Este documento fornece informações sobre serviços de segurança digital e identidade corporativa da empresa GMO GlobalSign Inc., incluindo:
1) A GlobalSign oferece soluções de gestão de identidades em grande volume e alta escala para bilhões de dispositivos, pessoas e objetos na Internet das Coisas.
2) A empresa tem escritórios em vários países e emprega 300 funcionários para atender mais de 30.000 clientes.
3) Exemplos de clientes e parceiros de tecnologia, assim como detalhes sobre o mercado de certificados digita
Qual o objetivo deste novo webinar da Clavis Segurança da Informação?
Neste webinar iremos abordar as novidades da prova da certificação CompTIA Security+ (401), o que há de novo na Terceira edição do livro de Security+ e o que esperar do curso permanente oficial da Clavis.
Sobre o Instrutor:
Yuri Diógenes é Mestre em Cybersecurity com concentrações em Cyber Intelligence e Forensics Investigation pela UTICA nos Estados Unidos, MBA pela FGV, Pós Graduado em Gestão de TI pela UFG. Com mais de 20 anos de experiência na área de TI, Yuri atua como Senior Content Developer do time de Mobilidade Empresarial da Microsoft, Professor do curso de Security+ da Clavis Segurança da Informação e Professor do Mestrado Ciência da Segurança da Informação do EC-Council University nos Estados Unidos. Yuri é membro senior do ISSA (Information Security Association) nos Estados Unidos onde escreve artigos técnicos para o ISSA Journal. Yuri possui as certificações CompTIA Security+, CASP, Network+, Cloud+, Cloud Essentials, Mobiity+, ISC2 CISSP, EC|CEH, EC|CSA, Microsoft MCITP, MCTS, MCSA/MCSE+Security, MCSE+Internet, MCSA/MCSE+Messaging. Siga o Yuri no Twitter @yuridiogenes e acompanhe os artigos em Português no bloghttp://yuridiogenes.wordpress.com. Na Academia Clavis é instrutor do Curso Oficial CompTIA Security+.
Este webinar foi realizado com a mesma infraestrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
Ciclo de vida de uma ameaça avançada:
Descubra o que é, como se desenvolve e de que maneira a Symantec pode ajudar.
Be Aware Webinar acontece todas as quartas, às 10h30. Basta se registrar online gratuitamente. Curta nossa página no Facebook e saiba como participar.
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
Be Aware Webinar Symantec
Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar acontece todas as quartas às 10h30. Siga nossa página no Facebook e acompanhe a programação.
03.02.2016
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
Este slideshow dá uma idéia clara do que é o Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web, e da oferta de uso do Sistema RedeSegura que desenvolvo em parceria com a N-Stalker. As aplicações web são o maior alvo de ataques maliciosos nos últimos tempos, e segundo o Gartner (2009) 75% dos problemas de segurança na internet já são atribuídos às aplicações web. Isso se deve, entre outros fatores, à integração de várias tecnologias e objetos usados na construção das aplicações web, e a falta de requisitos de segurança no processo do desenvolvedor. Não basta Segurança de Rede se as aplicações tiverem vulnerabilidades exploráveis por hackers maliciosos. Os riscos para alguns segmentos de negócio são muito elevados, como no mercado financeiro, serviços, e-commerce, e sites de conteúdo de informação que apóiam decisão, além de sistemas corporativos como CRM, ERPs, RH, etc.
Teste e Análise de Vulnerabilidades em Aplicação e servidores web vem sendo uma prática para incrementar as políticas de segurança da informação (GSI) das empresas que dependem da internet para realizar seus negócios sem riscos para seus Clientes e Parceiros, e dar credibilidade às suas marcas, além de estimular um ambiente de negócios mais seguro na internet.
Qual o objetivo deste novo webinar da Clavis Segurança da Informação?
Neste webinar iremos abordar as novidades da prova da certificação CompTIA Security+ (401), o que há de novo na Terceira edição do livro de Security+ e o que esperar do curso permanente oficial da Clavis.
Sobre o Instrutor:
Yuri Diógenes é Mestre em Cybersecurity com concentrações em Cyber Intelligence e Forensics Investigation pela UTICA nos Estados Unidos, MBA pela FGV, Pós Graduado em Gestão de TI pela UFG. Com mais de 20 anos de experiência na área de TI, Yuri atua como Senior Content Developer do time de Mobilidade Empresarial da Microsoft, Professor do curso de Security+ da Clavis Segurança da Informação e Professor do Mestrado Ciência da Segurança da Informação do EC-Council University nos Estados Unidos. Yuri é membro senior do ISSA (Information Security Association) nos Estados Unidos onde escreve artigos técnicos para o ISSA Journal. Yuri possui as certificações CompTIA Security+, CASP, Network+, Cloud+, Cloud Essentials, Mobiity+, ISC2 CISSP, EC|CEH, EC|CSA, Microsoft MCITP, MCTS, MCSA/MCSE+Security, MCSE+Internet, MCSA/MCSE+Messaging. Siga o Yuri no Twitter @yuridiogenes e acompanhe os artigos em Português no bloghttp://yuridiogenes.wordpress.com. Na Academia Clavis é instrutor do Curso Oficial CompTIA Security+.
Este webinar foi realizado com a mesma infraestrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
Ciclo de vida de uma ameaça avançada:
Descubra o que é, como se desenvolve e de que maneira a Symantec pode ajudar.
Be Aware Webinar acontece todas as quartas, às 10h30. Basta se registrar online gratuitamente. Curta nossa página no Facebook e saiba como participar.
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
Be Aware Webinar Symantec
Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar acontece todas as quartas às 10h30. Siga nossa página no Facebook e acompanhe a programação.
03.02.2016
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
Este slideshow dá uma idéia clara do que é o Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web, e da oferta de uso do Sistema RedeSegura que desenvolvo em parceria com a N-Stalker. As aplicações web são o maior alvo de ataques maliciosos nos últimos tempos, e segundo o Gartner (2009) 75% dos problemas de segurança na internet já são atribuídos às aplicações web. Isso se deve, entre outros fatores, à integração de várias tecnologias e objetos usados na construção das aplicações web, e a falta de requisitos de segurança no processo do desenvolvedor. Não basta Segurança de Rede se as aplicações tiverem vulnerabilidades exploráveis por hackers maliciosos. Os riscos para alguns segmentos de negócio são muito elevados, como no mercado financeiro, serviços, e-commerce, e sites de conteúdo de informação que apóiam decisão, além de sistemas corporativos como CRM, ERPs, RH, etc.
Teste e Análise de Vulnerabilidades em Aplicação e servidores web vem sendo uma prática para incrementar as políticas de segurança da informação (GSI) das empresas que dependem da internet para realizar seus negócios sem riscos para seus Clientes e Parceiros, e dar credibilidade às suas marcas, além de estimular um ambiente de negócios mais seguro na internet.
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar acontece todas as quartas às 10h30. Siga nossa página no Facebook e acompanhe a programação.
02.03.2016
Título: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em redes e sistemas já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionadas:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Solução em Auditoria Teste de Invasão em Redes e Sistemas
http://www.clavis.com.br/servico/solucao-auditoria-teste-de-invasao-produto-consultoria.php
Palestrante: Henrique Ribeiro dos Santos Soares
Sobre o Instrutor: Henrique Ribeiro dos Santos Soares graduou-se em Ciência da Computação (2010) pela UFRJ e está finalizando o seu Mestrado em Informática na área de Redes de Computadores e Sistemas Distribuídos no PPGI/UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO).Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão e da redação de material utilizado na Academia Clavis.
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
Protegendo pdv de ameaças externas e garantindo conformidade
Por que um PDV é um alvo de Ataque?
-Os sistemas PDV são dispositivos de missão crítica para muitas empresas.
•Estes sistemas usualmente possuem pouca proteção contra ataques direcionados, que, através da execução de aplicativos não autorizados, podem começar a capturar e roubar dados de cartão de crédito.
•Soluções de segurança tradicionais, pode impactar negativamente o desempenho destes sistemas por contar com uma atualização de definição de vírus.
Entenda como a Symantec pode ajudar
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
Palestra ministrada na 12ª edição do H2HC (Hackers To Hackers Conference)
Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK (Elasticsearch, Logstash, Kibana)
Logs, logs e mais logs é o que mais encontramos no nosso dia a dia, seja simples informações do sistema, como produtos e caixa mágicas. A grande questão é como usar essas informações de forma inteligente para que isso não se transforme num lixão eletrônico apenas, ou seja, não somente um monte de dados crus e sim dados trabalhados com a sua necessidade.
A ideia dessa palestra é demonstrar como podemos com open source, utilizando ou não produtos comerciais e um pouco de análise podemos obter ótimos resultados, criando um ciclo para adição de fonte de dados úteis, extraindo dela o máximo possível para detectar ameaças relativas ao seu ambiente.
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
Demonstrando como o processo de gerenciamento de segurança da informação(SI) do framework de gerenciamento de serviços de TI, ITIL, pode ser utilizado como melhor prática, somando a outras, de segurança cibernética.
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Symantec Brasil
Be Aware Webinar Symantec
Spear-phishing: Seus usuários estão preparados para se defender?
Be Aware Webinar acontece todas as quartas às 10h30. Siga nossa página no Facebook e acompanhe a programação.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Jump Call
Hoje, o tópico de segurança cibernética mudou do departamento de TI e do datacenter para os níveis mais altos da diretoria. Ataques e ameaças têm se tornado significativamente mais sofisticados na frequência e na severidade. O que está em jogo? Tudo, da privacidade do cliente à identidade da marca, a reputação dos executivos e muito além. Sem um forte sistema de defesa implantado, as identidades e as contas bancárias dos indivíduos podem ser invadidas, as empresas podem perder clientes e o controle de segredos empresariais, propriedade intelectual, vantagem sobre a concorrência e até mesmo sua posição no mercado de ações
•O tempo médio que os invasores ficam em uma rede antes de serem detectados é de mais de 200 dias
•A estimativa do custo do crime digital para a economia global é de US$ 500 bilhões
•Mais de 75% de todas as invasões de redes começam com credenciais comprometidas
•O custo médio de uma violação de dados para uma empresa é de US$ 3,5 milhões
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
Palestra "Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências. Necessidades de Capacitação e Treinamento na Área de Segurança de Automação Industrial", ministrada no 1o. Seminário de Segurança de Automação da Petrobras no Rio de Janeiro.
Palestra sobre Desenvolvimento seguro realizada no WorkSec 2019 ministrado pelo professor Alcyon Junior https://worksec.congressodeti.com.br/ A maior imersão em segurança totalmente digital
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Symantec Brasil
Be Aware Webinar Symantec
Segurança de email: Ameaças, SPAM e Sequestros, uma máquina de dinheiro.
Be Aware Webinar acontece todas as quartas às 10h30. Siga nossa página no Facebook e acompanhe a programação
16.03.2016
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Usando Ansible para Orquestração de Segurança e ConformidadeAlexandro Silva
Hardening de servidores e serviços é uma premissa básica para segurança e conformidade com diversos padrões (e.g PCI-DSS).
Executar está tarefa em centenas ou milhares de servidores não é uma tarefa fácil.
Nesta palestra irei demonstrar como é possível automatizar todo o processo de orquestração de infraestrutura e implantação de baseline usando o Ansible.
Princípios para Proteger a Nuvem
Quais ferramentas de segurança podem ser contratadas em Nuvem Pública sem grandes riscos e com redução de custos
Como otimizar os custos de Gestão de Segurança na infraestrutura de Nuvem Privada
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar acontece todas as quartas às 10h30. Siga nossa página no Facebook e acompanhe a programação.
02.03.2016
Título: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em redes e sistemas já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionadas:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Solução em Auditoria Teste de Invasão em Redes e Sistemas
http://www.clavis.com.br/servico/solucao-auditoria-teste-de-invasao-produto-consultoria.php
Palestrante: Henrique Ribeiro dos Santos Soares
Sobre o Instrutor: Henrique Ribeiro dos Santos Soares graduou-se em Ciência da Computação (2010) pela UFRJ e está finalizando o seu Mestrado em Informática na área de Redes de Computadores e Sistemas Distribuídos no PPGI/UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO).Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão e da redação de material utilizado na Academia Clavis.
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
Protegendo pdv de ameaças externas e garantindo conformidade
Por que um PDV é um alvo de Ataque?
-Os sistemas PDV são dispositivos de missão crítica para muitas empresas.
•Estes sistemas usualmente possuem pouca proteção contra ataques direcionados, que, através da execução de aplicativos não autorizados, podem começar a capturar e roubar dados de cartão de crédito.
•Soluções de segurança tradicionais, pode impactar negativamente o desempenho destes sistemas por contar com uma atualização de definição de vírus.
Entenda como a Symantec pode ajudar
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
Palestra ministrada na 12ª edição do H2HC (Hackers To Hackers Conference)
Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK (Elasticsearch, Logstash, Kibana)
Logs, logs e mais logs é o que mais encontramos no nosso dia a dia, seja simples informações do sistema, como produtos e caixa mágicas. A grande questão é como usar essas informações de forma inteligente para que isso não se transforme num lixão eletrônico apenas, ou seja, não somente um monte de dados crus e sim dados trabalhados com a sua necessidade.
A ideia dessa palestra é demonstrar como podemos com open source, utilizando ou não produtos comerciais e um pouco de análise podemos obter ótimos resultados, criando um ciclo para adição de fonte de dados úteis, extraindo dela o máximo possível para detectar ameaças relativas ao seu ambiente.
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
Demonstrando como o processo de gerenciamento de segurança da informação(SI) do framework de gerenciamento de serviços de TI, ITIL, pode ser utilizado como melhor prática, somando a outras, de segurança cibernética.
Be Aware Webinar Symantec - Spear-phishing: Seus usuários estão preparados pa...Symantec Brasil
Be Aware Webinar Symantec
Spear-phishing: Seus usuários estão preparados para se defender?
Be Aware Webinar acontece todas as quartas às 10h30. Siga nossa página no Facebook e acompanhe a programação.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Jump Call
Hoje, o tópico de segurança cibernética mudou do departamento de TI e do datacenter para os níveis mais altos da diretoria. Ataques e ameaças têm se tornado significativamente mais sofisticados na frequência e na severidade. O que está em jogo? Tudo, da privacidade do cliente à identidade da marca, a reputação dos executivos e muito além. Sem um forte sistema de defesa implantado, as identidades e as contas bancárias dos indivíduos podem ser invadidas, as empresas podem perder clientes e o controle de segredos empresariais, propriedade intelectual, vantagem sobre a concorrência e até mesmo sua posição no mercado de ações
•O tempo médio que os invasores ficam em uma rede antes de serem detectados é de mais de 200 dias
•A estimativa do custo do crime digital para a economia global é de US$ 500 bilhões
•Mais de 75% de todas as invasões de redes começam com credenciais comprometidas
•O custo médio de uma violação de dados para uma empresa é de US$ 3,5 milhões
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
Palestra "Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências. Necessidades de Capacitação e Treinamento na Área de Segurança de Automação Industrial", ministrada no 1o. Seminário de Segurança de Automação da Petrobras no Rio de Janeiro.
Palestra sobre Desenvolvimento seguro realizada no WorkSec 2019 ministrado pelo professor Alcyon Junior https://worksec.congressodeti.com.br/ A maior imersão em segurança totalmente digital
Be Aware Webinar - Segurança de email: Ameaças, SPAM e Sequestros, uma máquin...Symantec Brasil
Be Aware Webinar Symantec
Segurança de email: Ameaças, SPAM e Sequestros, uma máquina de dinheiro.
Be Aware Webinar acontece todas as quartas às 10h30. Siga nossa página no Facebook e acompanhe a programação
16.03.2016
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Usando Ansible para Orquestração de Segurança e ConformidadeAlexandro Silva
Hardening de servidores e serviços é uma premissa básica para segurança e conformidade com diversos padrões (e.g PCI-DSS).
Executar está tarefa em centenas ou milhares de servidores não é uma tarefa fácil.
Nesta palestra irei demonstrar como é possível automatizar todo o processo de orquestração de infraestrutura e implantação de baseline usando o Ansible.
Princípios para Proteger a Nuvem
Quais ferramentas de segurança podem ser contratadas em Nuvem Pública sem grandes riscos e com redução de custos
Como otimizar os custos de Gestão de Segurança na infraestrutura de Nuvem Privada
Criptografia:
- Função matemática que usa um valor secreto “a chave” que codifica dados de modo que somente quem tem acesso a esta chave consegue ler as informações decodificadas.
- Adequada contra o tratamento não autorizado ou ilegal de informações, especialmente nos casos em que não é possível aplicar medidas alternativas de proteção.
- Protege informações armazenadas em dispositivos móveis e estáticos e na transmissão contra acessos e processamento não autorizado ou ilegal de dados.
Gerenciamento de identidade e acesso - Gerenciamento automatizado e seguro para usuários e administradores.
Uma solução de governança de identidades que oferece uma interface de uso facilitado pela empresa, construída sobre um modelo de governança comum que abrange todos os
processos de negócios relacionados a identidade, acesso e certificação. Ela oferece ferramentas para que você obtenha conformidade e permaneça em conformidade.
Governança de Ambientes Heterogêneos - Single Sign-On para ServidoresVirtù Tecnológica
Controle unificado e visibilidade: Metodologia comprovada para controle de acesso privilegiado; Arquitetura baseada em padrões de mercado; Mais segurança, conformidade e eficiência operacional. Funcionalidades robustas e integradas: Autenticação e gestão de políticas; Controle de acesso e auditoria; Isolamento de servidores e encriptação de dados em movimento.
ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...CADWARE-TECHNOLOGY
Como viabilizar plataformas virtuais de tecnologia para a Indústria Digital
Cloud Management, aplicativos virtualizados, IoT, Big Data e segurança.
Emerson Automation Solutions - Jonathan Xavier
Gestão de Segurança de Dispositivos Móveis Corporativos e BYODVirtù Tecnológica
Com serviço baseado em nuvem, permite proteger e gerenciar centralmente smartphones e tablets utilizando a infraestrutura existente do Active Directory. Centrify for Mobile utiliza ferramentas familiares do AD em conjunto com o serviço de nuvem Centrify para aplicar configurações de segurança confiáveis, conexão over-the-air e acesso seguro a serviços de rede corporativa. Oferece ainda a única solução do mercado que protege e gerencia não só os populares dispositivos móveis, mas também Mac OS, Unix e Linux.
Microservices tornaram-se o tema mais quente na arquitetura de software durante o ano passado, e muito pode ser dito sobre os seus benefícios. Mas, existem inúmeros desafios relacionados a implementação e propagação de segurança no contexto destes componentes. Esta palestra abordará como realizar os cenários de autenticação e autorização com microservices, cobrindo tecnologias como OAuth2, JSON Web Token, utilizando a plataforma do Spring Cloud Security afim de integrar-se com aplicações Spring e/ou Java EE.
17ª edição da Security BSides São Paulo, uma conferência gratuita sobre segurança da informação e cultura hacker, também conhecida como BSidesSP.
Desta vez, estivemos duplamente representados pelo nosso Head de Produto, Leonardo Pinheiro e pelo nosso Head of Threat and Detection Research, Rodrigo Montoro. Imperdível! ;)
Ambos apresentaram a palestra "Exploit Prediction Scoring System (EPSS) – Aperfeiçoando a priorização de vulnerabilidades de forma efetiva". Confira!
Entre os dias 04/10 e 06/10, nosso head de Threat & Detection Research e Security Content Lead, Rodrigo Montoro, representou a Clavis em mais uma importante apresentação em Toronto no Canadá. No dia 04/10 ele palestrou no Cloud Summit e no dia 06/10 na Sector.
Montoro, apresentou as palestras "The Default Truth Of AWS Shared Responsability Model" e "Understanding, Abusing and Monitoring AWS Appstream 2.0", onde abordou a importância de entender os padrões que o provedor da nuvem proporciona, bem como pesquisar sobre serviços de uso mais incomuns e fora dos grande "holofotes".
A abordagem das duas palestras busca justamente desmitificar um pouco do modelo de responsabilidade compartilhada e configurações iniciais da nuvem e a segunda o entendimento de um serviço não tao comumente utilizado e seus perigos. Como exemplo, compartilhou importantes resultados obtidos após pesquisa de vulnerabilidades no serviço Amazon AppStream 2.0, da Amazon Web Services (AWS).
O mundo da nuvem trouxe vários facilitadores. Porém, com ele, também vieram novos desafios e superfícies de ataque que precisam ser estudadas, entendidas e monitoradas.
Atualmente temos por volta de 300 serviços na AWS que nos trazem milhares de ações que podem ser utilizadas para o bem ou mal.
Foi sobre esses desafios que Rodrigo Montoro, nosso Head of Threat and Detection Research, palestrou em seu painel "Construindo um plano de resposta a incidentes para ambientes AWS", na 8ª edição do Mind the Sec.
No dia 16 de fevereiro de 2016 foi realizado um agradável almoço no, promovido pela Clavis e Cyberark, que teve objetivo apresentar as soluções ofertadas pela Clavis e Cyberark. O evento foi realizado foi realizado no Bistrô Panamera do Hotel Novo Mundo, no bairro do Flamengo, na cidade do Rio de Janeiro.
Foram apresentadas pela Cyberark soluções de Gestão de Credenciais Privilegiadas, Cofre de Senhas e Auditoria de Acesso. Foram também abordados exemplos e cases de como as soluções desenvolvidas pela Cyberark podem ajudar as empresas a mitigar ataques avançados persistentes e a responder de forma imediata a ameaças ativas em seu ambiente. Veja abaixo os slides apresentadas pela Cyberk, parceiro oficial da Clavis Segurança da Informação.
Neste webinar foram apresentados os principais assuntos da ementa do curso Análise Forense de Redes EAD da Clavis, abordando com detalhes as 3 fases distintas envolvidas nas atividades destes tipos de análise: Instalação do “Grampo” Digital (cenários possíveis e adequados aos mais diversos tipos de ambientes computacionais), Captura de tráfego (dados importantes que devem compor os filtros configurados nesta fase, formato adequado e detalhes que limitam ou até inviabilizam esta captura) e Análise dos dados capturados (filtros pós-captura, ferramentas e frameworks disponíveis, manipulação de arquivos PCAP identificação de informações e recuperação de arquivos), além de técnicas e informações complementares atualizadas.
Conheça mais sobre o curso Análise Forense de Redes EAD em http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/analise-forense-de-redes-com-software-livre-pericia-digital-seguranca-da-informacao
A palestra visa apresentar técnicas de evasão que podem ser utilizadas em varreduras de rede para evitar que esta seja bloqueada por sistemas de segurança como filtros de pacotes ou sistemas de detecção/prevenção de intrusos ou que esta seja detectada pela equipe de monitoramento desta rede. Estas técnicas são demonstrada utilizando a ferramenta Nmap, que é uma ferramenta livre e de código aberto utilizada para realizar tarefas como mapeamento de redes e auditorias de segurança através da análise de pacotes enviados e recebidos.
Esta palestra foi apresentada na reunião GTS 22.
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/
Henrique Soares, analista técnico do Grupo Clavis Segurança da Informação. Esta palestra visa demonstrar como a análise de informações publicadas nas mídias sociais podem ser utilizadas como base de conhecimento para o lançamento de ataques de força bruta. Os ataques de força bruta não são exatamente uma novidade e as técnicas que serão apresentadas nesta palestra também não são novas, entretanto com o advento das mídias sociais como fonte de informações pessoais com bom nível de confiabilidade de um dado indivíduo (pois são fornecidas pelo próprio), a eficiência dos ataques de força bruta pode ser aumentada de maneira significativa sobre o próprio indivíduo ou sobre outros próximos a ele. Assim, a aplicação destas técnicas já bem conhecidas com o conhecimento destas novas informações que, se interpretadas de maneira adequada, podem obter resultados melhores. Assim, esta palestra apresenta as técnicas e ferramentas já tradicionalmente utilizadas para lançar este tipo de ataque e acrescenta a este contexto as melhorias que o conhecimento das informações coletadas nas mídias sociais podem trazer. O objetivo da apresentação é conscientizar sobre os riscos resultantes da exposição descuidada de informações.
A palestra visa demonstrar técnicas de varredura de aplicações web utilizando o Wmap, que é uma ferramenta de busca de vulnerabilidades em aplicações web totalmente integrada ao arcabouço de desenvolvimento de exploits Metasploit Framework.
A ferramenta funciona como um plugin para o arcabouço de desenvolvimento de exploits Metasploit Framework, organizando todos os módulos relacionados a aplicações web, catalogando informações sobre os alvos e disparando ataques ordenados.
O sócio Diretor Técnico do Grupo Clavis Segurança da Informação, Rafael Soares Ferreira, ministrou o curso “Gerenciamento de Vulnerabilidades em Redes Corporativas – Auditoria e Monitoramento de Aplicações, Hosts e Redes” na última edição do evento CNASI - DF, ocorrida nos dias 27 e 28 de maio/2013.
Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web
Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção.
Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão.
Palestrante: Henrique Ribeiro dos Santos Soares
Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
http://www.blog.clavis.com.br/webinar-18-a-nova-lei-de-cibercrimes/
Qual foi o objetivo deste novo webinar da Clavis Segurança da Informação?
Neste webinar, Walter Capanema, advogado e instrutor do treinamento a distância Direito para Peritos Forense, Pentesters e Administradores de Redes(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/curso-direito-digital-peritos-forense-pentester-Administradores-de-Redes-crime-legislacao/), abordou a Lei 12.737/2012, denominada “Lei Carolina Dieckmann”, que trouxe mudanças na legislação penal brasileira.
O instrutor explicou as características e requisitos desta lei, bem como as hipóteses em que poderá ser aplicada e, ainda, os problemas e dificuldades que poderão surgir na prática.
Este é um dos inúmeros assuntos abordados nas Formações de 100 horas: Perito em Análise Forense Computacional(http://www.blog.clavis.com.br/formacao-de-100-horas-perito-em-analise-forense-computacional-academia-clavis-seguranca-da-informacao/) e Auditor em Teste de Invasão – Pentest(http://www.blog.clavis.com.br/formacao-de-100-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/).
Quem ministrou o Webinar?
Walter Aranha Capanema, é advogado, consultor, coordenador do Projeto “Combate ao Spam”, Professor de Direito Administrativo Direito Processual Civil (processo eletrônico), Direito Penal (crimes contra a propriedade imaterial), Metodologia da Pesquisa e Didática da Escola da Magistratura do Estado do Rio de Janeiro (EMERJ); de Direito Público dos Cursos de Pós-Graduação em Direito Público e Direito Imobiliário da Universidade Estácio de Sá (UNESA); de Direito do Estado da Universidade do Estado do Rio de Janeiro (UERJ) e dos Cursos de Direito Eletrônico e Processo Eletrônico da OAB/RJ, da Caixa de Assistência dos Advogados do Rio de Janeiro (CAARJ) e da Escola Superior da Advocacia (ESA). É Secretário-Geral da 1ª Comissão de Direito e Tecnologia da Informação da OAB-RJ para o biênio 2010-2012, e membro da Comissão dos Crimes de Alta Tecnologia da OAB-SP, onde dirige a Coordenadoria de Crimes contra a Privacidade e a Intimidade. Integra também o capítulo brasileiro da Cloud Security Alliance BR.
Este Webinar foi realizado com a mesma infraestrutura de um treinamento EAD da Academia Clavis(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/). É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.
http://www.blog.clavis.com.br/webinar-17-analise-de-malware-em-forense-computacional/
Qual foi o objetivo deste novo webinar da Clavis Segurança da Informação?
Este Webinar apresentou algumas das técnicas para análise de malware, incluindo análise de strings, unpacking e análise do tráfego de rede. Os ouvintes aprenderam a adequar o ambiente de avaliação conforme demandado pelo código malicioso. Como demonstração, foi apresentado a análise do malware Slackbot.
Veja mais sobre o curso Análise de Malware em Forense Computacional(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/analise-de-malware-em-forense-computacional/). Este é um dos inúmeros assuntos abordados na Formação de 100 horas — Perito em Análise Forense Computacional — Academia Clavis Segurança da Informação(http://www.blog.clavis.com.br/formacao-de-100-horas-perito-em-analise-forense-computacional-academia-clavis-seguranca-da-informacao/).
Quem ministrou o Webinar?
Davidson Rodrigo Boccardo é Doutor em Engenharia Elétrica pela Universidade Estadual Paulista (UNESP) com período sanduíche no Center for Advanced Computer Studies da University of Louisiana at Lafayette. Atualmente é pesquisador no Instituto Nacional de Metrologia, Qualidade e Tecnologia, e tem atuado nos seguintes temas: engenharia reversa, análise de software/malware, ofuscação de software, incorruptibilidade de software e marca d’água em software.
Este Webinar foi realizado com a mesma infraestrutura de um treinamento EAD da Academia Clavis(http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/). É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.
http://www.blog.clavis.com.br/webinar-16-ataques-de-forca-bruta-metodo-dicionario-hibridos-e-rainbow-tables/
Qual foi o objetivo deste novo webinar da Clavis Segurança da Informação?
Durante o webinar foram apresentadas técnicas de recuperação de credenciais e ataques do tipo “tentativa e erro” com alvos locais e remotos abrangendo os seguintes tipo de ataques: Força bruta, Dicionário, Híbridos e Rainbow Tables. Os alunos aprendem a utilizar ferramentas para avaliação da força das senhas utilizadas por usuários de um dado sistema e conformidade com políticas de senha. Foram analisados também os riscos associados a utilização de senhas fracas e que impacto que a descoberta de uma senha fraca pode causar a sistemas, infraestrutura e organização como um todo.
Este é um dos inúmeros assuntos abordados na Formação Auditor em Teste de Invasão de 100 horas da Academia Clavis Segurança da Informação(http://www.blog.clavis.com.br/formacao-de-100-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/).
Quem ministrou o Webinar?
Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
Sobre a Formação Auditor em Teste de Invasão – 100 horas
A Formação de 100 horas – Auditor em Teste de Invasão (Pentest) da Academia Clavis tem em sua carga horária total os seguintes treinamentos: Teste de Invasão em Redes e Sistemas EAD – 25 horas, Metasploit Framework EAD – 18 horas , Teste de Invasão em Redes sem Fio EAD – 18 horas. Auditoria de Segurança em Aplicações Web EAD – 20 horas e Direito para Peritos Forense, Pentesters e Administradores de Redes EAD - 21 horas.
E quem se inscrever na Formação de 100 horas – Auditor em Teste de Invasão (Pentest) - da Academia Clavis, ainda tem direito ao acesso gratuito aos vídeos da última turma do curso Linux Ess
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
4. Sobre a GlobalSign
Boston
London
Helsinki
IAM Center
Brussels & Paris
CA Infrastructure
Singapore
CA Infrastructure
Tokyo
Philippines
Offshore services
India
Offshore services
300 funcionários >5,000 parceiros globais > 30,000 clientes
>10m identidades,
2.5M live SSL Certs
8. O Brasil é um Mercado Único
• Segundo maior mercado consumidor de
tecnologias no mundo
• Grande processo de Inclusão Digital
• Ausência de campanhas de Educação Digial
• Público vulnerável
• Aumento constante em ataques
cibernéticosCrimes cibernéticos no Brasil
representam cerca de $8 bilhões ao ano
• Crimes de Internet representam a maior
perda para o país
• A região latino-americana registra um
crescimento anual de 7% no número de
ciberataques
9. Alguns Fatos sobre a Segurança Digital no Brasil
• De acordo com a Febraban: 52% de todas as transações bancárias
são digitais; e os crimes cibernéticos são a causa de 95% das
perdas dos Bancos Brasileiros.
• Em 2014 o Brasil sofreu o maior número de ataques cibernéticos
em toda a América Latina, cerca de 43% de todos os ataques.
• Ataques mais comuns: phishing, malware e interceptação de
conexão para o roubo de dados de indivíduos e empresas.
• Apenas durante a Copa do Mundo, 10.9 milhões de ataques de
malware foram registrados.
15. Caso de Estudo: Target
• Hackers roubaram 40 milhões de dados
de cartões de crédito.
• 110 milhões de pessoas tiveram seus
dados pessoais roubados.
• Target Corp. teve $ 148M em perdas.
• Consequências negativas para a
empresa.
• O lucro da empresa caiu em 46% no
quartil.
• A Target concordou em pagar $10
milhões para fechar ações contra eles
devido à quebra de segurança.
16. Problemas Identificados
• Ausência de Criptografia no trânsito interno dos dados e
armazenamento
• Uso de um método forte de autenticação porém sem controle de
acessos
17. Como solucionar?
Uso do protocolo SSL/TLS para criptografia dos dados internamente
• Centralização da Gestão
• Uso de ACs Internacionais com experiência e expertise
• Atualização de padrões internos
• Assegurar a configuração dos servidores
Uso de métodos robustos de autenticação e gestão e controle de acessos
• Permissão de Acessos por role
• Implementação de uma plataforma de gestão que permita logar quem
acessou quais aplicações
• Implementação de lógica de uso
• Implementação de autenticação step-up
19. Benefícios no Uso dos Certificados SSL/TLS
• Proporciona a criptografia dos dados e comunicações
• Protege a informação contra hackers, evitando que a
informação caia nas mãos erradas no caso de interceptação.
• Autenticação. Verificação das identidades para prover maior
nível de Segurança.
• Confiança para os usuários.
• Proteção contra phishing.
20. Riscos de uma AC Interna
• Altos Investimentos em infraestrutura e pessoal
• Descentralização da gestão
• Falta de experiência e investimento nas normas de Segurança
• Ausência de um sistema eficaz de controle
• Certificados sem confiança pública
• Uso de Algoritmos fracos e obsoletos
• Tipos limitados de Certificados
21. Benefícios no Uso de uma AC Internacional
• Experiência em Segurança Digital
• Cumprimento com os padrões de segurança da Indústria
• Programa de Raiz Confiada Hospedada
• Nos anticipamos às mudanças da industria provendo a informação com antecedência a nossos clientes:
• Raiz de 1024 a 2048
• SHA-1 a SHA-256
• ECC
• Uso de Nomes de Domínios Internos
• Plataforma centralizada de gestão dos certificados:
• Registro de usuários
• Gestão do ciclo de vida
• Reemissão sem custo
• Licença ilimitada para servidores
• Emissão de relatórios detalhados
• Inventário de certificados
• Centralização de todos os certificados independente da AC emisora
• Configuração de políticas de segurança
• Notificação de Renovação
• Verificador de Configuração de Servidor SSL
https://globalsign.ssllabs.com/
23. Ø https://globalsign.ssllabs.com/
Ø Verifica a instalação do certificado SSL e a configuração do servidor
Ø Suporte a protocolos fracos
Ø Falta de suporte a protocolos fortes
Ø Compatibilidade com Navegadores
Ø Entre outros
Verificador de Configuração de Servidor SSL
25. Autenticaçãode usuários
• Nome de Usuário e Senha continua sendo o
método de autenticação mais utilizado
• Nome de Usuário e Senha não é um método
confiável
Anotam suas senhas
de acesso corporativo
Dividem suas senhas
Com alguém
Invasões de redes devido
A credenciais fracas
29. Foque em uma solução de IAM bimodal
Segurança e Controle de Acessos são essenciais
para serviços online
Identidades Internas Identidades Externas
• Produtividade
• Cumprimento com políticas de
segurança da empresa
• Eficiência interna
• Cumprimento com Auditorias
• Informação de seus funcionários
• Quem acessa, quando, quais
aplicações, que horas e o que
visualizaram
• Controle de acessos
• Conveniência
• Eficiência
• Mobilidade
• Cumprimento com regulações
• Conhecimento do consumidor
• Gestão externa
• Auto-atendimento
• Gestão de Acessos
• Confiança
• Segurança
• Auditorias
30. Problemas:
• Uso de métodos fracos de autenticação para
sistemas críticos
• Usuários (parceiros, indivíduos, etc) têm
vários dados de login (contas e senhas) para
acessar os serviços da empresa.
• Necessidade de uma força de trabalho grande
para suprir as necessidades de suporte:
• Usuários sempre esquecem seus dados de login
• Ausência de auto-atendimento
• Múltiplos repositórios de Identidades
• Usuários tendem a deixar de usar serviços
pela complexidade. Não indicam a outros
usuários.
• Múltiplos repositórios de identidades.
• Os serviços não estão centralizados no
usuário.
31. Benefícios do IAM
• Unificação das Credenciais de Acesso
• Repositório de Identidades Unificado
• Controle de Acessos Centralizado
• Integração com CRM
• Diminuição dos custos de infraestrutura e suporte
• Aumento da Segurança
• Aumento das vendas
32. “Não planeje uma customizaçãomassiva
da infraestrutura de IAM. Foque em
soluções que permitam uma rápida
configuração, aumentando a velocidade
da migração…”
-Gartner 2015 Planning Guide for Identity and Access Management
Novo foco de IAM
33. CustomerID
Registro de usuário e
cliente corporativo
SSO
SSO e gestão de acessos
TRUST
Identidadese Acessos
Federados
CONFIRM
Confirmação de transação
de negócios
•Verificação inteligente de
identidade
•Melhoria dos dados da
identidade
•Gestão de cargos
•Autorização
•Auto registro e
autoatendimento
•Autenticação
Eficiente
•Controle de Acesso
Centralizado
•Forte Sistema de
controle de
autorizações
•Suporte a
autenticação baseada
em extranet via CRM
•Serviços e Redes em
Nuvem Federadas
•Centralização de
políticas de gestão e
autorização
•Suporte a gestão
multi-federada
•Suporte Out-of-the-
box para federações
internacionais líderes
•Confirmação
Inteligente de
transações de
negócios
•Acordos e
transações 24/7
•Trilhas de auditoria
Soluções IAM GlobalSign
37. Reforço de Autenticação (Step up Verification)
• Reforço de autenticação para transações
críticas. Reforçando políticas de anti-
lavagem de dinheiro e evitando fraudes
eletrônicas.
• Exemplo:
• Usuário e Senha (para as operações de
nível baixo).
• SMS OTP, (para as operações de nível
médio).
• OTP impresso (para as operações de
nível médio / alto).
• PKI móvel (para transações de nível alto).
39. OAuth Servidor de Autorização – GlobalSign SSO
GlobalSign SSOApp Móvil
Servidor de Recursos
My Device
Autentícate
OTP Bank PKI
OTP Bank PKI
Seguro
Control
View Data
API
20+ métodos de autenticação suportados
Aplicações Móveis Log-In com OAuth 2.0
42. API IdP
Discovery
GlobalSign SSO:
Servidor de
Autorización
Novo Padrão de Conexão Móvel
Usuario
Servidor / Portal
Provedor de
Serviços
Provedor
TELECOM
SMS OTP
Wireless PKI
Outros…
Servidores de Autenticação Gestão do ciclo de
vida dos clientes
1. Usuário entra o número de telefonepara
acessar um serviço
2. API IdP envia uma solicitação à GSMA
3. GSMA respondecom o provedor de Telecom
4. A aplicaçãosolicita ao provedor de Telecom a
autenticaçãodo usuário
5. O proveedor de Telecom realiza a autenticação
do usuário usando um dos mais de 20 métodos
de autenticaçãoprovidos pela GlobalSign
6. O Servidor de Autenticação envia uma resposta
positiva ou negativa à aplicação. Sem expôr
nenhum dado pessoal.
1 2
3
4
5
6
43. Caso de Éxito DNA: Motivos
• Altos custos com suporte e
atendimento ao consumidor
• Alta rotatividadede clientes
• Longo tempo de registro
• Dificuldade na venda de novos
serviços
DNA é Líder
Finlandês em
serviços de
telecomunicações
(TV, mobilidade,
telefone e Internet).
44. DNA B2C DNA B2B Novos Serviços
Usuários Consumidores e Corporativos
DNA Serkku – Serviçosde Cloud brokering
Responsabilidades do Suporte
Gestão de
Múltiplos
Repositórios
Emitir Documentos e
relatóriospara o Cliente
Gestão de Permissõese Mudanças
Múltiplas Identidades e Repositórios
Estrutura da DNA Antes do GlobalSign CID & SSO
45. UMA ÚNICA IDENTIDADE PARA DIFERENTES SERVIÇOS
DNA B2C DNA B2B Novos Serviços
SSO
Usuários: Consumidores e Corporativos
DNA Serkku – Serviçosde Cloud brokering
CRM
ServiçosIAM de Auto-atendimento
Delegação de Gestão
IAM Auto-Atendimento:
ID
Registros
Estrutura da DNA depois do GlobalSign CID & SSO
46. Benefícios Quantificáveis
Solução de IAM Centralizada
Economia de mais de 1 M de Euros no primeiro ano além do aumentodas vendas
• IAM totalmente centralizado, focado na gestão de usuários e acessos
• Unificação dos repositórios de identidades, gerando economia da Gestão e
Infraestruturade TI.
• Os clientes da DNA têm um ID unificado, baseado em direitos de acesso e funções.
Possibilitandoaos clientes adquirir novosserviços de maneira rápida e eficiente,
aumentandoas vendas.
• Delegação da gestãode identidades e autorização para os clientes empresariais
gerando uma grande economia no serviço ao consumidor.
• Implementação de serviços de auto-atendimento, diminuendo oscustos com
Suporte.
• O tempo de registro de novas organizações e usuários foi reduzido em 95%
• Ciclo de Trabalho baseado em auto-atendimento 24/7
• Automação da migração de usuáriosà nova plataforma usandoAPI REST
48. Funcionários querem usar
dispositivos e máquinas
pessoais no trabalho
Ameaça
Interna
Ameaça
Externa
Ameaça Crescente de
máquinas forjadas
Hackers buscando
uma porta de entrada
Não se pode confiar nas
Máquinas ou Dispositivos
?
50. Autenticaçãode Usuários – Substitua as Senhas
• Senhas e usuários não são confiáveis
• Certificados digitais provêm uma camada extra de segurança e
balanceamento de custos
• Não há necessidade de hardware adicional
• Não há impacto no usuário final
• Compatibilidade Nativa com aplicações e redes
• Provisão e gestão do ciclo de vida dos certificados pode ser
automatizada via AD
51. Identidade & Autenticação de dispositivos móveis –
Usuários Internos
• Suporte a BYOD e assegura dispositivos coporativos com PKI móvel
• Fácil de implementar e com custo efetivo para ambos: dispositivos de
funcionários, dispositivos da corporação
• Integração MDM Airwatch
• Simplifica o provisionamento de certificados em dispositivos
• Não há necessidade de instalar manualmente os certificados em cada
dispositivo
Certificados Digitais podem ser usados para:
Email encryption
and signing
Email authentication
VPN and Wi-Fi
authentication
Assegurar a privacidade de informaçõessensíveis,
provando a autoria do autor e origem da mensagem
Garantir que apenas dispositivos autorizados sejam
capazes de acessar os servidores de e-mail
corporativo
Garantir que apenas dispositivos autorizados sejam
capazes de acessar conexões corporativas
52. GlobalSign Webinar
Entre os custos de segurança e a
usabilidade para os usuários. Baixos
custos de implementação.
EQUILÍBRIO
Não é necessário nenhum hardware
adicional
Não há uma carga extra nos usuários
finais
Gestão simples do ciclo de vida
Os Certificados São a Solução
Os Certificados podem ser usados para
autenticar usuários, máquinas e
dispositivos
COBREM TODOS OS ENDPOINTS
Autenticação Mútua
Fácil implementação, com a opção de
Instalação e renovação automáticas
Compatibilidade nativa com
Aplicações e redes
54. Ashley Madison Hack
• Julho 2015
• 27 milhões de informações de usuários
comprometidas
• O arquivo comprimido de 9.7 GB possui
nomes, emails, informações de login e
de pagamento.
• Os Hackers liberaram mapas do sistema
de servidores interno, informações da
rede de contas dos funionários,
informações bancárias da empresa.
• Blackmail
• O foco dos ataques foram os dados, não
o dinheiro
• Emails corporativos usados em diversos
acessos: .mil, .gov, entre outros
55. Ataque aos correios eletrônicos da Sony
• Novembro de 2014
• Spear Phishing
• Um funcionário abriu um email e clicou em um link malicioso
• Os hackers se instalaram nas redes da Sony por meses, mapeando a infraestrutura e
tendo acesso à dados sensíveis.
• Os hackers fizeram demandas para mantener as informações privadas “Sequestro de
Dados”.
• Afetaram a reputação da Sony gerando a perda de milhões de dólares.
• Os Data Centers foram afetados.
• Lançamento do filme “A Entrevista” foiafetado.
• Tensão internacional entre EUA e Coréia do Norte.
• Dados afetados: contratos, salários, orçamentos, informação de projetos
futuros, seguro social Americano
• Perda de mais de US$35M
56. Dados
• O Brasil é o maior alvo mundial de ataques de Phishing (18%).
• No primeiro trimestre de 2015 o Brazil sofreu mais de 50 milhões de ataques de phishing.
• 53% dos funcionários já receberam informações corporativas de risco não criptografadas via
email ou anexos.
• 21% dos funcionários confiam no envio de informações sem criptografia.
• 22% das empresas sofrem com a perda de informações através de e-mails todos os anos.
• US$3.5M é o custo médio que a perda de dados custa à empresa.
• 33% dos executivos da Fortuna 500 já foram vítimas de ataques de phishing.
58. S/MIME
• Assinaturas Digitais
• Criptografia
• O que eu preciso para assinar
digitalmente & criptografar e-mails:
• Um certificado digital de uma
Autoridade Certificadora compatível
com S/MIME.
• Um serviço de email compatível com
S/MIME. A maioria dos principais
clientes de email suportam o S/MIME,
60. Como eu assino digitalmente um email?
• Para a maioria dos clientes de email, assinar digitalmente um
email é tão simples quanto clicar em um botão.
62. Benefícios do S/MIME
• Prevenção de manipulação de
conteúdo
• Provar a origem do email
• Prevenir exposição de conteúdo
• Comunicação Flexível e Segura
• Fácil Implementação
• Compatibilidade com dispositivos
móveis
• Plataforma centralizada de gestão
com opções de entrega (automação
via AD, solicitação massiva, página
pública, API)
64. PKI Para Autenticaçãoe Segurança de Emails
• Emissão Imediata
• Múltiplos Perfis
• Funções Completas de Relatório
• Configuração granular de usuários e
permissões
• Plataforma Unificada
• Página de Solicitação Pública
• Emissão Massiva
• APIs de Integração
• MDM
• AEG
68. AEG GCC
Cloud
AD
Estaçãode
trabalho Roteadores
Servidores
Usuários
ENDPOINTS
Configurados
com CEP
1
2
3
4 5
6
7
8
Paso 1
Os endpoints configurados
solicitam os certificados
mediante O Group Policy
(Política de Grupo) e se
conectam ao servidor AEG
através de uma conexão
HTTPS
Passo 2 & 3
O Servidor do AEG envia
uma solicitaçãoLDAP para
os controladores de
dominio, para obter uma
lista de modelos às quais o
endpoint pode se inscrever
Passo 4
A lista de modelos
disponíveis é enviada ao
endpoint, assim como uma
URI da AC, configurada para
emitir certificados
Passo 5 & 6
o endpoint se conecta ao
servidor do AEG usando
HTTPS e solicitará de
imediatoo certificado
através das APIs da
GlobalSign
Passo 7 & 8
Após o processo imediato
de solicitação, nossas APIs
respondem com um
certificado que é instalado
no endpoint de maneira
imediata
How it worksCOMO FUNCIONA O AEG
69. Servidor
de AEG
AD – Domínio # 1
Estações de
trabalho Roteadores
Servidores
Usuários
ENDPOINTS
AD – Domínio # 2
ENDPOINTS
TRUST
MÚLTIPLAS FLORESTAS – Múltiplos Domínios
Estações de
trabalho Roteadores
Servidores
Usuários
70. S/MIME: Assinaturae Criptografiade Emails.
Recuperação e Arquivo de Chaves
Cartões Inteligentes para Início de Sessão
Autenticação de Usuários
Autenticação de Máquinas
Autenticação de controladores de domínio
AssinaturaDigital para documentos Office de MS
Sistema de Criptografiade Arquivos (Encrypted File
System (EFS)).
Casos de Uso
73. Problemas que Solucionamos
• Aumento na segurança e confiança
online através da provisão de
identidades fortes.
• Redução dos custos e tempo de
migração de PKIs corporativas.
• Gestão de riscos relacionados a
certificados (criptografia fraca,
algoritmos obsoletos, expirações, auto-
assinados, inventário)
• Redução do tempo da migração de
Soluções IAM de meses à semanas.
• Automação e gestão da migração de
Identidades para a IoE em alto volume e
escala
74. Benefícios de
uma Associção
com um
Provedor de
Identidades
SaaS
Cumprimento com os padrões da
Indústria de segurança digital
Alta disponibilidade e uptime
Recuperação de Desastres
Fácil implementação e gestão do
ciclo de vida
Baixo Custo Final
Não há necessidade de experiência
Com PKI
76. Porquê a GlobalSign?
• GlobalSign é uma entidade de Segurança Digital
Internacional com mais de 20 anos de experiência no
Mercado.
• As Soluções GlobalSign ganharamdiversosprêmios
desde 2015:
• Info Security products Guide – solução de
segurança de IAM com características robustas
• Security Products Govies 2015 – melhor solução
de IAM para governosnos EUA
• European Identity Coud – com o desenvolvimento
de IAM da empresa DNA que economizou 1M de
Euros no primeiro ano.
• Info Security Products Guide 2016 – solução de
segurança mais inovadoracom o AEG.
• Arquitetura, sistemas de alto volume, escalabilidade e
disponibilidade para a gestão de milhões de
identidades.
• Entendemos as Necesidades do Mercado Brasileiro. EIC Best B2B Identity Project