The Business of Hacking
Uma introdução a profissionalização do Crime
Digital
Eduardo Vianna de Camargo Neves, CISSP, CISM
...
A evolução do Crime Digital
Um grupo criminoso invadiu os sistemas de diversas empresas,
capturando dados de cartões de crédito e débito para venda no...
45.000.000
números de cartões
de crédito e débito
180.000.000
números de cartões
de crédito e débito
e dados pessoais
de c...
Fonte: Corkery, Michael. Hackers’ $81 Million Sneak Attack on World Banking.The New York Times. 30/04/16.
Banco Central de...
Fonte: Lumb, David. ATM Hacking Spree Nets Thieves $12.7 Million in Two Hours. Engadget. 23/05/16.
Standard Bank: U$ 12,7 ...
Qual foi a principal diferença
entre casos ocorridos com um
intervalo de quase uma
década?
Operation Get Rich or Die Tryin’
“He knew
computers. He
knew fraud. He was
good.”
Operation Get Rich or Die Tryin’ foi
uma...
“Being good in
business is the most
fascinating kind of
art. Making money
is art and working is
art and good
business is t...
Anatomia do Crime Digital
O crime digital movimenta sua própria economia, com impactos
estimados por algumas fontes em até U$ 445 milhões ao ano1
Os...
Conhecimento técnico avançado
com especialização em produtos e
serviços
Conhecimento técnico variado
Conhecimento técnico ...
Nossas fragilidades são conhecidas e muito bem exploradas
80%
De
componentes
Open Source
com
vulnerabilidades
+153
%
Cresc...
Nossas defesas não estão sendo utilizadas com efetividade
Fontes: HPE Cyber Risk Report 2016 e Tecnologias e práticas de s...
Interrompendo o Crime Digital
Assim como nas organizações legítimas, os negócios do Crime Digital
têm características que podem ser posicionadas em uma ...
E estas características podem ser usadas, em conjunto com as metas
para os negócios deles, no entendimento e interrupção d...
Podemos usar defesas efetivas baseadas em tecnologias que já existem
no mercado
Implementar um modelo para
segurança de so...
Conclusões
O Crime Digital S.A. é um negócio como o nosso. Se pensarmos nele
como um concorrente, podemos priorizar os esforços mais ...
“Se você conhece o inimigo e
conhece a si mesmo, não
precisa temer o resultado de
cem batalhas.”
Sun Tzu, A Arte da Guerra
Obrigado.
Eduardo Vianna de Camargo Neves, CISSP, CISM
eduardo.neves@hpe.com
@odseven
The Business of Hacking
The Business of Hacking
Próximos SlideShares
Carregando em…5
×

The Business of Hacking

147 visualizações

Publicada em

The Business of Hacking : Uma introdução a profissionalização do Crime Digital - Apresentação realizada no HPE Government Summit 2016, realizado em Brasília no dia 28/06/16.

Publicada em: Software
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
147
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
7
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Fonte: Verini, James. The Great Cyberheist. The New York Times. 10/11/10.
    Imagem licenciada em Creative Commons por Jared Tarbell
  • Fonte: Verini, James. The Great Cyberheist. The New York Times. 10/11/10.
    Imagem licenciada em Creative Commons por Jared Tarbell
  • This is a sample Title Slide with Picture ideal for including a dark picture with a brief title and subtitle.

    A selection of pre-approved title slides are available in the HPE Title Slide Library. The location of the library will be communicated later.

    To insert a slide with a different picture from the HPE Title Slide Library:

    Open the file HPE_16x9_Title_Slide_Library.pptx

    From the Slide thumbnails pane, select the slide with the picture you would like to use in your presentation and click Copy (Ctrl+C)

    Open a copy of the new HPE 16x9 template (Standard or Events) or your current presentation

    In the Slide thumbnails pane, click Paste (Ctrl+V)

    A Paste Options clipboard icon will appear. Click the icon and select Keep Source Formatting. (Ctrl+K)
  • The Business of Hacking

    1. 1. The Business of Hacking Uma introdução a profissionalização do Crime Digital Eduardo Vianna de Camargo Neves, CISSP, CISM Regional Product Marketing Manager, LAC HPE Security HPE Government Summit Brazil 2016 1
    2. 2. A evolução do Crime Digital
    3. 3. Um grupo criminoso invadiu os sistemas de diversas empresas, capturando dados de cartões de crédito e débito para venda no mercado negro Pesquisa Infiltração Descoberta Captura Exfiltração Monetização
    4. 4. 45.000.000 números de cartões de crédito e débito 180.000.000 números de cartões de crédito e débito e dados pessoais de clientes Fonte: Verini, James. The Great Cyberheist. The New York Times. 10/11/10.
    5. 5. Fonte: Corkery, Michael. Hackers’ $81 Million Sneak Attack on World Banking.The New York Times. 30/04/16. Banco Central de Bangladesh: U$ 81 milhões transferidos para contas sem rastreabilidade nas Filipinas 1. Contaminação por malware nos sistemas do Banco Central de Bangladesh 2. Captura das credenciais para autenticação na rede financeira SWIFT 3. Execução das ordens de transferência 4. Lavagem e saque do dinheiro transferido 1 2 3 4
    6. 6. Fonte: Lumb, David. ATM Hacking Spree Nets Thieves $12.7 Million in Two Hours. Engadget. 23/05/16. Standard Bank: U$ 12,7 milhões sacados de caixas eletrônicos nas cercanias de Tóquio ao longo de três horas 1. Dados legítimos capturados na África do Sul 2. Cartões são clonados com informações legítimas de clientes do Banco 3. Saques realizados em mais de 100 caixas eletrônicos da Região 1 2 3
    7. 7. Qual foi a principal diferença entre casos ocorridos com um intervalo de quase uma década?
    8. 8. Operation Get Rich or Die Tryin’ “He knew computers. He knew fraud. He was good.” Operation Get Rich or Die Tryin’ foi uma fraude coordenada por um grupo de hackers de alto nível, liderados por Albert Gonzalez, que hoje cumpre duas penas consecutivas de 20 anos de prisão nos EUA.
    9. 9. “Being good in business is the most fascinating kind of art. Making money is art and working is art and good business is the best art.” ― Andy Warhol Bem vindo ao mundo do Crime Digital S.A.
    10. 10. Anatomia do Crime Digital
    11. 11. O crime digital movimenta sua própria economia, com impactos estimados por algumas fontes em até U$ 445 milhões ao ano1 Os criminosos, como em qualquer outro negócio, preferem obter o maior lucro possível trabalhando o mínimo possível com risco reduzido. – Especialização por mercado – Qualidade e inovação de ofertas – Marketing e vendas – Serviço de suporte ao cliente – Funções de assistência ao produto final – Reputação e referências Fonte: (1) Storm, Darlene. $445 Billion: Bloated BS or the True Cost of Cybercrime? Computerworld. 09/06/14.
    12. 12. Conhecimento técnico avançado com especialização em produtos e serviços Conhecimento técnico variado Conhecimento técnico variado Pouco ou nenhum conhecimento técnico Gestores Especialistas Intermediários e Vendedores Script-kiddies e Mulas Membros Nossos negócios se sobrepõem de tantas maneiras que deveríamos começar a enxergar esses criminosos como concorrentes • Pesquisadores de segurança • Desenvolvedores de ferramentas • Desenvolvedores de malware • Coleta de credenciais e informações • Vulnerabilidades Zero Day • Exploração de novas tecnologias • Provedores de serviços especializados • Serviços de avalista • Verificação de antecedentes • Serviços de terceiro depositário • Recrutamento • Lavagem de dinheiro • Operadores de ferramentas • Mulas para suporte ao crime • Compradores • Observadores
    13. 13. Nossas fragilidades são conhecidas e muito bem exploradas 80% De componentes Open Source com vulnerabilidades +153 % Crescimento de vulnerabilidades em Android OS a cada ano +14 % Aumento no uso de componentes Open Source 75 % Aplicações móveis com vulnerabilidade s 8/10 Vulnerabilidades exploradas são conhecidas há 3 anos ou mais 100K Trojan bancários detectados Fonte: HPE Cyber Risk Report 2016
    14. 14. Nossas defesas não estão sendo utilizadas com efetividade Fontes: HPE Cyber Risk Report 2016 e Tecnologias e práticas de segurança mais eficazes, UBM, HPE, Maio de 2016 Processos para gerenciamento de patches 60% Contam com processos para gerenciamento de patches 20% Consideram que isso dificulta o trabalho dos adversários 44% Dos incidentes aproveitam falhas de segurança conhecidas Testes de segurança em software móvel 36% Testam a segurança de aplicativos móveis 75% Aplicações móveis com vulnerabilidades +153% Crescimento de vulnerabilidades em Android OS a cada ano 5X Dos investimentos em segurança de borda e para a rede de dados 84% Dos incidentes são iniciados por vulnerabilidades em software 41% Não usam autenticação forte para contas privilegiadas Investimentos em defesas digitais
    15. 15. Interrompendo o Crime Digital
    16. 16. Assim como nas organizações legítimas, os negócios do Crime Digital têm características que podem ser posicionadas em uma Matriz SWOT
    17. 17. E estas características podem ser usadas, em conjunto com as metas para os negócios deles, no entendimento e interrupção dos seu valores
    18. 18. Podemos usar defesas efetivas baseadas em tecnologias que já existem no mercado Implementar um modelo para segurança de software integrado ao SDLC HPE Security Fortify Análise dos ambientes dentro e fora da Organização para uma tomada de decisão precisa HPE Security ArcSight Criptografar os dados onde estiverem, em repouso, em movimento ou em uso HPE Security Data Security Reduzir a capacidade de venda e lucro potencial Monitorar os ambientes com amplitude e precisão Fechar as portas de entrada mais usadas
    19. 19. Conclusões
    20. 20. O Crime Digital S.A. é um negócio como o nosso. Se pensarmos nele como um concorrente, podemos priorizar os esforços mais eficazes para interrompê-lo Todas as tecnologias de segurança têm a finalidade de desacelerar os adversários de alguma forma, com graus de eficácia variáveis. É nosso dever introduzir essas tecnologias para interromper o negócio dos criminosos de forma contínua. – Manter controles básicos de segurança de forma adequada – Proteger o legado pensando na evolução das ameaças e não nos controles que sempre funcionaram – Não temer novas tecnologias e sim adequar a segurança de acordo com as necessidades específicas da sua Organização
    21. 21. “Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas.” Sun Tzu, A Arte da Guerra
    22. 22. Obrigado. Eduardo Vianna de Camargo Neves, CISSP, CISM eduardo.neves@hpe.com @odseven

    ×