O documento discute como tornar lojas virtuais mais seguras contra ataques como DDoS e vazamento de dados, mencionando riscos como indisponibilidade dos sites e falta de proteção contra malware. Também apresenta soluções como monitoramento de atacantes, bloqueio de requisições suspeitas e uso de criptografia SSL.

1. Como tornar loja
virtual mais segura e
vender mais
Mauro Risonho de Paula Assumpção
Pentester/Analista em Vulnerabilidades
mauro.risonho@siteblindado.com.br
www.siteblindado.com.br
http://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile

2. Cenário
Em 2012, 31% dos ataques virtuais
miravam as PME’s (Pequenas e Médias
Empresas), justamente por serem empresas
que se atentam menos às
questões de segurança.

3. Pergunta 1
Você conhece os principais problemas de
segurança enfrentados pelo
mercado de e-commerce?

4. Pergunta 2
E as causas de perda de dados,
problemas e impactos que um ataque pode
gerar à imagem da sua loja virtual e aos
seus negócios?

5. Anti-DDoS

6. Práticas Anti DDoS
Objetivo
Monitorar e entender o perfil do(s) atacante(s) para
evitar o máximo de tempo de indisponibilidade de
sites, e-commerces, blogs e outros aplicativos web.
Motivação
Estruturar um plano de linha de defesa mínimo dadas
as limitações das empresas para ataques dessa
natureza.

7. Riscos x Benefícios
● Riscos
– Atuação reativa aos problemas de segurança;
– Indisponibilidades dos sites e do ambiente de
internet;
– Falta de visibilidade sobre o nível real do risco da
empresa;

8. Riscos x Benefícios
● Riscos
– Atuação reativa aos problemas de
segurança;

9. Riscos x Benefícios
● Riscos
– Indisponibilidades dos sites e do ambiente
de internet;

10. Riscos x Benefícios
● Riscos
– Falta de visibilidade sobre o nível real do risco da
empresa;

11. Riscos x Benefícios
● Benefícios
– Identificar claramente os riscos de negócio;
– Maior efetividade nos planos mitigadórios;
– Maximizar a eficiência de ações de contenção dos
ataques;

12. Riscos x Benefícios
● Benefícios
– Identificar claramente os riscos de negócio;

13. Riscos x Benefícios
● Benefícios
– Maior efetividade nos planos mitigadórios;

14. Riscos x Benefícios
● Benefícios
– Maximizar a eficiência de ações de contenção dos
ataques;

15. O que é DDoS ?
●
DDoS
– Ataque Distribuído de negação de serviço (DDoS - Distributed Denial of
Service) um computador mestre (denominado "Master") terá sob seu
comando milhares de computadores ("Zombies" - zumbis).

16. O que é DDoS ?

17. O que é DDoS ?
● DDoS
– No ataque de negação distribuído, várias
máquinas de potenciais usuários
legítimos do sistema requisitarão o
serviço alvo ao mesmo tempo.
– A resposta automática a um ataque deste
tipo seria negar o serviço aos atacantes,
mas é inviável se distinguir dentre as
requisições, quantas, quais vem dos
usuários legítimos dos atacantes
– Isso torna o ataque inevitalvemente com
sucesso, pois os servidores não dão
conta de todo esse volume de acesso e
param de funcionar

18. O que é DDoS ?

19. Nossa única linha de defesa é pelo estudo e monitoração dos
atacantes. Através do acompanhamento de mídias e redes sociais,
identificamos uma série de sites que, por falhas de segurança,
tiveram o código malicioso de ataque injetado nos seus servidores
para que usuários mal intencionados realizem o ataque de forma
mais anônima.
Solução/Mitigação

20. Dado que parte dos ataques virão dos servidores (endereços fixos
de internet), planejamos uma linha de mitigação que bloqueará as
solicitações vindas desses servidores casos uma grande massa de
requisições vindas dessa origem seja iniciada.
Para que a defesa seja efetiva, nossos atacantes não podem ter
ciência de seu modus operandi.
Caso ela seja identificada, eles poderão contorná-la simplesmente
bloqueando o acesso as listas de servidores infectados, ou usando
diretamente botnets (máquinas zumbis).
Solução/Mitigação

21. As linhas de defesa da maioria das empresas para ataques do tipo
DDoS são frágeis e pouco efetivas.
O mercado em geral está mal preparado para esse tipo de ataque.
Solução/Mitigação

22. As linhas de defesa da maioria das empresas para ataques do tipo
DDoS são frágeis e pouco efetivas.
O mercado em geral está mal preparado para esse tipo de ataque.
Solução/Mitigação

23. Perda de dados – SSL

24. Perda de dados – SSL
Objetivo
Implementar segurança para evitar o máximo de
vazamento de informações valiosas de sites,
e-commerces, blogs e outros aplicativos web.
Motivação
Estruturar um plano de linha de defesa mínimo dadas
as limitações das empresas para ataques dessa
natureza.

25. Riscos x Benefícios
● Riscos
– Vazamento de informação sigilosa;

26. Riscos x Benefícios
●
Riscos
– Vazamento de informação sigilosa;

27. Riscos x Benefícios
● Benefícios
– As informações trafegando com mais segurança no
site

28. Phishing – SSL EV

29. Phishing – SSL EV
Objetivo
Uma forma de garantir mais segurança e provar o
ambiente é autêntico para sites, e-commerces, blogs e
outros aplicativos web.
Motivação
Estruturar um plano de linha de defesa mínimo dadas
as limitações das empresas para ataques dessa
natureza.

30. Riscos x Benefícios
● Riscos
– Vazamento de informação sigilosa;
– Falta de autenticidade do ambiente.

31. Riscos x Benefícios
● Riscos
– Vazamento de informação sigilosa;
– Falta de autenticidade do ambiente.
http://adrenaline.uol.com.b
r/internet/noticias/16502/fa
lso-groupon-oferece-iphon
e-5-a-r599.html

32. Riscos x Benefícios
● Benefícios
– As informações trafegando com mais segurança no
site e também mostrando informações sobre a
empresa

33. Principais tipos de malware
Blacklist – Anti malware

34. Tipos de malware
Objetivo
Uma forma de garantir mais segurança, através de
identificação e remoção de malwares em sites,
e-commerces, blogs e outros aplicativos web.
Motivação
Estruturar um plano de linha de defesa mínimo dadas
as limitações das empresas para ataques dessa
natureza.

35. Riscos x Benefícios
●
Riscos
– Blacklist de malware no Google
– Infecção do site e replicação pela internet
– Roubo de informações financeiras
– Outros

36. Riscos x Benefícios
●
Riscos
– Blacklist de malware no Google
– Infecção do site e replicação pela internet
– Roubo de informações financeiras
– Outros

37. Riscos x Benefícios
● Benefícios
– O site está livre de infecções
– Não será bloqueado pelo Google

38. Informações Gerais

39. Classificação
Vulnerabilidades x impacto
- Confidencialidade
- Integridade

- Disponibilidade
Quanto às características da Informação - CID

40. Escopo dos Riscos
Recursos x Vetores de Ataque

Tecnologia

Processos

Pessoas

Ambiente
Elementos do Negócio

41. Resultados
Classificação das vulnerabilidades

Alto

Médio

Baixo
Vulnerabilidades encontradas no ambiente

42. +10000 CLIENTES
4.000 blindagem + 2000 SSL + 2000 antimalware + outros produtos

43. Mauro Risonho de Paula Assumpção
Pentester/Analista em Vulnerabilidades
mauro.risonho@siteblindado.com.br
www.siteblindado.com.br
http://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile