Como (não) invadirem o seu banco de dados.

2.656 visualizações

Publicada em

Apresentação de 5 minutos exibida no evento Women Teckmakers, no dia 08 de março de 2014, no escritório do Google em São Paulo.

Tema: segurança em banco de dados.

Publicada em: Tecnologia
2 comentários
3 gostaram
Estatísticas
Notas
Sem downloads
Visualizações
Visualizações totais
2.656
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1.791
Ações
Compartilhamentos
0
Downloads
10
Comentários
2
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Como (não) invadirem o seu banco de dados.

  1. 1. Como (não) invadirem seu banco de dados - Por Lílian Barroso 1
  2. 2. COMO (NÃO) INVADIREM SEU BANCO DE DADOS Um pouco sobre segurança em banco de dados para desenvolvedores. Por Lílian Barroso São Paulo, 08-03-2014 Como (não) invadirem seu banco de dados - Por Lílian Barroso
  3. 3. Um pouco sobre a Lílian ... • 12 anos na TI, sendo 7 anos como DBA • Especialista em Segurança da Informação • Casada – com um cara de TI *-* Como (não) invadirem seu banco de dados - Por Lílian Barroso 3
  4. 4. Como (não) invadirem seu banco de dados - Por Lílian Barroso 4
  5. 5. Quando se fala em segurança na TI... • Ih... vão bloquear toda a Internet ... • Token, biometria, senha de 16 caracteres ... Só falta o teste de DNA! • Criptografia? Depois não venham me cobrar performance... Como (não) invadirem seu banco de dados - Por Lílian Barroso 5
  6. 6. Atualmente, em uma corporação, o que é mais importante do que dinheiro? Como (não) invadirem seu banco de dados - Por Lílian Barroso 6 Quando se fala em segurança ...
  7. 7. Como (não) invadirem seu banco de dados - Por Lílian Barroso 7
  8. 8. Como (não) invadirem seu banco de dados - Por Lílian Barroso 8 O "ouro" das empresas são suas informações!!!
  9. 9. • Então, onde fica armazenado o pote de ouro da empresa? • E, como proteger o seu pote de ouro? Como (não) invadirem seu banco de dados - Por Lílian Barroso 9
  10. 10. Qual o motivo do ítem "SEGURANÇA DA INFORMAÇÃO" parar no perímetro do banco de dados??? Como (não) invadirem seu banco de dados - Por Lílian Barroso 10 ???
  11. 11. Segurança em Camadas • Tratar a segurança do banco de dados é colocar mais uma camada na segurança da TI! Como (não) invadirem seu banco de dados - Por Lílian Barroso 11
  12. 12. Alvos de Ataque! Servidor Perímetro Database Software Aplicação Cliente Contas (usuários) Dados Restritos Mudanças Criptografia Backup Auditoria Cliente Cliente Database Software Database Software Database Software Mudanças Contas (usuários) Contas (usuários) Contas (usuários) Aplicação Aplicação Aplicação Dados Restritos Dados Restritos Dados Restritos Backup Backup Backup Servidor Servidor Servidor Como (não) invadirem seu banco de dados - Por Lílian Barroso 12
  13. 13. Qual o motivo de pensarmos em segurança só depois do incêndio? Como (não) invadirem seu banco de dados - Por Lílian Barroso 13
  14. 14. Segredo: Desenvolva pensando no NEGÓCIO! • O desenvolvimento seguro deve ser feito pensando na manutenção do negócio. • A informação é o item de maior valor em uma empresa! Você sabe qual é o negócio, qual é a fonte de lucro da sua empresa? Você conhece a Política de Segurança da Informação da sua empresa? Como (não) invadirem seu banco de dados - Por Lílian Barroso 14
  15. 15. BBBWS... Como (não) invadirem seu banco de dados - Por Lílian Barroso 15
  16. 16. Como (não) permitir a invasão Pense em segurança desde o primeiro instante! Tenha MALDADE na sua cabeça! Tente pensar como um invasor. Como (não) invadirem seu banco de dados - Por Lílian Barroso 16
  17. 17. Dicas básicas • Tenha uma equipe "multidisciplinar": Traga o DBA e o Security Officer para sua equipe! Como (não) invadirem seu banco de dados - Por Lílian Barroso 17
  18. 18. Dicas básicas • Cuidado com senhas! Não manter senhas em texto puro no banco de dados. Se for necessário armazenar senhas, usar criptografia; • Use o princípio do menor privilégio!!! Como (não) invadirem seu banco de dados - Por Lílian Barroso 18
  19. 19. Dicas básicas • Valide os dados de entrada da sua aplicação. • nUNCa utilizar contas administrativas do banco de dados. SYS, SYSTEM, SA, ROOT! Como (não) invadirem seu banco de dados - Por Lílian Barroso 19
  20. 20. Dicas básicas • Aplique todos os patches de segurança disponibilizados pelo fabricante do SGDB; • Procure homologar sua aplicação para as novas versões de banco. Como (não) invadirem seu banco de dados - Por Lílian Barroso 20
  21. 21. Dicas básicas teste mais um pouco. Como (não) invadirem seu banco de dados - Por Lílian Barroso 21 • Teste, teste e, quando estiver cansado ...
  22. 22. Ops... peraí... repete?! Como (não) invadirem seu banco de dados - Por Lílian Barroso 22
  23. 23. Resumindo • O pote de ouro é o Banco de Dados! • Pense em segurança desde o início; • Esteja alinhado com o negócio da empresa; • Trabalhe em equipe – inclusive com as outras equipes! • Conheça tecnicamente as estratégias de segurança para DBs. Como (não) invadirem seu banco de dados - Por Lílian Barroso 23
  24. 24. E aí, seu pote de ouro está seguro??? Como (não) invadirem seu banco de dados - Por Lílian Barroso 24
  25. 25. Caso queira saber mais ... lilian.dba@gmail.com br.linkedin.com/in/lilianbarroso/ http://lilianbarroso.wordpress.com/ liliandba @liliandba Como (não) invadirem seu banco de dados - Por Lílian Barroso 25
  26. 26. Como (não) invadirem seu banco de dados - Por Lílian Barroso 26
  27. 27. Fontes de pesquisa: • https://www.owasp.org/index.php/Main_Page • http://g1.globo.com/tecnologia/noticia/2010/05/conheca-os-diferentes-tipos-de- vulnerabilidades-e-ataques-de-hackers.html • http://corporate.canaltech.com.br/noticia/ibm/Para-CEO-da-IBM-informacao-e-o-maior- recurso-natural-deste-seculo/ • http://en.wikipedia.org/wiki/Database_security • https://security.berkeley.edu/node/138?destination=node/138 • http://www.oracle.com/technetwork/topics/security/whatsnew/index.html • http://www.oracle.com/technetwork/articles/entarch/arch-approach-inf-sec-360705.pdf • http://pt.slideshare.net/artinfo/segurana-em-banco-de-dados Como (não) invadirem seu banco de dados - Por Lílian Barroso 27
  28. 28. Fontes (imagens) • http://pernaquebradarj.blogspot.com.br/2012/12/o-desespero-do-ator-e-falta-de-trabalho.html • http://aristizabalvegaseguros.com/site/ • www.accesssecurity.com • https://www.google.com.br/url?http://dearleticia.blogspot.com.br/2010/04/arco-iris-sonhos-e- chocolate-quente.html • http://technet.microsoft.com/en-us/library/cc767969.aspx • http://watchdogalarms.com.au/ • http://mariliabalbe.com/trabalho-em-equipe-quais-erros-voce-comete/ • http://makeitsafe.missouri.edu/topics/ • http://www.vectorstock.com/royalty-free-vector/pay-attention-handgesture-vector-692275 • http://security.iyogi.com/news/security-updates-microsoft-on-its-way-to-fix-patches.html • http://www.segurancadainformacao1.xpg.com.br/ameacaseataques.html Como (não) invadirem seu banco de dados - Por Lílian Barroso 28

×