3. Mais 25 anos de experiência em Segurança de
Dados e Segurança da Informação
Qualificações
Pentester (Ethical Hacker)
Cobit, ITIL, 27001/02, HIPAA, PMI, PCI, Sox, Coso
IAM Security Architect
RBAC – Role Based Access Control
PCN, BCP, DRP
Risk and Vulnerability Management
Malware Analyst
Pesquisador
Premiação 2011: Security Leaders
“Executivo do Ano no Mercado de
Seguradoras“
Músico
Skate or Die
Malware Research não tô
zuando não...
4.
5. • Processamento, manipulação e organização de dados
• A informação pode ser:
• Falada
• Escrita
• Impressa
• Armazenada em meios lógicos
• Armazenada em meios físicos
6. • Proteção de um conjunto de informações visando preservar o valor que possuem para uma pessoa
ou para uma Empresa
• Conceito aplica-se a todos os aspectos de proteção de informações e dados
Confidencialidade Integridade Disponibilidade
Autenticidade Legalidade
7. • Garantir que a informação estará disponível somente a quem de direito
• Quando uma informação é classificada como Confidencial os responsáveis decidem quem terá o
direito aos dados
• ISO/IEC 17799 “garantir que a informação seja acessível apenas àqueles autorizados a ter acesso”
• Adotar medidas preventivas como definir autorização para acesso as informações confidenciais
• Categorização de dados conforme critérios particulares, como potencial de impacto nas operações
caso as informações vazem
Confidencialidade
8. • Garantir que a informação não sofreu nenhum tipo de alteração não autorizada
• Assegurar que o documento não foi alterado após assinado
• Preservação da precisão, consistência e confiabilidade das informações ao longo dos processos ou
de seu ciclo de vida
• Como garantir a integridade
• permissão a arquivos ou áreas físicas
• Sistemas de verificação e detecção de alterações em dados
• Backups prontos para restauração
Integridade
9. • Garantir que a informação esteja disponível sempre que necessário acesso a mesma
• Falhas tecnológicas, ameaças de cyber criminosos, erros no dimensionamento do projeto de
tecnologia e falta de capacitação dos colaboradores são as principais causas de perda de acesso aos
dados
• Indisponibilidade de acesso a dados pode representar a paralisação completa de uma Empresa
Disponibilidade
10. • Garantir que a informação não sofreu nenhuma alteração e é autêntica
• Identificar e registrar o usuário que está enviando ou modificando a informação
• Gera o não-repúdio que se dá quando há garantia de que o emissor não poderá negar a autoria da
mensagem
• Através da autenticidade que se garante que a informação não sofreu nenhuma alteração durante o
processo
Autenticidade
11. • Aderir as leis vigentes do País ou Região
• Compatibilidade com as leis, regulamentos e normas que cercam o ambiente onde a mesma é
utilizada
• LGPD (Lei Geral de Proteção de Dados)
• GDPR (General Data Protection Regulation)
• Lei “Carolina Dieckmann” (Lei número 12.737)
• Frameworks que ajudam ao atendimento a legalidade (NIST, ISO/IEC, PCI, HIPAA, COSO...)
Legalidade
12. • A informação pode ser:
• Falada
• Escrita
• Impressa
• Armazenada em meios lógicos
• Armazenada em meios físicos
Pessoas Processos Tecnologias
13. • Quem possui o conhecimento
• O elo mais fraco da segurança da informação
• Ataques de Phishing e Engenharia Social
• Processo de Conscientização do Usuário
• Gamificação / Palestras / Eventos
Pessoas
14. • Atividades e ações organizadas de forma ordenada para que cada um entenda o que precisa ser
feito, quando precisa ser feito e quais resultados são esperados
• Documentar e registrar processos e conhecimentos
• Atualizar o conhecimento, sempre que detectar melhorias ao utilizá-lo
• Sistematizar o uso desse conhecimento
• Os processos formam a base
• Hacking de Processos ?
• Processo de descarte de lixo patrimonial e confidencial
• Processo de acesso físico
• Processo de geração e recuperação de senha
Processos
15. • Permite a escalabilidade dos processos e das pessoas
• Contratar uma nova tecnologia exige estudo profundo
• Tecnologia pode ser o último ponto a ser definido, funcionando como ponte de integração para os
outros ponto (pessoas e processos)
Tecnologias
16. Ameaças
• Evento não planejado ou indesejável que potencialmente remove, desabilita ou destrói uma
informação ou um ativo
• Aproveitam das falhas de Segurança da Organização
• Normalmente não podem ser controladas
Riscos
• Qualquer evento que pode causar impacto nos negócios da Organização
• Podem ser minimizados ou mitigados
Vulnerabilidades
• Fraqueza que permite que o atacante reduza a garantia da informação do sistema.
• Vulnerabilidade é a interseção de três elementos: uma suscetibilidade ou falha do sistema, acesso do
atacante a falha e, a capacidade do atacante explorar a falha
17.
18.
19. • A palavra HACK nasceu de um grupo de nome “Tech Model Railroad Club” (TMRC) na década de 50
• Membros do clube “Soldier” e “ChAoS” chamavam as alterações que faziam nos relês eletrônicos de
hacks
• Os membros do TMRC começaram a utilizar o mesmo termos (hack) para descrever o que eles
estavam com a programação de computadores
• Os primeiro “hackers” formaram uma equipe que trabalhava com IA no MIT (Massachussets Institute
of Technology) por volta de 1965 e, o termo hacker não tinha essa conotação criminosa
• Em 1983, após o filme “Jogos de Guerra” a palavra começa a ser usada para coisas negativas
• HACKER = CRIATIVIDADE
20. • White Hat
• Estuda os sistemas e procura falhas
• Sempre trabalha com ética
• Black Hat
• Não respeita ética
• Usa seus conhecimentos para fins “criminosos”
• Gray Hat
• Vive em cima do muro entre o White e o Black Hat
• Phreaker
• Um hacker especializado em telefonia (móvel ou fixa)
• Cracker
• Geralmente o criminoso que quebra um sistema de segurança de forma ilegal
• Black Hat !!?!?!?!
21. • Um hacker poderia ser um CSO mas um CSO dificilmente seria um Hacker
• Hacker = Carreira técnica
• Pen tester
• Bug Bounty
• Programador
• Pesquisador
• CSO (Chief Security Officer), CISO (Chief Information Security Officer) = Carreira Gerencial
• Gerência
• Diretoria
22.
23. • Série criada para que fossem reunidas de forma ordenada as diversas normas de Segurança da
Informação
• Série composta por normas publicadas pela International Organization for Standardization (ISO) e
International Electrotechnical Commission (IEC)
• Fornece recomendação das melhores práticas em Segurança da Informação, Gestão de Riscos e
Controle dentro de um Sistema de Gerenciamento da Segurança da Informação
• Série abrangente que não contempla somente questões técnicas, a ponto de ser aplicável em
qualquer Organização, sem se preocupar com tamanho ou segmento de mercado
24. • 27000 – Information Security Management Systems – Overview and Vocabulary
• 27001 – Information Security Management Systems – Requirements
• 27002 – Code of Pratice for Information Security Management
• 27003 – Information Security Management System Implementation Guidance
• 27004 - Information Security Management – Measurement
• 27005 – Information Security Risk Management
• 27006 – Requirements for Bodies Providing Audit and Certification of Information Security
Management Systems
• 27011 - Information Security Management Guidelines for Telecommunications Organizations Based
on ISO/IOC 27002
• 27031 – Guidelines for Information and Communications Technology Readiness for Business
Continuity
• 27033-1 - Network Security Overview And Concepts
• 27035 – Security Incident Management
• 27799 - Information Security Management in Health Using ISO/IEC 27002
25. • NIST
• US National Institute of Standards and Technology
• PSR
• New Zealand Security Intelligence Service’s Protective Security Requirements (PSR)
• ASD
• Australian Signals Directorate (ASD) Essential 8
• Parte da ASD Strategies to Mitigate Cyber Security Incidents
• COBIT
• Control Objectives for Information and Related Technology
• HIPAA (Health Insurance Portability and Accountability Act)
• US legislation to safeguard health/medical Information
• PCI DSS (PCI Security Standards Council)
• Cartão de Crédito
• COSO – AICPA – ITIL .............................
26. • GDPR (General Data Protection Regulation)
• Regulamento Geral de Proteção de Dados – Europa
• Tramitação iniciada em 2012 e aprovada em 2016
• Privacidade pessoal e o cuidado com a segurança dos dados armazenados
• O site da Empresa não pode armazenar nenhuma informação que possa identificar um usuário
sem o consentimento do mesmo
• Embora a GDPR tenha sido criada na União Europeia, qualquer empresa, que de alguma
maneira possa armazenar informações de cidadãos europeus, precisa estar de acordo com a
legislação vigente
27. • LGPD (Lei Geral de Proteção de Dados)
• Inspirada na GDPR
• Determina qual o processo correto para a coleta e o tratamento de dados pessoais
• Quais são as penalizações em casos de descumprimento e/ou vazamento de informações
pessoais
• A Organização ou Empresa deve garantir o direito de privacidade e proteção dos dados
pessoais dos usuários
• A penalização pelo descumprimento das regras pode ser desde uma advertência com prazos
para a adoção de medidas corretivas até 2% do faturamento no ano anterior limitado a R$ 50
milhões por infração
28.
29. • PHISHING
• Envio de um email com direcionamento para um download ou para um site falso
• LIGAÇÃO TELEFÔNICA (Vishing)
• Contato telefônico para obter informações
• Falso Sequestro ?
• SMShing (ou SMISHING)
• Envio de um SMS (mensagem no celular) com um link
• MERGULHO NO LIXO (Dumpster Diving)
• Literalmente um mergulho no lixo
• TAILGATING
• Entrar em uma Empresa ou lugar controlado na “aba” dos outros, sem utilizar crachá
• ABORDAGEM PESSOAL, USB ESQUECIDO, CABOS DE CARREGAMENTO DE APARELHO.......
30. • Fornece ao invasor o acesso ao sistema infectado e lhe permite um controle remoto
• RAT (Remote Access Trojans)
• Muitas vezes instalados em aplicações oficiais
• Lojas Virtuais (Google Play, Apple Store, Windows Store...) costumam fazer análises periódicas para
identificar aplicações maliciosas
• Falsificação (ou mascaramento) de endereços de IP, de DNS e de e-mails
• Simular uma fonte de IP confiável, editar o cabeçalho de um e-mail para parecer ser legítimo, ou
modificar o DNS a fim de redirecionar um determinado nome de domínio para outro endereço IP
31. • Sobrecarregar um servidor ou um computador com um alto volume de pedidos de pacote (PING)
• Sistema fica indisponível
• Ataque de negação de serviço distribuído, compartilha os pedidos para várias computadores
• Como se o “computador mestre” dominasse outros computadored para que, simultaneamente,
acessassem o mesmo recurso de um servidor, causando sobrecarga mesmo em alvos mais fortes
• Permite ao hardware da máquina ter um acesso direto à memória RAM sem passar pelo processador,
acelerando a taxa de transferência e processamento do computador
32. • Um programa com um conjunto de dados ou sequência de comandos
• Se aproveitam de vulnerabilidades de um sistema
• Geralmente criados por hackers como programas para demonstrar vulnerabilidades para que estas
possam ser corrigidas
• Objetivo de ganhar acesso não autorizado a sistemas
33.
34. • Cada um possui sua técnica e suas ferramentas
• Geralmente utilizam frameworks para ataques
• Exemplo de um Framework
1. Network Footprinting – Mapeamento
2. Discovery & Probing
3. Exploração de vulnerabilidades
35. • Redes Sociais
• Google Search
• Registro.br
• Netcraft
• Traceroute
• DNS Stuff
• Maltego
38. • Cuide das suas senhas
• Troque periodicamente
• Gerenciador de Senha?
• Não use seu email pessoal para cadastros “menos importantes”
• Crie um email para newsletters, mala direta e outros
• Atualize semanalmente seus dispositivos
• Sistemas Operacionais
• Dispositivos Móveis
• Configure corretamente sua rede Wifi
• Troque a senha que vem do fornecedor
• Altere o nome do usuário que acessa as configurações
• Atualize o firmware
