O documento discute as tendências em segurança da informação, incluindo:
1. Perfis de invasores como hackers e suas motivações
2. Principais vulnerabilidades como senhas fracas e ataques no lado do cliente
3. Recomendações como melhorar a segurança, como educação de usuários e correção de vulnerabilidades
Palestra apresentada pelo Prof. Rodrigo Santa Maria sobre Boas Práticas em Segurança da Informação, durante a Semana de Empreendedorismo da UNIFEOB, em parceria com o SEBRAE SP, no dia 30/09/2014.
Palestra apresentada pelo Prof. Rodrigo Santa Maria sobre Boas Práticas em Segurança da Informação, durante a Semana de Empreendedorismo da UNIFEOB, em parceria com o SEBRAE SP, no dia 30/09/2014.
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
Conheça alguns dos desafios atuais da segurança da informação, os conceitos por trás de uma ferramenta SIEM e como ela pode apoiar a resposta a incidentes de segurança.
1º webminar sobre ransonware para gestores públicosGuilherme Neves
Seminário sobre as novas ameaças cibernéticas , o cenário atual , a ameaça do ransonware. Quais as estratégias para defender a sua empresa do sequestro de servidores.
Panorama de Segurança na Internet das CoisasSpark Security
Palestra ministrada no Workshop de Segurança da Telefônica em Novembro de 2015 sobre a revolução das "coisas" e os riscos de segurança que acompanham esse novo ecossistema de redes e dispositivos.
O que fazer agora que o projeto acabou? A expectativa foi diferente do resultado entregue? Será que você consegue demonstrar o ROI deste serviço?
O teste de invasão, ou pentest, é muito utilizado pelas empresas para validação da segurança de seus ambientes. No entanto, muitas empresas acabam por não tirar proveito deste tipo de teste, seja por divergências de escopo, técnicas e qualidade do fornecedor, expectativa de entrega e formato de resultados.
Nesta palestra, iremos discutir os fatores decisivos para contratação de um pentest de sucesso, da concepção do projeto ao gerenciamento das vulnerabilidades encontradas, além de abrir espaço para troca de experiências.
Você já sentiu isso? Aquele frio na barriga e o coração batendo mais forte? Você não sabe o que, mas alguma coisa está dando errado no seu teste de penetração. Você não consegue penetrar em nada. Não serão apenas novas técnicas, mas verdadeiras mudanças na sua visão. Aquele momento que dá um estalo quando você vê como fazer de verdade e que tudo era tão simples. Te espero para contar todos os segredos.
Fatec 2020 Cybersecurity uma visão pratica e objetivaCLEBER VISCONTI
Uma visão prática e objetiva dos conceitos e mercado de trabalho. Vazamentos de dados crescem ano após ano e tornam-se cada vez mais difícil de serem detectadas por sistemas de defesa.
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
Conheça alguns dos desafios atuais da segurança da informação, os conceitos por trás de uma ferramenta SIEM e como ela pode apoiar a resposta a incidentes de segurança.
1º webminar sobre ransonware para gestores públicosGuilherme Neves
Seminário sobre as novas ameaças cibernéticas , o cenário atual , a ameaça do ransonware. Quais as estratégias para defender a sua empresa do sequestro de servidores.
Panorama de Segurança na Internet das CoisasSpark Security
Palestra ministrada no Workshop de Segurança da Telefônica em Novembro de 2015 sobre a revolução das "coisas" e os riscos de segurança que acompanham esse novo ecossistema de redes e dispositivos.
O que fazer agora que o projeto acabou? A expectativa foi diferente do resultado entregue? Será que você consegue demonstrar o ROI deste serviço?
O teste de invasão, ou pentest, é muito utilizado pelas empresas para validação da segurança de seus ambientes. No entanto, muitas empresas acabam por não tirar proveito deste tipo de teste, seja por divergências de escopo, técnicas e qualidade do fornecedor, expectativa de entrega e formato de resultados.
Nesta palestra, iremos discutir os fatores decisivos para contratação de um pentest de sucesso, da concepção do projeto ao gerenciamento das vulnerabilidades encontradas, além de abrir espaço para troca de experiências.
Você já sentiu isso? Aquele frio na barriga e o coração batendo mais forte? Você não sabe o que, mas alguma coisa está dando errado no seu teste de penetração. Você não consegue penetrar em nada. Não serão apenas novas técnicas, mas verdadeiras mudanças na sua visão. Aquele momento que dá um estalo quando você vê como fazer de verdade e que tudo era tão simples. Te espero para contar todos os segredos.
Fatec 2020 Cybersecurity uma visão pratica e objetivaCLEBER VISCONTI
Uma visão prática e objetiva dos conceitos e mercado de trabalho. Vazamentos de dados crescem ano após ano e tornam-se cada vez mais difícil de serem detectadas por sistemas de defesa.
1º webminar sobre ransonware para gestores públicosGuilherme Neves
seminário sobre as novas ameaçãs cibernéticas , especialmente o ransonware. Quais as estratégias de defesa para a sua empresa. Defenda-se contra o sequestro de servidores. Segurança da informação;
Palestra: Tendências e Desafios da Segurança na InternetAndre Henrique
Palestra realizada no Workshop de Tecnologia da Amazônia (01/11/18) e no 3º Manga Byte na UNAMA Ananindeua em 07/02/2019.
Objetivo principal foi a conscientização dos participantes sobre o uso consciente dos recursos de internet, através de alguns cenários e estatísticas e dicas usuais de boas práticas em cibersegurança.
Referência oficial:
ZUBEN, Miriam Von. 2018. Internet Segura: proteção de contas e dispositivos (atualizações, mecanismos de segurança, senha forte e sites seguros). Curso de Capacitação: Uso consciente e responsável da Internet, São Paulo, SP 19/10/18. Disponível em <https://www.cert.br/docs/palestras/certbr-formacao-professores2018-turma04.pdf> Acesso em 30 out 2018.
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
Este slideshow dá uma idéia clara do que é o Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web, e da oferta de uso do Sistema RedeSegura que desenvolvo em parceria com a N-Stalker. As aplicações web são o maior alvo de ataques maliciosos nos últimos tempos, e segundo o Gartner (2009) 75% dos problemas de segurança na internet já são atribuídos às aplicações web. Isso se deve, entre outros fatores, à integração de várias tecnologias e objetos usados na construção das aplicações web, e a falta de requisitos de segurança no processo do desenvolvedor. Não basta Segurança de Rede se as aplicações tiverem vulnerabilidades exploráveis por hackers maliciosos. Os riscos para alguns segmentos de negócio são muito elevados, como no mercado financeiro, serviços, e-commerce, e sites de conteúdo de informação que apóiam decisão, além de sistemas corporativos como CRM, ERPs, RH, etc.
Teste e Análise de Vulnerabilidades em Aplicação e servidores web vem sendo uma prática para incrementar as políticas de segurança da informação (GSI) das empresas que dependem da internet para realizar seus negócios sem riscos para seus Clientes e Parceiros, e dar credibilidade às suas marcas, além de estimular um ambiente de negócios mais seguro na internet.
Você já sentiu isso? Aquele frio na barriga e o coração batendo mais forte? Você não sabe o que, mas alguma coisa está dando errado no seu teste de penetração. Você não consegue penetrar em nada. Não serão apenas novas técnicas, mas verdadeiras mudanças na sua visão. Aquele momento que dá um estalo quando você vê como fazer de verdade e que tudo era tão simples. Te espero para contar todos os segredos.
Semelhante a Tendências na segurança da informação (20)
2. perfil
• Especialista em Infraestrutura de TI;
• Consultor para projetos e Suporte para soluções
de Datacenter, Cloud Computing, Segurança e
Monitoramento de Ambientes críticos;
• Ex-Coordenador de cursos de TI do Senac
Sorocaba;
• Main Contact Cisco para todas as academias do
Senac no estado de São Paulo;
• Certificações/Parcerias:
3. Agenda
• Conceitos sobre Segurança da Informação;
• Perfil de invasores;
• Principais Vulnerabilidades;
• O Quadrilátero de Brecha;
• TOP 10 das vulnerabilidades;
• O que fazer;
• Conclusões;
• Onde buscar mais informações.
4. O que é Segurança da Informação?
• É um conjunto de normas?
? ?
• É um departamento?
• Área “cheia de proibições”?
?
?
? ? ?
...
• Tem relação com equipamentos? ?
• Políticas?
?
• Senhas?
?
• Armazenamento em local seguro?
?
5. Segurança?
“Aspália”
• Do latim “securĭtas”, do grego “ασφάλεια”, do
letão “drošība” ... “Dróchiba”
• Aquilo que é seguro, ou seja, àquilo que está ao
protegido de quaisquer perigos, danos ou riscos;
• Sentimento, sensação é uma certeza;
• Conhecimento detalhado da situação;
• Analise para identificar possíveis falhas;
• Plano para recuperação de catástrofes;
• Estar preparado;
6. Segurança da Informação
• Atualmente o conceito de Segurança da
Informação está padronizado pela norma
ISO/IEC 17799:2005, influenciada pelo
padrão inglês (British Standard) BS 7799.
• A série de normas ISO/IEC 27000 foram
reservadas para tratar de padrões de
Segurança da Informação, incluindo a
complementação ao trabalho original do
padrão inglês.
• A ISO/IEC 27002:2005 continua sendo
considerada formalmente como 17799:2005
para fins históricos.
Origem: Wikipédia, a enciclopédia livre
7. Resumo: Segurança da Informação
Proteção de um grupo de informações,
visando preservar o valor que possuem para
um indivíduo ou uma organização.
• Características básicas:
– Confidencialidade;
– Integridade;
– Disponibilidade;
– Autenticidade.
8. Notícias...
“...um belo exemplo do que pode
acontecer quando uma potência
inimiga ou um simples grupo de
hackers atinge os sistemas internos
de outro país. Os softwares de três
redes de televisão e dois dos
“... No mesmo dia em que a lei maiores bancos foram paralisados
brasileira contra crimes cibernéticos por um ataque cibernético na
entrou em vigor, o site do Banco do quarta-feira, 20/03/2013...”
Brasil registrou uma lentidão acima
do comum ao longo de toda terça-
feira, 2/04/2013...”
9. Um pouco mais de notícias...
“...A educação somada às ferramentas e
soluções de TI adequadas, se torna essencial
para o sucesso de qualquer ação preventiva
...”Testes realizados pela Trustwave de segurança, pois a maioria dos incidentes
mostram que a maioria dos aplicativos ocorre por um descuido ou falta de
disponíveis em lojas virtuais, ou conhecimento dos usuários em relação às
87,5%, tem alguma falha...” melhores práticas...”
11. Perfil de invasores
• Hackers:
– White Hats;
– Black Hats;
– Gray Hats;
– Suicide Hackers.
• Script Kiddies
12. Psicologia Hacker
• O que motiva um Hacker?
– Aspectos pessoais;
– Aspectos morais;
– Aspectos financeiros;
• White Hats: Foco em adquirir conhecimento.
“Invadir para aprender e não aprender para invadir”
• Black Hats: Foco no retorno do conhecimento.
Poder é a motivação principal, conseguido das informações e
acessos obtidos.
• Gray Hats: são um grupo misto e é difícil de entender
quais são seus motivos.
Usam suas habilidades para fins legais ou ilegais, mas nunca
para ganho pessoal
13. Psicologia Hacker
• Suicide Hackers: realiza atividades ilegais
sem medo ou preocupações com a polícia
ou das leis.
• Script Kiddies: crackers inexperientes que
utilizam o trabalho intelectual dos
verdadeiros especialistas técnicos.
Não possuem conhecimento de programação, e
não estão interessados em tecnologia, e sim em
ganhar fama ou outros tipos de lucros pessoais.
16. O Quadrilátero de Brecha
• Modelo anterior:
Triangulo de brecha:
– Infiltração;
– Coleta;
– Extração;
• Atualmente:
– Infiltração;
– Propagação;
– Agregação de dados;
– Coleta de dados;
17. Infiltração
• Acesso remoto via aplicações;
• Scan das portas destas aplicações;
• Acesso usando: usuários e senhas default
/ credenciais fracas.
18. Propagação
• Depois da primeira infiltração:
– Scan da rede;
– Identificação de mais sistemas para
propagação;
• Principais métodos de propagação
internos:
– Acesso via compartilhamentos administrativos
default
– Uso das ferramentas de administração com as
pré definições do administrador real;
– Uso de utilitários de comandos remotos.
19. Agregação de dados
• Uso das credenciais internas para
adicionar dados, arquivos aos dados de
sistemas existentes;
• Adição de códigos em servidores web;
• Realizar dump de informações;
• Upload/download de novas ferramentas
para o ataque
• Criar/remover contas de usuários;
20. Coleta de Dados
Dados em transito
são mais valiosos
pois são mais
“frescos”;
Podem ser
acessados direto da
memória;
28. O que fazer em dispositivos móveis
• Politicas de acesso de dispositivo moveis
nas empresas;
• Melhoria das tecnologias de controle de
acesso;
• Uso de autenticação forte para usuários e
dispositivos;
• Detecção de malwares na rede interna e
gateways de acesso
• Uso de ferramentas de SIEM - Security
information and event management
34. O que fazer?
• Criar programas de conscientização e
educação para empregados e usuários;
• Desenvolver e distribuir políticas para
todos;
• Implementar autenticação forte;
• Ter exercícios de simulação de ataque
para preparar e evitar incidentes;
• Usar Passphrases e não senhas comuns.
39. O que fazer?
• Arrumar as vulnerabilidades conhecidas,
identificar ameaças;
• Quebre as barreiras dentro da empresa;
• Analise e refine sistemas e aplicações;
• Uso de tecnologias de SIEM - Security
information and event management;
• Realize exercicios do tipo “Red Team”;
• Treinamentos, treinamentos,
treinamentos.
40. CONCLUSÕES
• Para 2013 e além, várias previsões importantes e
recomendações podem ser feitas com base nas
tendências do ano passado.
• As principais tendências são consistentes com
anos anteriores:
1. Ataques cibernéticos aumentarão;
2. Ataques visando dados de e-commerce;
3. Cuidados na Terceirização de TI e sistemas de negócios;
4. client-side attacks (Ataques no lado cliente);
5. Senhas fracas e padrão;
6. Os empregados deixam a porta aberta
41. Onde buscar mais informações
• Relatório de segurança 2013 da Trustwave
– www.trustwave.com
• Coruja de TI:
– www.corujadeti.com.br
• Data Security:
– www.datasecurity.com.br
42. Brincando e aprendendo
Control-Alt-Hack é um card game criado por
profissionais de segurança para ensinar os alunos do
ensino médio e
de faculdade que
ensina que fazer
white hat
hacking pode ser
divertido e
acessível.