Apresentação de 5 minutos exibida no evento Women Teckmakers, no dia 08 de março de 2014, no escritório do Google em São Paulo.
Tema: segurança em banco de dados.
Protegendo as informações e a base de dadosZipCode
A ZipCode traz uma entrevista exclusiva com Karla Ynonye, Gerente de Tecnologia da Informação da empresa, que fala sobre a importância de auditoria, criptografia do Banco de Dados, qualidade das informações e como lidar com a mão de obra humana dentro de uma empresa provedora de informações.
Com o avanço das tecnologias, a preocupação das empresas com a proteção das bases de dados tem se tornado cada vez mais evidente. Acompanhe a entrevista e saiba como se precaver para que os dados sigilosos não vazem de forma alguma, pois essa é a melhor forma de segurança que uma empresa pode ter.
Protegendo as informações e a base de dadosZipCode
A ZipCode traz uma entrevista exclusiva com Karla Ynonye, Gerente de Tecnologia da Informação da empresa, que fala sobre a importância de auditoria, criptografia do Banco de Dados, qualidade das informações e como lidar com a mão de obra humana dentro de uma empresa provedora de informações.
Com o avanço das tecnologias, a preocupação das empresas com a proteção das bases de dados tem se tornado cada vez mais evidente. Acompanhe a entrevista e saiba como se precaver para que os dados sigilosos não vazem de forma alguma, pois essa é a melhor forma de segurança que uma empresa pode ter.
Como desenvolver sites utilizando Design ResponsivoPopUp Design
Um panorama do Design Responsivo incluindo aspectos teóricos e práticos com a intenção de fornecer aos profissionais da área as ferramentas
necessárias para projetar, desenvolver e executar projetos.
Guia de estilos para a interface do usuárioPopUp Design
Assista o video da palestra:
https://www.eventials.com/pt-br/locaweb/guias-de-estilo-para-a-interface-do-usuario/
Entregar conceitos de design sempre foi uma tarefa confusa. Wireframes são arbitrários e pouco precisos, mock-ups de alta fidelidade são precisos demais e acabam tomando uma grande quantidade de tempo... Somado a este problema a infinidade de dispositivos com formatos, tamanhos e resoluções de tela diferentes fica bem difícil prever todas as necessidades de um determinado projeto, tanto na etapa de criação visual quanto no processo de desenvolvimento front-end.
Afinal, como criar layouts para a internet sem perder tempo?
Relembre os bons tempos de brincar de lego, entenda por que wireframes são seus amigos (mais nem tanto), aprenda a planejar websites como sistemas, defina com precisão interações, coloque ordem no front e construa os seus próprios Guias de Estilo para a interface do usuário.
All matter, no matter how complex, can be broken down into molecules which can be broken down further into atomic elements. All web interfaces can be broken down down the same way. Atomic Design provides a methodology for building an effective design system. It consists of five distint stages: atoms, molecules, organisms, templates and pages.
Você já sentiu isso? Aquele frio na barriga e o coração batendo mais forte? Você não sabe o que, mas alguma coisa está dando errado no seu teste de penetração. Você não consegue penetrar em nada. Não serão apenas novas técnicas, mas verdadeiras mudanças na sua visão. Aquele momento que dá um estalo quando você vê como fazer de verdade e que tudo era tão simples. Te espero para contar todos os segredos.
[In]segurança - Falhas Simples e Grandes Impactos Daybson Bruno
Esta palestra aborda a importância da segurança da informação, como podemos atuar na área e mostra algumas das principais técnicas que cyber criminosos utilizam para ganhar acesso a uma empresa. Incluindo algumas medidas de proteção.
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
Este slideshow dá uma idéia clara do que é o Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web, e da oferta de uso do Sistema RedeSegura que desenvolvo em parceria com a N-Stalker. As aplicações web são o maior alvo de ataques maliciosos nos últimos tempos, e segundo o Gartner (2009) 75% dos problemas de segurança na internet já são atribuídos às aplicações web. Isso se deve, entre outros fatores, à integração de várias tecnologias e objetos usados na construção das aplicações web, e a falta de requisitos de segurança no processo do desenvolvedor. Não basta Segurança de Rede se as aplicações tiverem vulnerabilidades exploráveis por hackers maliciosos. Os riscos para alguns segmentos de negócio são muito elevados, como no mercado financeiro, serviços, e-commerce, e sites de conteúdo de informação que apóiam decisão, além de sistemas corporativos como CRM, ERPs, RH, etc.
Teste e Análise de Vulnerabilidades em Aplicação e servidores web vem sendo uma prática para incrementar as políticas de segurança da informação (GSI) das empresas que dependem da internet para realizar seus negócios sem riscos para seus Clientes e Parceiros, e dar credibilidade às suas marcas, além de estimular um ambiente de negócios mais seguro na internet.
1 Angler.. do auge ao declínio?
2 Ataques POS – Caso Wendy’s
3 Duplo fator de autenticação vs Engenharia Social - Caso
GMAIL!
4 0 Day Adobe Flash
5 Q&A
Como desenvolver sites utilizando Design ResponsivoPopUp Design
Um panorama do Design Responsivo incluindo aspectos teóricos e práticos com a intenção de fornecer aos profissionais da área as ferramentas
necessárias para projetar, desenvolver e executar projetos.
Guia de estilos para a interface do usuárioPopUp Design
Assista o video da palestra:
https://www.eventials.com/pt-br/locaweb/guias-de-estilo-para-a-interface-do-usuario/
Entregar conceitos de design sempre foi uma tarefa confusa. Wireframes são arbitrários e pouco precisos, mock-ups de alta fidelidade são precisos demais e acabam tomando uma grande quantidade de tempo... Somado a este problema a infinidade de dispositivos com formatos, tamanhos e resoluções de tela diferentes fica bem difícil prever todas as necessidades de um determinado projeto, tanto na etapa de criação visual quanto no processo de desenvolvimento front-end.
Afinal, como criar layouts para a internet sem perder tempo?
Relembre os bons tempos de brincar de lego, entenda por que wireframes são seus amigos (mais nem tanto), aprenda a planejar websites como sistemas, defina com precisão interações, coloque ordem no front e construa os seus próprios Guias de Estilo para a interface do usuário.
All matter, no matter how complex, can be broken down into molecules which can be broken down further into atomic elements. All web interfaces can be broken down down the same way. Atomic Design provides a methodology for building an effective design system. It consists of five distint stages: atoms, molecules, organisms, templates and pages.
Você já sentiu isso? Aquele frio na barriga e o coração batendo mais forte? Você não sabe o que, mas alguma coisa está dando errado no seu teste de penetração. Você não consegue penetrar em nada. Não serão apenas novas técnicas, mas verdadeiras mudanças na sua visão. Aquele momento que dá um estalo quando você vê como fazer de verdade e que tudo era tão simples. Te espero para contar todos os segredos.
[In]segurança - Falhas Simples e Grandes Impactos Daybson Bruno
Esta palestra aborda a importância da segurança da informação, como podemos atuar na área e mostra algumas das principais técnicas que cyber criminosos utilizam para ganhar acesso a uma empresa. Incluindo algumas medidas de proteção.
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
Este slideshow dá uma idéia clara do que é o Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web, e da oferta de uso do Sistema RedeSegura que desenvolvo em parceria com a N-Stalker. As aplicações web são o maior alvo de ataques maliciosos nos últimos tempos, e segundo o Gartner (2009) 75% dos problemas de segurança na internet já são atribuídos às aplicações web. Isso se deve, entre outros fatores, à integração de várias tecnologias e objetos usados na construção das aplicações web, e a falta de requisitos de segurança no processo do desenvolvedor. Não basta Segurança de Rede se as aplicações tiverem vulnerabilidades exploráveis por hackers maliciosos. Os riscos para alguns segmentos de negócio são muito elevados, como no mercado financeiro, serviços, e-commerce, e sites de conteúdo de informação que apóiam decisão, além de sistemas corporativos como CRM, ERPs, RH, etc.
Teste e Análise de Vulnerabilidades em Aplicação e servidores web vem sendo uma prática para incrementar as políticas de segurança da informação (GSI) das empresas que dependem da internet para realizar seus negócios sem riscos para seus Clientes e Parceiros, e dar credibilidade às suas marcas, além de estimular um ambiente de negócios mais seguro na internet.
1 Angler.. do auge ao declínio?
2 Ataques POS – Caso Wendy’s
3 Duplo fator de autenticação vs Engenharia Social - Caso
GMAIL!
4 0 Day Adobe Flash
5 Q&A
Apenas monitorar a infraestrutura não é o bastante, com as modernas arquiteturas de software e a necessidade de rápida entregas de software, começaram a exigir uma monitoria inteligente. Partindo do paper do Google apresentando o Borg iremos abordar os benefícios e técnicas para identificação de erros de forma granular traduzindo 0 e 1 para negócios.
Com histórico de métricas ?Time-series based?, alertas poderoso, bibliotecas de instrumentação em Java, Python, C#, Go, PHP, NodeJS, Erlang entre outros, apresentamos o Prometheus.io criado pela equipe do SoundCloud. O case é a implementação de nova equipe Site Reliability Engineering na estrutura de Operações de TI da B2W.
Palestra sobre PenTest com Kali linux realizada na Interlegis no encontro VI Engitec. Kali Linux é uma distribuição GNU/Linux baseada no Debian, considerado o sucessor do Back Track. O projeto apresenta várias melhorias, além de mais aplicativos. É voltado principalmente para auditoria e segurança de computadores em geral. É desenvolvido e mantido pela Offensive Security Ltd. Desde 21 de janeiro de 2016, é uma distribuição "rolling-release". O Kali Linux dispõe de numerosos softwares pré-instalados, incluindo o Nmap (port scanner), Wireshark (um sniffer), John the Ripper (crackeador de password) e Aircrackng (software para testes de segurança em redes sem fios).
2. COMO (NÃO) INVADIREM
SEU BANCO DE DADOS
Um pouco sobre segurança em banco de dados para desenvolvedores.
Por Lílian Barroso
São Paulo, 08-03-2014
Como (não) invadirem seu banco de dados - Por Lílian Barroso
3. Um pouco sobre a Lílian ...
• 12 anos na TI, sendo 7 anos como DBA
• Especialista em Segurança da Informação
• Casada – com um cara de TI *-*
Como (não) invadirem seu banco de dados - Por Lílian Barroso 3
5. Quando se fala em segurança na TI...
• Ih... vão bloquear toda a Internet ...
• Token, biometria, senha de 16 caracteres ... Só falta o teste de DNA!
• Criptografia? Depois não venham me cobrar performance...
Como (não) invadirem seu banco de dados - Por Lílian Barroso 5
6. Atualmente, em uma corporação, o que é mais importante do que
dinheiro?
Como (não) invadirem seu banco de dados - Por Lílian Barroso 6
Quando se fala em segurança ...
8. Como (não) invadirem seu banco de dados - Por Lílian Barroso 8
O "ouro" das empresas
são suas informações!!!
9. • Então, onde fica armazenado o pote de ouro da empresa?
• E, como proteger o seu pote de ouro?
Como (não) invadirem seu banco de dados - Por Lílian Barroso 9
10. Qual o motivo do ítem "SEGURANÇA DA INFORMAÇÃO" parar no
perímetro do banco de dados???
Como (não) invadirem seu banco de dados - Por Lílian Barroso 10
???
11. Segurança em Camadas
• Tratar a segurança do banco de dados é colocar mais uma camada na
segurança da TI!
Como (não) invadirem seu banco de dados - Por Lílian Barroso 11
12. Alvos de Ataque! Servidor
Perímetro
Database Software Aplicação
Cliente
Contas (usuários)
Dados Restritos
Mudanças
Criptografia
Backup
Auditoria
Cliente
Cliente
Database Software
Database Software
Database Software
Mudanças
Contas (usuários)
Contas (usuários) Contas (usuários)
Aplicação
Aplicação
Aplicação
Dados Restritos
Dados Restritos
Dados Restritos
Backup
Backup
Backup
Servidor
Servidor
Servidor
Como (não) invadirem seu banco de dados - Por Lílian Barroso 12
13. Qual o motivo de pensarmos em segurança só depois do
incêndio?
Como (não) invadirem seu banco de dados - Por Lílian Barroso 13
14. Segredo: Desenvolva pensando no NEGÓCIO!
• O desenvolvimento seguro deve ser feito pensando na manutenção
do negócio.
• A informação é o item de maior valor em uma empresa!
Você sabe qual é o negócio, qual é a fonte de lucro da sua empresa?
Você conhece a Política de Segurança da Informação da sua empresa?
Como (não) invadirem seu banco de dados - Por Lílian Barroso 14
16. Como (não) permitir a invasão
Pense em segurança desde o primeiro instante!
Tenha MALDADE na sua cabeça! Tente pensar como um invasor.
Como (não) invadirem seu banco de dados - Por Lílian Barroso 16
17. Dicas básicas
• Tenha uma equipe "multidisciplinar":
Traga o DBA e o Security Officer para sua equipe!
Como (não) invadirem seu banco de dados - Por Lílian Barroso 17
18. Dicas básicas
• Cuidado com senhas! Não manter senhas em texto puro no banco de
dados. Se for necessário armazenar senhas, usar criptografia;
• Use o princípio do menor privilégio!!!
Como (não) invadirem seu banco de dados - Por Lílian Barroso 18
19. Dicas básicas
• Valide os dados de entrada da sua aplicação.
• nUNCa utilizar contas administrativas do banco de dados. SYS,
SYSTEM, SA, ROOT!
Como (não) invadirem seu banco de dados - Por Lílian Barroso 19
20. Dicas básicas
• Aplique todos os patches de segurança disponibilizados
pelo fabricante do SGDB;
• Procure homologar sua aplicação para as novas versões de banco.
Como (não) invadirem seu banco de dados - Por Lílian Barroso 20
21. Dicas básicas
teste mais um pouco.
Como (não) invadirem seu banco de dados - Por Lílian Barroso 21
• Teste, teste e, quando estiver cansado ...
23. Resumindo
• O pote de ouro é o Banco de Dados!
• Pense em segurança desde o início;
• Esteja alinhado com o negócio da empresa;
• Trabalhe em equipe – inclusive com as outras equipes!
• Conheça tecnicamente as estratégias de segurança para DBs.
Como (não) invadirem seu banco de dados - Por Lílian Barroso 23
24. E aí, seu pote de ouro está seguro???
Como (não) invadirem seu banco de dados - Por Lílian Barroso 24
25. Caso queira saber mais ...
lilian.dba@gmail.com
br.linkedin.com/in/lilianbarroso/
http://lilianbarroso.wordpress.com/
liliandba
@liliandba
Como (não) invadirem seu banco de dados - Por Lílian Barroso 25