Site blindado como tornar loja virtual mais segura e vender mais

326 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
326
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
3
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Site blindado como tornar loja virtual mais segura e vender mais

  1. 1. Como tornar lojavirtual mais segura evender maisMauro Risonho de Paula AssumpçãoPentester/Analista em Vulnerabilidadesmauro.risonho@siteblindado.com.brwww.siteblindado.com.brhttp://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile
  2. 2. CenárioEm 2012, 31% dos ataques virtuaismiravam as PME’s (Pequenas e MédiasEmpresas), justamente por serem empresasque se atentam menos àsquestões de segurança.
  3. 3. Pergunta 1Você conhece os principais problemas desegurança enfrentados pelomercado de e-commerce?
  4. 4. Pergunta 2E as causas de perda de dados,problemas e impactos que um ataque podegerar à imagem da sua loja virtual e aosseus negócios?
  5. 5. Anti-DDoS
  6. 6. Práticas Anti DDoSObjetivoMonitorar e entender o perfil do(s) atacante(s) paraevitar o máximo de tempo de indisponibilidade desites, e-commerces, blogs e outros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  7. 7. Riscos x Benefícios● Riscos– Atuação reativa aos problemas de segurança;– Indisponibilidades dos sites e do ambiente deinternet;– Falta de visibilidade sobre o nível real do risco daempresa;
  8. 8. Riscos x Benefícios● Riscos– Atuação reativa aos problemas desegurança;
  9. 9. Riscos x Benefícios● Riscos– Indisponibilidades dos sites e do ambientede internet;
  10. 10. Riscos x Benefícios● Riscos– Falta de visibilidade sobre o nível real do risco daempresa;
  11. 11. Riscos x Benefícios● Benefícios– Identificar claramente os riscos de negócio;– Maior efetividade nos planos mitigadórios;– Maximizar a eficiência de ações de contenção dosataques;
  12. 12. Riscos x Benefícios● Benefícios– Identificar claramente os riscos de negócio;
  13. 13. Riscos x Benefícios● Benefícios– Maior efetividade nos planos mitigadórios;
  14. 14. Riscos x Benefícios● Benefícios– Maximizar a eficiência de ações de contenção dosataques;
  15. 15. O que é DDoS ?●DDoS– Ataque Distribuído de negação de serviço (DDoS - Distributed Denial ofService) um computador mestre (denominado "Master") terá sob seucomando milhares de computadores ("Zombies" - zumbis).
  16. 16. O que é DDoS ?
  17. 17. O que é DDoS ?● DDoS– No ataque de negação distribuído, váriasmáquinas de potenciais usuárioslegítimos do sistema requisitarão oserviço alvo ao mesmo tempo.– A resposta automática a um ataque destetipo seria negar o serviço aos atacantes,mas é inviável se distinguir dentre asrequisições, quantas, quais vem dosusuários legítimos dos atacantes– Isso torna o ataque inevitalvemente comsucesso, pois os servidores não dãoconta de todo esse volume de acesso eparam de funcionar
  18. 18. O que é DDoS ?
  19. 19. Nossa única linha de defesa é pelo estudo e monitoração dosatacantes. Através do acompanhamento de mídias e redes sociais,identificamos uma série de sites que, por falhas de segurança,tiveram o código malicioso de ataque injetado nos seus servidorespara que usuários mal intencionados realizem o ataque de formamais anônima.Solução/Mitigação
  20. 20. Dado que parte dos ataques virão dos servidores (endereços fixosde internet), planejamos uma linha de mitigação que bloqueará assolicitações vindas desses servidores casos uma grande massa derequisições vindas dessa origem seja iniciada.Para que a defesa seja efetiva, nossos atacantes não podem terciência de seu modus operandi.Caso ela seja identificada, eles poderão contorná-la simplesmentebloqueando o acesso as listas de servidores infectados, ou usandodiretamente botnets (máquinas zumbis).Solução/Mitigação
  21. 21. As linhas de defesa da maioria das empresas para ataques do tipoDDoS são frágeis e pouco efetivas.O mercado em geral está mal preparado para esse tipo de ataque.Solução/Mitigação
  22. 22. As linhas de defesa da maioria das empresas para ataques do tipoDDoS são frágeis e pouco efetivas.O mercado em geral está mal preparado para esse tipo de ataque.Solução/Mitigação
  23. 23. Perda de dados – SSL
  24. 24. Perda de dados – SSLObjetivoImplementar segurança para evitar o máximo devazamento de informações valiosas de sites,e-commerces, blogs e outros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  25. 25. Riscos x Benefícios● Riscos– Vazamento de informação sigilosa;
  26. 26. Riscos x Benefícios●Riscos– Vazamento de informação sigilosa;
  27. 27. Riscos x Benefícios● Benefícios– As informações trafegando com mais segurança nosite
  28. 28. Phishing – SSL EV
  29. 29. Phishing – SSL EVObjetivoUma forma de garantir mais segurança e provar oambiente é autêntico para sites, e-commerces, blogs eoutros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  30. 30. Riscos x Benefícios● Riscos– Vazamento de informação sigilosa;– Falta de autenticidade do ambiente.
  31. 31. Riscos x Benefícios● Riscos– Vazamento de informação sigilosa;– Falta de autenticidade do ambiente.http://adrenaline.uol.com.br/internet/noticias/16502/falso-groupon-oferece-iphone-5-a-r599.html
  32. 32. Riscos x Benefícios● Benefícios– As informações trafegando com mais segurança nosite e também mostrando informações sobre aempresa
  33. 33. Principais tipos de malwareBlacklist – Anti malware
  34. 34. Tipos de malwareObjetivoUma forma de garantir mais segurança, através deidentificação e remoção de malwares em sites,e-commerces, blogs e outros aplicativos web.MotivaçãoEstruturar um plano de linha de defesa mínimo dadasas limitações das empresas para ataques dessanatureza.
  35. 35. Riscos x Benefícios●Riscos– Blacklist de malware no Google– Infecção do site e replicação pela internet– Roubo de informações financeiras– Outros
  36. 36. Riscos x Benefícios●Riscos– Blacklist de malware no Google– Infecção do site e replicação pela internet– Roubo de informações financeiras– Outros
  37. 37. Riscos x Benefícios● Benefícios– O site está livre de infecções– Não será bloqueado pelo Google
  38. 38. Informações Gerais
  39. 39. ClassificaçãoVulnerabilidades x impacto- Confidencialidade- Integridade- DisponibilidadeQuanto às características da Informação - CID
  40. 40. Escopo dos RiscosRecursos x Vetores de AtaqueTecnologiaProcessosPessoasAmbienteElementos do Negócio
  41. 41. ResultadosClassificação das vulnerabilidadesAltoMédioBaixoVulnerabilidades encontradas no ambiente
  42. 42. +10000 CLIENTES4.000 blindagem + 2000 SSL + 2000 antimalware + outros produtos
  43. 43. Mauro Risonho de Paula AssumpçãoPentester/Analista em Vulnerabilidadesmauro.risonho@siteblindado.com.brwww.siteblindado.com.brhttp://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile

×