveis
Comportamento das ameaças
O que fazer em dispositivos móveis
• Politicas de acesso de dispositivo moveis nas empresas;
• Melhoria das tecnologias de controle de acesso;
• Uso de autenticação forte para usuários e dispositivos;
• Detecção de malwares na rede interna e gateways de acesso
• Uso de ferramentas de SIEM - Security information and event management
Principais senhas
• Analise realizada em uma amostragem de 3.1 milhões de senhas
TOP 10 Vulnerabilidades
Outras senhas...
Comprimento das senhas
• 8 caracteres é o padrão de mínimos de caracteres da maioria dos sistemas de autencitação.
Padrões de senhas
O que fazer?
• Criar programas de conscientização e educação para empregados e usuários;
• Desenvolver e distribuir políticas para todos;
• Implementar autenticação forte;
• Ter exercícios de simulação de ataque para preparar e evitar incidentes;
• Usar Passphrases e não senhas comuns.
Ciclos de um malware
Malwares direcionados
Empresas ainda são lentas para detecção de problemas
Métodos de detecção
O que fazer?
• Arrumar as vulnerabilidades conhecidas, identificar ameaças;
• Quebre as barreiras dentro da empresa;
• Analise e refine sistemas e aplicações;
• Uso de tecnologias de SIEM - Security information and event management;
• Realize exercicios do tipo “Red Team”;
• Treinamentos, treinamentos, treinamentos.
CONCLUSÕES
• Para 2013 e além, várias previsões importantes e recomendações podem ser feitas com base nas tendências do ano passado.
• As principais tendências são consistentes com anos anteriores:
1. Ataques cibernéticos aumentarão;
2. Ataques visando dados de e-commerce;
3. Cuidados na Terceirização de TI e sistemas de negócios;
4. client-side attacks (Ataques no lado cliente);
5. Senhas fracas e padrão;
6. Os empregados deixam a porta aberta
Onde buscar mais informações
• Relatório de segurança 2013 da Trustwave
– www.trustwave.com
• Coruja de TI:
– www.corujadeti.com.br
• Data Security:
– www.datasecurity.com.br
Brincando e aprendendo
Control-Alt-Hack é um card game criado por profissionais de segurança para ensinar os alunos do ensino médio e
de faculdade que
ensina que fazer
white hat
hacking pode ser
divertido e
acessível.
Dúvidas ???
Obrigado!
Slides em: http://www.slideshare.net/fabiorle
Fabio Robson Leandro
fabio.rleandro
@fabiorl
