5. MOTIVAÇÃO
Milhões de $$$ investidos
em segurança nos
ambientes corporativos
Incidentes… incidentes…
Mais milhões de $$$!
Incidentes…
Já falei dos milhões??? J
7. ”A” NÃO FALA COM ”B” NEM ”C”…
Se dependesse da quantidade de
soluções de InfoSec, não
teríamos mais problemas de
InfoSec…
Pior de tudo: cada uma
funcionando isoladamente (silos)
Nosso paradigma está correto?
8. ESTAMOS PERDIDOS!?!?
"A definição de insanidade é fazer
a mesma coisa repetidamente e
esperar resultados diferentes" -
Albert Einstein (!!!)
Em resumo: cometemos os
mesmos erros há anos… e não
adianta botar a culpa no usuário!
Software continua mal escrito,
vulnerabilidades antigas ainda
presentes, ”stupid
assumptions”...
(!!!) Ok, não foi ele que disse isso mas vou usar a frase mesmo assim! :-)
9. HOW TO SUCK AT INFOSEC?
https://blog.marcelosouza.com/como-ser-um-idiota-em-seginfo-reloaded/
13. CENÁRIO 1: DUMP DE SENHAS
”Senha forte é bobagem!”
NLTM hashes de senhas de 8 caracteres
(números e letras min.) à quebradas em
< 1 minuto (Rainbow Table de 8GB)
mimikatz (2012) rul3z!!!
Muitas vezes nem é necessário quebrar
hashes (WDigest)
14. CENÁRIO 1: DUMP DE SENHAS
Vídeo (dump LSASS)
http://ophcrack.sourceforge.net/tables.php
18. NÃO MELHORAMOS NADA?!?
Não o bastante!
Algumas poucas iniciativas em busca de melhorias
Reviravoltas em InfoSec ”pós-Snowden” (2013)
TLS ”everywhere”, HSTS, ”cloud fear”...
”APT fear” (não é FUD!)
Mudança de mentalidade interessante (~2014/2015)
”vulnerability-centric” à ”threat-centric”
19. VULN MNGMT X THREAT INTEL
https://www.google.com/trends/explore?q=vulnerability%20management,thre
at%20intelligence
21. ”INCIDENT-CENTRIC” INFOSEC
Necessidade de mais uma mudança de paradigma
”vulnerability-centric” à ”threat-centric” à ”incident-
centric”
Mudança não significa abandonar totalmente o legado
Dar a devida importância a Resposta a Incidentes
Em outras palavras: ”Vou ser invadido cedo ou
tarde, melhor estar preparado!”
Pro+Pe+Tec and Situational Awareness to the
rescue!
23. SITUATIONAL AWARENESS
Mecanismos para perceber
quando incidentes acontecem e
reagir a eles
Objetivo principal: auxiliar no
tempo de resposta
Yahoo levou 2 anos (!!!) pra descobrir
o vazamento de 500M contas
Necessidade de integração
entre as ferramentas de
segurança
Correlação e
contextualização de eventos
IOCs + Logs + Tráfego de
rede