Profissional com 13 anos de experiência na área de Segurança da Informação. Ampla experiência com análise de vulnerabilidades, testes de invasão e auditoria. Responsável por trazer ao Brasil a primeira certificação CVE. Atuou durante quatro anos (2004-2007) no quadro de profissionais selecionados pelo SANS Institute para descrever anualmente as próximas tendências de ataques na Internet e as vulnerabilidades mais críticas. Essa lista é utilizada como base para empresas privadas e órgãos americanos como Department of Homeland Security (DHS) e Computer Emergency Response Team (CERT).
2. Marcos Ferreira
• +13 anos de experiência na área de SI
– Consultoria de segurança
– Análise de vulnerabilidade e Pentest
– Engenharia Social
– Incident Response
• Voluntário no SANS Institute
• Qualys Guard Certified
Apresentação
3. Informações – Dados Atuais
Infosecbuddy.com - http://www.infosecbuddy.com/wp-content/uploads/2015/03/Cloud-Security-Spotlight-Report-2015.pdf
10. Riscos
Segurança
• Insecure interfaces / APIs
– Roubo de dados e Espionagem
– Crime organizado
– Perda de clientes
– Problemas legais
– Ex.: SQLi, XSS, CSRF, etc.
11. Riscos
Segurança
• DDoS e DoS
– Indisponibilidade do serviço
– Perda financeira
– Risco a imagem
– Perda de clientes
– Riscos legais
12. Medidas
Segurança
• Definir a segurança desde o início do projeto
– Firewall, IPS, Antivírus, WAF
• Monitoramento e log
– Correlação e retenção de log de sistemas e Apps
14. Medidas
Segurança
• Política de segurança
– Controles de acessos, responsabilidades e auditoria
• Backup e Disponibilidade
– Recuperação de dados, redundância, continuidade
15. Labs
• Blog – labs.siteblindado.com
• Bug Bounty
• Treinamentos e Meet ups
Melhores práticas