Alexandro Silva, profile picture
Carregado porAlexandro Silva
389 visualizações

Mantendo o queijo-suíco seguro dos ratos através de virtual patching.

O documento discute técnicas de virtual patching para manter queijos suíços seguros de ratos, mencionando que ferramentas como Nginx, Naxsi e Modsecurity podem ser usadas para mitigar riscos de vulnerabilidades, mas requerem esforço técnico e não substituem correções de vulnerabilidades. Conscientização, capacitação e processos são fundamentais para gestão de segurança da informação.

Incorporar apresentação

Mantendo o queijo-suíco seguro dos ratos através de virtual patching. Alexandro Silva http://alexos.org
● Analista de segurança da informação; ● Professor na pós em Seginfo da Area1 e Unijorge.
● Virtual Patching ✔ Camada de segurança capaz de proteger as aplicações web da exploração de falhas "conhecidas". ● A falta de gestão das vulnerabilidades colabora com o crescimento dos ataques: ● Vulnerabilidades de infraestrutura: ✔ Serviços desatualizados e/ou mal configurados ( Web, DNS, FTP ); ✔ Sistemas operacionais desatualizados; ✔ Administração baseada em práticas inseguras. ● Vulnerabilidades de aplicação: ✔ Desenvolvimento baseado em práticas inseguras; ✔ CMSs e plugins desatualizados.
● Técnicas de exploração e divulgação das falhas cada vez mais difundidas: ✔ SQL Injection ( SQLi ) ✔ Cross site-scripting ( XSS ) ✔ Phishing ✔ DoS ✔ SecurityTube ✔ Full-disclosure ✔ ExploitDB
● Custo de tempo/pessoas na manutenção é alto: ✔ Alocação e capacitação de pessoas; ✔ Priorizar tarefas; ✔ Testes de correção, etc. ● Faltam profissionais capacitados: ✔ Monitoramento; ✔ Análise de log; ✔ Conhecimento dos protocolos; ✔ Profundo conhecimento dos serviços; ✔ Atualização constante; ✔ Funcionamento do ataques; ✔ Desenvolvimento seguro.
Como proteger nosso queijo-suíco?
NÃO EXISTE MILAGRE!
● Ferramentas Opensource disponíveis:
● Prós: ✔ Prevenção pró-ativa; ✔ Mapear e entender as ameaças; ✔ Mitigar riscos e impacto; ✔ Correlacionar um incidente. ● Contras: ✔ Grande esforço técnico na implementação e tunning; ✔ Normalmente as vulnerabilidades não são corrigidas; ✔ Com a redução do incidentes o monitoramento da solução tende a ser esquecido.
✔ A segurança da informação não deve ser baseada só em ferramentas e produtos; ✔ Concientização, capacitação, processos e prevenção devem fundamentar a gestão de segurança da informação; ✔ Ferramentas e produtos devem ser utilizados com coerência e como facilitadores na prevenção contra as ameaças.
Obrigado a todos! =) http://alexos.org @alexandrosilva alexos@alexos.org
Links: ➔ Nginx - http://nginx.org/en/ ➔ Naxsi - https://code.google.com/p/naxsi/ ➔ Modsecurity - http://www.modsecurity.org ➔ Ironbee - https://www.ironbee.com/ ➔ Ossec HIDS - http://www.ossec.net ➔ Virtual Patching Best Practies - https://www.owasp.org/index.php/Virtual_Patchin g_Best_Practices

Mais conteúdo relacionado

PPTX
Segurança em Redes Corporativas
porHigor Diego
 
PDF
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
porThiago Dieb
 
PDF
API - Security and speed at layer 7 integrated in zabbix.
porThomás Capiotti
 
PPTX
Segurança do WordPress
porJaqueline Arruda
 
PDF
CHEFE, O PENTEST FINALIZOU! … E AGORA?
poriBLISS Segurança & Inteligência
 
PDF
Ameaças de Junho 2016
porSymantec Brasil
 
ODP
Palestra alcyon junior - LatinoWare 2016
porAlcyon Ferreira de Souza Junior, MSc
 
PDF
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
poribliss-seguranca
 
Segurança em Redes Corporativas
porHigor Diego
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
porThiago Dieb
 
API - Security and speed at layer 7 integrated in zabbix.
porThomás Capiotti
 
Segurança do WordPress
porJaqueline Arruda
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
poriBLISS Segurança & Inteligência
 
Ameaças de Junho 2016
porSymantec Brasil
 
Palestra alcyon junior - LatinoWare 2016
porAlcyon Ferreira de Souza Junior, MSc
 
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
poribliss-seguranca
 

Mais procurados

PDF
Pen Test, Afinal o que é ? - FLISOL 2010
porPaulo Renato Lopes Seixas
 
PDF
Como Terra lida com as oportunidades e ameaças de Segurança
porLeandro Bennaton
 
PDF
Automatizando seu hardening com o Ansible - Matheus Guizolfi
porTchelinux
 
PDF
Backtrack 4 Final Distro Penetration Testing Unimep2009
porMauro Risonho de Paula Assumpcao
 
PDF
Segurança e Preservação de Informação Corporativa
porLeonardo Lacerda
 
PDF
Ethical Hacking - Campus Party Brasília 2017
porAlcyon Ferreira de Souza Junior, MSc
 
PDF
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
porSymantec Brasil
 
PDF
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
porAlcyon Ferreira de Souza Junior, MSc
 
PPTX
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
porRenato Groff
 
PPTX
Explorando 5 falhas graves de segurança que todos programadores cometem
porAlcyon Ferreira de Souza Junior, MSc
 
PDF
WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos
porGrupo Treinar
 
PDF
Ransomware
porMarcelo Lau
 
PDF
Ransomware : Sequestro De Dados Digitais
porMarcelo Lau
 
PDF
Desafios de segurança em arquitetura de microsserviços
porThaiane Braga
 
PPTX
Segurança para Agências: Proteja seus Clientes
porSucuri
 
PDF
Desafios da transformação digital
porMarcelo Lau
 
PDF
Seguranca na web
porMarcelo Lau
 
PPTX
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
porRenato Groff
 
PPTX
Gestão De Riscos Com Base No Monitoramento De Ameaças
porLeandro Bennaton
 
Pen Test, Afinal o que é ? - FLISOL 2010
porPaulo Renato Lopes Seixas
 
Como Terra lida com as oportunidades e ameaças de Segurança
porLeandro Bennaton
 
Automatizando seu hardening com o Ansible - Matheus Guizolfi
porTchelinux
 
Backtrack 4 Final Distro Penetration Testing Unimep2009
porMauro Risonho de Paula Assumpcao
 
Segurança e Preservação de Informação Corporativa
porLeonardo Lacerda
 
Ethical Hacking - Campus Party Brasília 2017
porAlcyon Ferreira de Souza Junior, MSc
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
porSymantec Brasil
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
porAlcyon Ferreira de Souza Junior, MSc
 
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
porRenato Groff
 
Explorando 5 falhas graves de segurança que todos programadores cometem
porAlcyon Ferreira de Souza Junior, MSc
 
WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos
porGrupo Treinar
 
Ransomware
porMarcelo Lau
 
Ransomware : Sequestro De Dados Digitais
porMarcelo Lau
 
Desafios de segurança em arquitetura de microsserviços
porThaiane Braga
 
Segurança para Agências: Proteja seus Clientes
porSucuri
 
Desafios da transformação digital
porMarcelo Lau
 
Seguranca na web
porMarcelo Lau
 
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
porRenato Groff
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
porLeandro Bennaton
 

Destaque

PDF
Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...
porBravo Tecnologia
 
PPTX
Proxy Reverso com Web Application Proxy
porUilson Souza
 
PDF
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
porOWASP Brasília
 
PDF
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
porAlexandro Silva
 
PDF
Introducao WAF Tchelinux 2012
porJeronimo Zucco
 
PDF
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
poriBLISS Segurança & Inteligência
 
PDF
TOR - Navegando na internet sem ser rastreado
porAlexandro Silva
 
PDF
Web Seminário sobre Varnish+Nginx+Apache
porDell Technologies
 
PDF
Curso de Performance and Tuning - Linux
porDell Technologies
 
PDF
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
porKemp
 
PPTX
O Web Application Firewall Pack da KEMP
porKemp
 
PDF
Do You Struggle With Employee Recognition?
porElodie A.
 
Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...
porBravo Tecnologia
 
Proxy Reverso com Web Application Proxy
porUilson Souza
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
porOWASP Brasília
 
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
porAlexandro Silva
 
Introducao WAF Tchelinux 2012
porJeronimo Zucco
 
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
poriBLISS Segurança & Inteligência
 
TOR - Navegando na internet sem ser rastreado
porAlexandro Silva
 
Web Seminário sobre Varnish+Nginx+Apache
porDell Technologies
 
Curso de Performance and Tuning - Linux
porDell Technologies
 
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
porKemp
 
O Web Application Firewall Pack da KEMP
porKemp
 
Do You Struggle With Employee Recognition?
porElodie A.
 

Semelhante a Mantendo o queijo-suíco seguro dos ratos através de virtual patching.

PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
porClavis Segurança da Informação
 
PPT
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
PPTX
Segurança da informação palestra wordcamp sp 2016
porThauã Cícero Santos Silva
 
PPTX
Segurança da informação para WordPress e WooCommerce
porThauã Cícero Santos Silva
 
PDF
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
porRafael Brinhosa
 
PPT
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
PPT
Ameaças e Vulnerabilidade em Apps Web-2013
porKleitor Franklint Correa Araujo
 
PDF
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
porClavis Segurança da Informação
 
PDF
Website security
porthiagosenac
 
PDF
Segurança em aplicações web
porCOTIC-PROEG (UFPA)
 
PPT
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
PPTX
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 
PDF
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
porSegInfo
 
PDF
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
porAlexandro Silva
 
PDF
OWASP Top Ten 2004
porCarlos Serrao
 
PPT
Testes de Segurança de Software (tech-ed 2008)
porConviso Application Security
 
PPT
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
PDF
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
porSegInfo
 
PDF
TDC2016POA | Trilha Web - Agile Security
portdc-globalcode
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
porClavis Segurança da Informação
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
Segurança da informação palestra wordcamp sp 2016
porThauã Cícero Santos Silva
 
Segurança da informação para WordPress e WooCommerce
porThauã Cícero Santos Silva
 
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
porRafael Brinhosa
 
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
Ameaças e Vulnerabilidade em Apps Web-2013
porKleitor Franklint Correa Araujo
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
porClavis Segurança da Informação
 
Website security
porthiagosenac
 
Segurança em aplicações web
porCOTIC-PROEG (UFPA)
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
porSegInfo
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
porAlexandro Silva
 
OWASP Top Ten 2004
porCarlos Serrao
 
Testes de Segurança de Software (tech-ed 2008)
porConviso Application Security
 
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
porSegInfo
 
TDC2016POA | Trilha Web - Agile Security
portdc-globalcode
 

Mais de Alexandro Silva

PDF
Usando Ansible para Orquestração de Segurança e Conformidade
porAlexandro Silva
 
PDF
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
porAlexandro Silva
 
PDF
De volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
porAlexandro Silva
 
PDF
F*cking JBoss Pwned
porAlexandro Silva
 
PDF
Cloud Computing - Security in the Cloud
porAlexandro Silva
 
PDF
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
porAlexandro Silva
 
Usando Ansible para Orquestração de Segurança e Conformidade
porAlexandro Silva
 
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
porAlexandro Silva
 
De volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
porAlexandro Silva
 
F*cking JBoss Pwned
porAlexandro Silva
 
Cloud Computing - Security in the Cloud
porAlexandro Silva
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
porAlexandro Silva
 

Mantendo o queijo-suíco seguro dos ratos através de virtual patching.

  • 1.
    Mantendo o queijo-suíco segurodos ratos através de virtual patching. Alexandro Silva http://alexos.org
  • 2.
    Analista de segurança da informação; ● Professor na pós em Seginfo da Area1 e Unijorge.
  • 3.
    Virtual Patching ✔ Camada de segurança capaz de proteger as aplicações web da exploração de falhas "conhecidas". ● A falta de gestão das vulnerabilidades colabora com o crescimento dos ataques: ● Vulnerabilidades de infraestrutura: ✔ Serviços desatualizados e/ou mal configurados ( Web, DNS, FTP ); ✔ Sistemas operacionais desatualizados; ✔ Administração baseada em práticas inseguras. ● Vulnerabilidades de aplicação: ✔ Desenvolvimento baseado em práticas inseguras; ✔ CMSs e plugins desatualizados.
  • 4.
    Técnicas de exploração e divulgação das falhas cada vez mais difundidas: ✔ SQL Injection ( SQLi ) ✔ Cross site-scripting ( XSS ) ✔ Phishing ✔ DoS ✔ SecurityTube ✔ Full-disclosure ✔ ExploitDB
  • 5.
    Custo de tempo/pessoas na manutenção é alto: ✔ Alocação e capacitação de pessoas; ✔ Priorizar tarefas; ✔ Testes de correção, etc. ● Faltam profissionais capacitados: ✔ Monitoramento; ✔ Análise de log; ✔ Conhecimento dos protocolos; ✔ Profundo conhecimento dos serviços; ✔ Atualização constante; ✔ Funcionamento do ataques; ✔ Desenvolvimento seguro.
  • 6.
    Como proteger nossoqueijo-suíco?
  • 7.
  • 8.
    Ferramentas Opensource disponíveis:
  • 10.
    Prós: ✔ Prevenção pró-ativa; ✔ Mapear e entender as ameaças; ✔ Mitigar riscos e impacto; ✔ Correlacionar um incidente. ● Contras: ✔ Grande esforço técnico na implementação e tunning; ✔ Normalmente as vulnerabilidades não são corrigidas; ✔ Com a redução do incidentes o monitoramento da solução tende a ser esquecido.
  • 11.
    A segurança da informação não deve ser baseada só em ferramentas e produtos; ✔ Concientização, capacitação, processos e prevenção devem fundamentar a gestão de segurança da informação; ✔ Ferramentas e produtos devem ser utilizados com coerência e como facilitadores na prevenção contra as ameaças.
  • 12.
    Obrigado a todos!=) http://alexos.org @alexandrosilva alexos@alexos.org
  • 13.
    Links: ➔ Nginx - http://nginx.org/en/ ➔ Naxsi - https://code.google.com/p/naxsi/ ➔ Modsecurity - http://www.modsecurity.org ➔ Ironbee - https://www.ironbee.com/ ➔ Ossec HIDS - http://www.ossec.net ➔ Virtual Patching Best Practies - https://www.owasp.org/index.php/Virtual_Patchin g_Best_Practices