Clavis Segurança da Informação - Unicarioca 13/05/2010 por Rafael Soares Ferreira

2.331 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
2.331
No SlideShare
0
A partir de incorporações
0
Número de incorporações
125
Ações
Compartilhamentos
0
Downloads
93
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • S3nh4 e p4ssw0rd também são senhas consideradas fracas. Além de serem comuns, são muito parecidas com senhas usuais.
  • Exemplos: [Lh!CbLr?d!Zz?] -> “Olha a cabeleira do Zezé”, só as consoantes + símbolos especiais + alternando maiúsculas e minúsculas. Lembre-se, esta senha não é mais aconselhada pois está escrita aqui. Se há dificuldade em gravar a senha é preferível anotá-la em um papel e guardá-la em local seguro a usar uma senha fraca, de fácil memorização.
  • “ Malware se disfarça de extensão para Firefox e rouba senhas de bancos.” http://idgnow.uol.com.br/seguranca/2008/12/04/malware-se-disfarca-de-extensao-para-firefox-e-rouba-senhas-de-bancos/ Por IDG News Service/Reino Unido Publicada em 04 de dezembro de 2008 às 12h31
  • “ Malware se disfarça de extensão para Firefox e rouba senhas de bancos.” http://idgnow.uol.com.br/seguranca/2008/12/04/malware-se-disfarca-de-extensao-para-firefox-e-rouba-senhas-de-bancos/ Por IDG News Service/Reino Unido Publicada em 04 de dezembro de 2008 às 12h31
  • Clavis Segurança da Informação - Unicarioca 13/05/2010 por Rafael Soares Ferreira

    1. 2. Alguns Clientes Lista completa de clientes em: http://www.clavis.com.br/empresa/clientes.php
    2. 3. Alguns Parceiros Lista completa de parceiros em: http://www.clavis.com.br/empresa/parceiros.php
    3. 4. Atuante em áreas como análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações Serviços prestados em empresas nacionais, internacionais, órgãos públicos e forças armadas Palestras ministradas em eventos como EnCSIRTs, SegInfo, Congresso Digital, Fórum de Software Livre RJ, Ultra Maratona How To de Software Livre, FLISOL, Unicarreira entre outros ;) Na Academia Clavis ministra os cursos de Testes de Invasão em Redes sem Fio, Teste de Invasão em Redes e Sistemas e Análise Forense Computacional. Rafael Soares Ferreira
    4. 5. Segurança da Informação em Ambientes Corporativos Atualidade e Projeção de Mercado Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias [email_address]
    5. 6. Disponibilidade Serviços/Recursos do sistema disponíveis sempre que necessário Confidencialidade Disponibilidade garantida somente àqueles devidamente autorizados Integridade Informação não está destruída ou corrompida e o sistema tem um desempenho correto. Segurança da Informação
    6. 7. Segurança da Informação Furtar informações pessoais Armazenar arquivos ilícitos Destruir informações (vandalismo) Propagar vírus e/ou outros códigos maliciosos Lançar ataques >> Por que alguém se interessaria em invadir meu computador?
    7. 8. >> Vulnerabilidades Conceitos Falhas de projeto, implementação ou configuração de um software Podem resultar na violação da segurança de um sistema Algumas vezes são descobertas pelo próprio fabricante, outras não...
    8. 9. >> Vulnerabilidades Conceitos Security Focus http://www.securityfocus.com/vulnerabilities Secunia http://secunia.com/historic_advisories/ Listas de segurança dos softwares utilizados Onde encontrá-las?
    9. 10. >> Incidentes de Segurança Conceitos Evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas ou redes de computadores O ato de violar uma política de segurança, explícita ou implícita
    10. 11. >> Senhas Conceitos Não use: <ul><li>O seu próprio login </li></ul><ul><li>O seu nome, o nome do seu cachorro, dos seus filhos, </li></ul>da sua tia, namorada (o), etc... <ul><li>Sua data de nascimento, ou a do seu cachorro, gato, </li></ul>filhos, tia, vizinha, etc...
    11. 12. >> Senhas Conceitos Não use: <ul><li>A placa do seu carro, o seu RG, CPF, etc... </li></ul><ul><li>Palavras existentes em português, inglês, alemão, </li></ul>espanhol, japonês, russo, klingon, elfo, javanês, etc... <ul><li>Senhas simples, como sequências de letras ou números </li></ul>(1234, abcde, qwerty, etc.).
    12. 13. Conceitos >> Senhas Dicas: <ul><li>Use pelo menos 8 caracteres. </li></ul><ul><li>Use letras, números e caracteres especiais. </li></ul><ul><li>Alterne entre caixa baixa e caixa alta. </li></ul><ul><li>Senhas geométricas. </li></ul><ul><li>Use letras que formam frases (poemas, letras de música). </li></ul>
    13. 14. Conceitos >> Códigos Maliciosos <ul><li>Vírus
    14. 15. Worms
    15. 16. Cavalos de Tróia
    16. 17. Backdoor
    17. 18. Keyloggers
    18. 19. Rootkits </li></ul>
    19. 20. Conceitos >> Códigos Maliciosos <ul><li>Bombas Lógicas
    20. 21. Spyware / Adware
    21. 22. Bots / Botnets </li></ul>
    22. 23. Principais Ameaças <ul><li>Vírus, Worms, Cavalos de Tróia ...
    23. 24. Acesso não Autorizado (Interno/Externo)
    24. 25. Fraudes / Engenharia Social
    25. 26. Furto de Equipamentos
    26. 27. Negação de Serviço
    27. 28. Pichação de Sites (Defacement) </li></ul>
    28. 29. Principais Ameaças <ul><li>Injeção de Códigos
    29. 30. Senhas Padrão / Força Bruta
    30. 31. Captura de Tráfego
    31. 32. Vulnerabilidades </li></ul>
    32. 33. Fonte: Cert.br Principais Ameaças
    33. 34. Fonte: Cert.br Principais Ameaças
    34. 35. Principais Ameaças Fonte: Cert.br
    35. 36. Fonte: Cert.br Principais Ameaças
    36. 37. Política de Segurança <ul><li>Normas, Processos e Diretrizes
    37. 38. Continuidade do Negócio
    38. 39. Conscientização e Orientação
    39. 40. Padronização nos processos organizacionais
    40. 41. Definição de responsabilidades
    41. 42. Conformidade </li></ul>
    42. 43. Capacitação e Cultura em SI <ul><li>Divulgação dos conceitos de segurança
    43. 44. Melhor aceitação de controles de segurança
    44. 45. Conscientização sobre os riscos
    45. 46. Capacitação Técnica
    46. 47. Prevenção contra ataques de Engenharia </li></ul>Social
    47. 48. <ul><ul><li>Política de Segurança ou de uso aceitável </li></ul></ul><ul><ul><li>Programa de Treinamento em SI para funcionários </li></ul></ul>Fonte: Cetic.br Medidas de Apoio à SI
    48. 49. Proteção Corporativa <ul><li>Controles de Acesso
    49. 50. Sistemas de Detecção/Prevenção de Intrusão
    50. 51. Sistemas de Monitoramento
    51. 52. Sistemas Anti­vírus e Anti­Spam
    52. 53. Filtro de Conteúdo Web
    53. 54. Soluções de Backup e Redundância
    54. 55. Gerenciamento de Registros (Logs) </li></ul>
    55. 56. Fonte: Cetic.br Tecnologias Adotadas
    56. 57. Fonte: Cetic.br Tecnologias Adotadas
    57. 58. Análise Executiva de Segurança <ul><li>Mapeamento de processos
    58. 59. Análise de vulnerabilidades
    59. 60. Avaliação do grau de exposição
    60. 61. Conformidade com boas práticas </li></ul>
    61. 62. Administração Segura de Servidores <ul><li>Análise de desempenho e vulnerabilidades
    62. 63. Constante fortalecimento dos servidores
    63. 64. Controles de segurança
    64. 65. Alta Disponibilidade </li></ul>
    65. 66. Teste de Invasão (PenTest) <ul><li>Simulação de ataques reais
    66. 67. Teste dos controles de segurança existentes
    67. 68. Homologação e Conformidade
    68. 69. Testa sistemas, equipes e processos
    69. 70. OSSTMM, ISSAF, NIST800-42, OWASP </li></ul>
    70. 71. >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> OWASP Open Web Application Security Project >> ISSAF Information Systems Security Assessment Framework Teste de Invasão (PenTest)
    71. 72. Segurança em Redes sem Fio <ul><li>Projeto e Implementação segura
    72. 73. Cobertura e Exposição
    73. 74. Controles de Acesso ao meio
    74. 75. Políticas de Uso </li></ul>
    75. 76. Resposta a Incidentes de Segurança <ul><li>Encaminhamento de incidentes
    76. 77. Recomendações de correção
    77. 78. Isolamento e Contensão
    78. 79. Recuperação
    79. 80. Investigação das causas principais
    80. 81. Implementação de Correções </li></ul>
    81. 82. Análise Forense Computacional <ul><li>Coleta de dados
    82. 83. Preservação das Evidências
    83. 84. Correlação das Evidências
    84. 85. Elaboração da linha do tempo
    85. 86. Respaldo jurídico
    86. 87. Laudo pericial </li></ul>
    87. 88. Profissional de SI <ul><li>Pró-atividade
    88. 89. Ética
    89. 90. Discrição
    90. 91. Base Sólida em TI
    91. 92. Especializações / Certificações </li></ul>
    92. 93. Mercado de SI <ul><li>Crescimento do número de ameaças virtuais nos últimos anos
    93. 94. Aumento da necessidade de investimentos em soluções de SI
    94. 95. Na América Latina, os negócios nesta área movimentaram US$ 186,1 milhões em 2007 e alcançarão US$ 598,4 milhões em 2013.
    95. 96. O Brasil é o país com maior participação na receita da região, com 33,5%. Em seguida vem o México, com 28,8% do mercado. </li></ul>Pesquisa aponta crescimento exponencial no mercado de segurança da informação Fonte: O Globo
    96. 97. Fim... Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br

    ×