Cyber Security SP 2017

•Transferir como PPTX, PDF•

0 gostou•287 visualizações

O documento discute as melhores práticas de segurança cibernética para empresas de energia e utilidades, incluindo métodos para identificar ameaças e gerar alertas, riscos de ransomware e ataques direcionados, a importância de detecção e proteção em tempo real, e as etapas para contratar e manter aplicações de forma segura, como definir requisitos, testes de conceito, implantação e manutenção.

Tecnologia

Cyber Security Brazil
Energy & Utilities
Novas Ameaças, Novos
Recursos e Melhores
Práticas
Método de Identificação de Ameaças
e Geração de Alertas:
Rodrigo Jorge - Alesat Combustíveis S/A
Cyber Security Brazil
Energy & Utilities

Cyber Security Brazil
Energy & Utilities
Ransonware
•Deficiência na Infraestrutura de TI
•Ausência de Controles e Testes
•Sem Backup

Cyber Security Brazil
Energy & Utilities
Redes Indústriais

Cyber Security Brazil
Energy & Utilities
Ataques Direcionados
(Targeted Attacks)
•Alvo escolhido…
•Levantamento de Informações
•Pentest..
• Qual a visibilidade interna do Pentest?

Cyber Security Brazil
Energy & Utilities
Targeted Attacks
Fonte: TrendMicro

Cyber Security Brazil
Energy & UtilitiesFonte: Relatório Global Symantec

Cyber Security Brazil
Energy & Utilities
Detecção e Proteção
Promete:
• Descobrir ataques em tempo real
Como?
• Sensores Multi Camadas / Plataformas
• Sandbox Avançada

Cyber Security Brazil
Energy & Utilities
Detecção e Proteção

Cyber Security Brazil
Energy & Utilities
Contratação de Aplicações
Definições
• Requisitos
Seleção
• Prova de
Conceito
Contratação
• Implantação

Cyber Security Brazil
Energy & Utilities
Contratação de Aplicações Web
Definições
• Requisitos
Seleção
• Prova de
Conceito
Contratação
• Implantação

Cyber Security Brazil
Energy & Utilities
Requisitos
• Comum…
• Ausência de Requisitos de Segurança

Cyber Security Brazil
Energy & Utilities
Prova de Conceito
• Ausência de Testes de Segurança
• Análise de Vulnerabilidades
• Pentest
• Análise de Código

Cyber Security Brazil
Energy & Utilities
Implantação
• Hardening da Infraestrutura
• Setup do Backup e Validação
• Certificação das Soluções de Segurança (se implantadas)

Cyber Security Brazil
Energy & Utilities
Está faltando algo?
Definições
• Requisitos
Seleção
• Prova de
Conceito
Contratação
• Implantação

Cyber Security Brazil
Energy & Utilities
Manutenção
Definições
•Requisitos
Seleção
•Prova de
Conceito
Contratação
•Implantação
Manutenção
•Continuidade

Cyber Security Brazil
Energy & Utilities
Processo e não Projeto…
• Gestão de Mudanças
• Revalidar requisitos de segurança em TODAS as mudanças antes de
autorizadas
• Realizar novos testes de segurança
• Liberar nova versão
• Análise de Logs
• Testes periódicos
• Revisão de Credenciais

Cyber Security Brazil
Energy & Utilities
Referências e Recomendações
• ABNT NBR ISO/IEC 27002:2013
• Desenvolvimento e Manutenção de Sistemas
• Controle de Acesso
• OWASP Testing Guides
• Relatórios de Segurança da Indústria (Fabricantes e Consultoria)

Cyber Security Brazil
Energy & Utilities
Rodrigo Jorge
Rodrigo.jorge@ale.com.br
Muito Obrigado!

Recomendados

Treinamento em levantamento de requisitos de segurança

Leivan Carvalho

Projeto de Avaliação de Segurança de TI

Messias Dias Teixeira

Gestão e gerenciamento de SGBD (Oracle, SQL, MySQL, PostgreSQL); Elaboração, Implantação e Auditoria de Processos de Negócio; Análise de Problemas, Gestão de Configuração e Mudanças; Automação de rotinas e criação de dashboard; Monitoração de aplicações e rede; Gestão de Indicadores; Business Intelligence; Suporte nível 2 e 3; Outsourcing de TI; System Center Segurança Big Data.

Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...

Clavis Segurança da Informação

Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção. Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão. Palestrante: Henrique Ribeiro dos Santos Soares Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.

Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação

Clavis Segurança da Informação

Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap

Clavis Segurança da Informação

Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ

Clavis Segurança da Informação

Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.

Ethical Hacker - Segurança da Informação

Gionni Lúcio

Cybersecurity in Acquisition - Kristen J. Baldwin

scoopnewsgroup

This document discusses cybersecurity in defense acquisition programs. It notes that acquisition programs must take responsibility for cybersecurity throughout the lifecycle from development to disposal. Programs must address cybersecurity risks to program information, organizations and personnel, networks, and systems. The document outlines requirements for program protection plans and contract regulations to safeguard information and systems from cyber threats and incidents. It also describes the new Joint Federated Assurance Center, which aims to support programs in addressing software and hardware security issues.

Recomendados

Treinamento em levantamento de requisitos de segurança

Leivan Carvalho

Projeto de Avaliação de Segurança de TI

Messias Dias Teixeira

Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...

Clavis Segurança da Informação

Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação

Clavis Segurança da Informação

Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap

Clavis Segurança da Informação

Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ

Clavis Segurança da Informação

Ethical Hacker - Segurança da Informação

Gionni Lúcio

Cybersecurity in Acquisition - Kristen J. Baldwin

scoopnewsgroup

Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...

Symantec Brasil

[1] O documento discute a importância da visibilidade e conformidade em segurança através do uso do Control Compliance Suite da Symantec. [2] Ele apresenta os principais componentes e funcionalidades do CCS, incluindo a automação de avaliações de segurança e conformidade. [3] O documento também aborda como o CCS pode ajudar a consolidar dados de segurança de múltiplas fontes e priorizar esforços de remediação com base no risco.

QA Ninja Conference 2017

Igor Rosa Macedo

TCC - Certificação Digital

Marcos Bezerra

O documento descreve o desenvolvimento de um sistema online para distribuição de títulos (SDT Online) utilizando certificação digital para garantir segurança. Detalha a metodologia e tecnologias usadas como PHP, MySQL e OpenSSL para atender requisitos de segurança, disponibilidade e usabilidade. A certificação digital provou ser uma solução efetiva para autenticação, integridade e confidencialidade de informações na aplicação web.

Application Insights - III Encontro Metropolitano de Tecnologia - Baixada San...

Renato Groff

A apresentação discute o monitoramento de aplicações com o Application Insights do Azure, explicando como ele permite monitorar métricas como disponibilidade, falhas, usuários e requisições. O Application Insights coleta dados de telemetria de aplicações e os armazena na nuvem para análise por meio de dashboards e detecção proativa de problemas. Ele pode ser usado tanto em novas aplicações quanto em projetos existentes desenvolvidos para plataformas como .NET.

Aspectos de segurança em bancos de dados para web

Criciúma Dev

Estratégias e Técnicas de Testes - Parte1

Lorena Caldas

CLASS 2016 - Rafael Soares

TI Safe

[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize

TI Safe

O documento descreve a aplicação do método ATAM para avaliação de segurança em sistemas críticos de automação. O método ATAM é apresentado em 3 fases e vários passos para identificar pontos fracos, requisitos arquiteturais e tradeoffs de segurança. O caso prático avalia um sistema SCADA para gerenciamento de usinas hidrelétricas com base nos requisitos de segurança da norma ISA 99.

CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...

TI Safe

O documento discute a importância de um laboratório de segurança cibernética industrial para infraestruturas críticas. Ele destaca exemplos de laboratórios em Israel e Portugal e requisitos para um laboratório no setor elétrico brasileiro. O documento também descreve os serviços e desafios de um laboratório como o Energy Cybersecurity Lab, uma parceria entre LACTEC e TI Safe para pesquisa, desenvolvimento e treinamento em segurança cibernética para redes de automação de energia elétrica.

Fábrica de Teste de Software - Palestrante: Marcus Dratovsky

Rio Info

Qa test roadsec-bh - testes de segurança, não comece pelo fim!

Welington Monteiro

Utilização da Engenharia de Requisitos: Onde, quando e como utilizar

Opencadd Advanced Technology

ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...

CADWARE-TECHNOLOGY

Qualidade e Teste de Software

Kamilla Queiroz Xavier

O documento discute os conceitos fundamentais de qualidade e teste de software. Primeiro, define qualidade de software como garantia da qualidade e controle da qualidade. Em seguida, explica que teste de software é importante para revelar erros e reduzir custos, e deve ocorrer ao longo do ciclo de vida do desenvolvimento de software. Por fim, descreve os principais papéis e documentos relacionados a testes de software.

Gerenciamento de Segurança em Dispositivos de Rede

Virtù Tecnológica

A maioria dos Gerentes de rede ainda não podem responder questões fundamentais sobre a sua postura de risco: - Quais hosts vulneráveis estão expostos a nossos fornecedores no exterior? - Quais controles de acesso não estão mais em uso e devem ser removidos? - A alteração da configuração que estou prestes a aprovar vai aumentar o meu risco? FireMon: Há falhas na forma como as empresas gerenciam suas infraestruturas de segurança de rede. Ao analisar a postura destas redes é possível ajudar as organizações a encontrar, corrigir e evitar lacunas em sua infraestrutura de segurança de rede.

Implantação de um modelo maduro de operação na plataforma B2B.

especificacoes.com

Application Insights - Agosto/2016

Renato Groff

Application Insights - MS Weekend 2016

Renato Groff

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web

Eduardo Lanna

Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...

Alcyon Ferreira de Souza Junior, MSc

Segurança Digital Pessoal e Boas Práticas

Danilo Pinotti

Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.

PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...

Faga1939

Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).

Mais conteúdo relacionado

Semelhante a Cyber Security SP 2017

Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...

Symantec Brasil

QA Ninja Conference 2017

Igor Rosa Macedo

TCC - Certificação Digital

Marcos Bezerra

Application Insights - III Encontro Metropolitano de Tecnologia - Baixada San...

Renato Groff

Aspectos de segurança em bancos de dados para web

Criciúma Dev

Estratégias e Técnicas de Testes - Parte1

Lorena Caldas

CLASS 2016 - Rafael Soares

TI Safe

[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize

TI Safe

CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...

TI Safe

Fábrica de Teste de Software - Palestrante: Marcus Dratovsky

Rio Info

Qa test roadsec-bh - testes de segurança, não comece pelo fim!

Welington Monteiro

Utilização da Engenharia de Requisitos: Onde, quando e como utilizar

Opencadd Advanced Technology

ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...

CADWARE-TECHNOLOGY

Qualidade e Teste de Software

Kamilla Queiroz Xavier

Gerenciamento de Segurança em Dispositivos de Rede

Virtù Tecnológica

Implantação de um modelo maduro de operação na plataforma B2B.

especificacoes.com

Application Insights - Agosto/2016

Renato Groff

Application Insights - MS Weekend 2016

Renato Groff

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web

Eduardo Lanna

Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...

Alcyon Ferreira de Souza Junior, MSc

Semelhante a Cyber Security SP 2017 (20)

Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...

QA Ninja Conference 2017

TCC - Certificação Digital

Application Insights - III Encontro Metropolitano de Tecnologia - Baixada San...

Aspectos de segurança em bancos de dados para web

Estratégias e Técnicas de Testes - Parte1

CLASS 2016 - Rafael Soares

[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize

CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...

Fábrica de Teste de Software - Palestrante: Marcus Dratovsky

Qa test roadsec-bh - testes de segurança, não comece pelo fim!

Utilização da Engenharia de Requisitos: Onde, quando e como utilizar

ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...

Qualidade e Teste de Software

Gerenciamento de Segurança em Dispositivos de Rede

Implantação de um modelo maduro de operação na plataforma B2B.

Application Insights - Agosto/2016

Application Insights - MS Weekend 2016

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web

Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...

Último

Segurança Digital Pessoal e Boas Práticas

Danilo Pinotti

PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...

Faga1939

Certificado Jornada Python Da Hashtag.pdf

joaovmp3

Logica de Progamacao - Aula (1) (1).pptx

Momento da Informática

TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf

Momento da Informática

Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf

Gabriel de Mattos Faustino

História da Rádio- 1936-1970 século XIX .2.pptx

TomasSousa7

Manual-de-Credenciamento ANATER 2023.pdf

WELITONNOGUEIRA3

Cyber Security SP 2017

1. Cyber Security Brazil Energy & Utilities Novas Ameaças, Novos Recursos e Melhores Práticas Método de Identificação de Ameaças e Geração de Alertas: Rodrigo Jorge - Alesat Combustíveis S/A Cyber Security Brazil Energy & Utilities

2. Cyber Security Brazil Energy & Utilities Ransonware •Deficiência na Infraestrutura de TI •Ausência de Controles e Testes •Sem Backup

3. Cyber Security Brazil Energy & Utilities Redes Indústriais

4. Cyber Security Brazil Energy & Utilities Ataques Direcionados (Targeted Attacks) •Alvo escolhido… •Levantamento de Informações •Pentest.. • Qual a visibilidade interna do Pentest?

5. Cyber Security Brazil Energy & Utilities Targeted Attacks Fonte: TrendMicro

6. Cyber Security Brazil Energy & UtilitiesFonte: Relatório Global Symantec

7. Cyber Security Brazil Energy & Utilities Detecção e Proteção Promete: • Descobrir ataques em tempo real Como? • Sensores Multi Camadas / Plataformas • Sandbox Avançada

8. Cyber Security Brazil Energy & Utilities Detecção e Proteção

9. Cyber Security Brazil Energy & Utilities Contratação de Aplicações Definições • Requisitos Seleção • Prova de Conceito Contratação • Implantação

10. Cyber Security Brazil Energy & Utilities Contratação de Aplicações Web Definições • Requisitos Seleção • Prova de Conceito Contratação • Implantação

11. Cyber Security Brazil Energy & Utilities Requisitos • Comum… • Ausência de Requisitos de Segurança

12. Cyber Security Brazil Energy & Utilities Contratação de Aplicações Definições • Requisitos Seleção • Prova de Conceito Contratação • Implantação

13. Cyber Security Brazil Energy & Utilities Prova de Conceito • Ausência de Testes de Segurança • Análise de Vulnerabilidades • Pentest • Análise de Código

14. Cyber Security Brazil Energy & Utilities Contratação de Aplicações Web Definições • Requisitos Seleção • Prova de Conceito Contratação • Implantação

15. Cyber Security Brazil Energy & Utilities Implantação • Hardening da Infraestrutura • Setup do Backup e Validação • Certificação das Soluções de Segurança (se implantadas)

16. Cyber Security Brazil Energy & Utilities Está faltando algo? Definições • Requisitos Seleção • Prova de Conceito Contratação • Implantação

17. Cyber Security Brazil Energy & Utilities Manutenção Definições •Requisitos Seleção •Prova de Conceito Contratação •Implantação Manutenção •Continuidade

18. Cyber Security Brazil Energy & Utilities Processo e não Projeto… • Gestão de Mudanças • Revalidar requisitos de segurança em TODAS as mudanças antes de autorizadas • Realizar novos testes de segurança • Liberar nova versão • Análise de Logs • Testes periódicos • Revisão de Credenciais

19. Cyber Security Brazil Energy & Utilities Referências e Recomendações • ABNT NBR ISO/IEC 27002:2013 • Desenvolvimento e Manutenção de Sistemas • Controle de Acesso • OWASP Testing Guides • Relatórios de Segurança da Indústria (Fabricantes e Consultoria)

20. Cyber Security Brazil Energy & Utilities Rodrigo Jorge Rodrigo.jorge@ale.com.br Muito Obrigado!

Notas do Editor

Pode levar anos e nunca ser descoberto...

Cyber Security SP 2017

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Cyber Security SP 2017

Semelhante a Cyber Security SP 2017 (20)

Último

Último (8)

Cyber Security SP 2017

Notas do Editor