Os 10 erros mais comuns de segurança na operação de um ecommerce

1.707 visualizações

Publicada em

Wibinar E-commerce Brasil.
Este webinar tem o objetivo de compartilhar os principais pontos de segurança que um ecommerce deve considerar no momento do startup e na operação continuada do negócio na Internet.

0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.707
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
30
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Os 10 erros mais comuns de segurança na operação de um ecommerce

  1. 1. Os 10 erros mais comuns de segurança na operação de um ecommerce Gustavo F. de Souza Diretor
  2. 2. O  Histórico  do  Ecommerce  1979:  Criação  do  primeiro  shopping  Online;    1984:  Eletronic  Mall  foi  criado  pela  CompuServe;    1994:  O  primeiro  banco  online  foi  inaugurado;  1995:  Lançamento  da  Amazon.com;    2000:  Bolha  .com;    2011:    O  Ecommerce  no  Brasil  movimentou  mais  de  R$18  Bilhões  de  reais.  Nos  EUA  passou  de  US$197  Bilhões.  
  3. 3. Dados  relacionados  a  Segurança  no  Ecommerce  –  SiteBlindado   Problemas  na  1a.  Certificação  de   Segurança Falhas  Segurança   8% Aplicação 16% Sem  SSL 51% Problemas  de  DNS 25% Infectados   Malware
  4. 4. Problemas  de  Segurança  mais  comuns  SoPware  desatualizados;    Vulnerabilidade  de  Cross  Script  InjecUon;    Serviços  Desnecessários  disponíveis;    SQL  InjecUon;    Página  de  administração  disponível  para  qualquer  pessoa  acessar;    Página  de  login  sem  criptografia.  
  5. 5. En;dades  relacionadas  ao  ecommerce  Usuário:  Comprador    Website  B2C:  Vendedor;    Hacker:  enUdade  que  tenta  explorar  fragilidades  no  sistema;   Software   Ecommerce HackerSoPware  Ecommerce:  Plataforma  ou  soPware  desenvolvido  para  negócios  online.   Usuários Webite B2C
  6. 6. Vetores  de  ataques  ao  ecommerce   Malwares Programas Infectados Software Ecommerce Hacker Ataque Phishing Malware para estação Ataque de Aplicação Problemas conhecidos DDoS Usuários Interceptação dos dados da transação Website - Usuário Website B2C
  7. 7. Conceito  do  que  Proteger   1-­‐  Banco  de   dados   2-­‐  Aplicação   3-­‐  Interface  para   o  cliente   4-­‐  Firewalls,   Proxies,  IPSs,   WAF,  DNSs  
  8. 8. Gestão  de  Riscos  –  Conceito  Clássico  1-­‐  Confidencialidade    2-­‐  Integridade    3-­‐  Disponibilidade    4-­‐  IdenUficação  /  AutenUcação  /  Autorização    5-­‐  Auditoria  e  rastreabilidade    6-­‐Não  Repúdio  
  9. 9. Gestão  de  Riscos  –  Domínio  de  Infra  estrutura  Protação  isica  dos  aUvos  Gerenciamento  de  Rede  Controle  de  conteúdo  de  email  Segurança  de  Rede  Criptografia  Firewalls  ICP  Gerenciamento  de  Incidentes  SoPware  de  AnUvírus  CerUficado  digital  AutenUcação  segura  Controle  de  Acesso  Backup  e  outros  
  10. 10. Gestão  de  Riscos  -­‐  Matriz   Probabilida  de   Baixa   Alta   Ocorrência  Impacto  Baixo   Saber  da  existência.   Controlar  /  Monitorar.  Alto   GaranUr  que  exista  um   FOCO  –  Previnir  usando   plano  de  conUngência.   gestão  de  riscos,  corrigir.  
  11. 11. Os  Erros  mais  comuns  1-­‐  Armazenar  dados  de  clientes  e  cartão  de  crédito  em  claro.      Recomendação:      Armazenar  dados  de  clientes  criptografados.    Não  armazenar  dados  de  cartão  de  crédito  de  clientes  (uUlizar  gateways).      2-­‐  Não  avaliar  recorrentemente  a  segurança  da  aplicação.      Recomendação:    Realizar  análise  automaUzada  /  Testes  de  invasão  de  vulnerabilidades  sob  a  óUca  do  usuário.      
  12. 12. Os  Erros  mais  comuns  3-­‐  Não  ter  criptografia  em  páginas  críUcas  e  selo  de  credibilidade.      Recomendação:      Implantar  criptografia  forte  em  páginas  críUcas.    Implantar  métodos  de  troca  de  chaves  seguros.      Ter  selo  de  credibilidade  em  todas  as  URLs.    4-­‐  Não  uUlizar  autenUcação  forte  para  usuários  do  sistema.      Recomendação:    GaranUr  que  o  usuário  é  o  autorizado  para  transação.    Restringir  e  implantar  autenUcação  de  2  fatores  admins.      
  13. 13. Os  Erros  mais  comuns  5-­‐  Não  estar  protegido  contra  ataques  de  Negação  de  Serviços  (Dos  e  DDos).      Recomendação:      Implantar  mecanismo  de  proteção  de  ataques  de  DDos  no  DNS  e  Portal  (Interface).    6-­‐  Não  uUlizar  Web  applicaUon  Firewalls,  Firewalls,  Proxies  e  IPSs.      Recomendação:    Implantar  mecanismos  externos  de  proteção  de  aplicação  –  WAF.    Implantar  mecanismos  de  proteção  de  perímetros.      
  14. 14. Os  Erros  mais  comuns  7-­‐  Usar  soPwares  desatualizados.        Recomendação:      Implantar  mecanismo  de  verificação  de  versão  de  soPware.    Atualizar  periodicamente  os  soPwares/plataformas.    8-­‐  Não  ter  um  controle  de  disponibilidade  /  plano  de  conUnuidade  /  backup.      Recomendação:    Implantar  monitoração  de  performance  e  roUnas  de  conUngência  dos  serviços  críUcos.    Preservar  backups  atualizados  e  testes  regulares.      
  15. 15. Os  Erros  mais  comuns  9-­‐  Arquitetura  Segregada  e  proteção  de  dados.      Recomendação:      Implantar  segregação  de  ambientes  como:  Proxy  ou  WAF  de  entrada,  banco  de  dados  apenas  para  leitura  de  dados,  banco  de  dados  restrito  para  escrita.    Implantar  soPware  de  controle  de  vírus,  navegação  e  malware  para  colaboradores  do  portal  (funcionários).    10  –  Não  analisar  logs  da  aplicação,  banco  de  dados  e  perímetros.      Recomendação:    Analisar  diariamente  logs  dos  servidores  Web,  aplicação  e  banco.    Analisar  mecanismos  de  defesa  no  mínimo  diariamente.      
  16. 16. Obrigado!o  Gustavo Souza gustavo@siteblindado.com.br (11) 3165-4000

×