Tendências na Segurança

da Informação

Fabio Robson Leandro

fabiorl@yahoo.com

fabio.rleandro

@fabiorl

perfil

• Especialista em Infraestrutura de TI;

• Consultor para projetos e Suporte para soluções de Datacenter, Cloud Computing, Segurança e Monitoramento de Ambientes críticos;

• Ex-Coordenador de cursos de TI do Senac Sorocaba;

• Main Contact Cisco para todas as academias do Senac no estado de São Paulo;

• Certificações/Parcerias:

Agenda

• Conceitos sobre Segurança da Informação;

• Perfil de invasores;

• Principais Vulnerabilidades;

• O Quadrilátero de Brecha;

• TOP 10 das vulnerabilidades;

• O que fazer;

• Conclusões;

• Onde buscar mais informações.

O que é Segurança da Informação?

• É um conjunto de normas?

• É um departamento?

• Área “cheia de proibições”?

...

• Tem relação com equipamentos?

• Políticas?

• Senhas?

• Armazenamento em local seguro?

?

? ?

?

? ?

? ?

? ?

?

Segurança?

• Do latim “securĭtas”, do grego “ασφάλεια”, do letão “drošība” ...

• Aquilo que é seguro, ou seja, àquilo que está ao protegido de quaisquer perigos, danos ou riscos;

• Sentimento, sensação é uma certeza;

• Conhecimento detalhado da situação;

• Analise para identificar possíveis falhas;

• Plano para recuperação de catástrofes;

• Estar preparado;

“Aspália”

“Dróchiba”

Segurança da Informação

• Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799.

• A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês.

• A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.

Origem: Wikipédia, a enciclopédia livre

Resumo: Segurança da Informação

Proteção de um grupo de informações, visando preservar o valor que possuem para

um indivíduo ou uma organização.

• Características básicas:

– Confidencialidade;

– Integridade;

– Disponibilidade;

– Autenticidade.

Notícias...

“...um belo exemplo do que pode acontecer quando uma potência inimiga ou um simples grupo de

hackers atinge os sistemas internos de outro país. Os softwares de três

redes de televisão e dois dos maiores bancos foram paralisados

por um ataque cibernético na quarta-feira, 20/03/2013...”

“... No mesmo dia em que a lei brasileira contra crimes cibernéticos entrou em vigor, o site do Banco do Brasil registrou uma lentidão acima do comum ao longo de toda terça-

feira, 2/04/2013...”

Um pouco mais de notícias...

...”Testes realizados pela Trustwave mostram que a maioria dos aplicativos

disponíveis em lojas virtuais, ou 87,5%, tem alguma falha...”

“...A educação somada às ferramentas e soluções de TI adequadas, se torna essencial para o sucesso de qualquer ação preventiva de segurança, pois a maioria dos incidentes

ocorre por um descuido ou falta de conhecimento dos usuários em relação às

melhores práticas...”

Um problema Global

Fonte: 2013 TRUSTWAVE GLOBAL SECURITY REPORT

Perfil de invasores

• Hackers:

– White Hats;

– Black Hats;

– Gray Hats;

– Suicide Hackers.

• Script Kiddies

Psicologia Hacker

• O que motiva um Hacker? – Aspectos pessoais;

– Aspectos morais;

– Aspectos financeiros;

• White Hats: Foco em adquirir conhecimento. “Invadir para aprender e não aprender para invadir”

• Black Hats: Foco no retorno do conhecimento. Poder é a motivação principal, conseguido das informações e acessos obtidos.

• Gray Hats: são um grupo misto e é difícil de entender quais são seus motivos. Usam suas habilidades para fins legais ou ilegais, mas nunca para ganho pessoal

Psicologia Hacker

• Suicide Hackers: realiza atividades ilegais sem medo ou preocupações com a polícia ou das leis.

• Script Kiddies: crackers inexperientes que utilizam o trabalho intelectual dos verdadeiros especialistas técnicos.

Não possuem conhecimento de programação, e não estão interessados em tecnologia, e sim em ganhar fama ou outros tipos de lucros pessoais.

Principais Vulnerabilidades

Pesquisa

Fonte: http://www.datasecurity.com.br

O Quadrilátero de Brecha

• Modelo anterior:

Triangulo de brecha:

– Infiltração;

– Coleta;

– Extração;

• Atualmente:

– Infiltração;

– Propagação;

– Agregação de dados;

– Coleta de dados;

Infiltração

• Acesso remoto via aplicações;

• Scan das portas destas aplicações;

• Acesso usando: usuários e senhas default / credenciais fracas.

Propagação

• Depois da primeira infiltração:

– Scan da rede;

– Identificação de mais sistemas para propagação;

• Principais métodos de propagação internos:

– Acesso via compartilhamentos administrativos default

– Uso das ferramentas de administração com as pré definições do administrador real;

– Uso de utilitários de comandos remotos.

Agregação de dados

• Uso das credenciais internas para adicionar dados, arquivos aos dados de sistemas existentes;

• Adição de códigos em servidores web;

• Realizar dump de informações;

• Upload/download de novas ferramentas para o ataque

• Criar/remover contas de usuários;

Coleta de Dados

Dados em transito são mais valiosos pois são mais “frescos”;

Podem ser acessados direto da memória;

Extração de Dados

Extração de Dados - infiltração

Mais atacados...

TOP 10 das vulnerabilidades nas aplicações WEB

Dispositivos Móveis

• Aumento de 400% de ataques massivos;

• Das aplicações testadas - foram:

– Financeiras/Bancarias – 42%;

– Segurança da Plataforma – 25%;

– Redes Sociais – 17%;

– Jogos – 8%;

– Compras on-line – 8%.

TOP 10 das vulnerabilidades de aplicações em dispositivos móveis

Comportamento das ameaças

O que fazer em dispositivos móveis

• Politicas de acesso de dispositivo moveis nas empresas;

• Melhoria das tecnologias de controle de acesso;

• Uso de autenticação forte para usuários e dispositivos;

• Detecção de malwares na rede interna e gateways de acesso

• Uso de ferramentas de SIEM - Security information and event management

Principais senhas

• Analise realizada em uma amostragem de 3.1 milhões de senhas

TOP 10 Vulnerabilidades

Outras senhas...

Comprimento das senhas

• 8 caracteres é o padrão de mínimos de caracteres da maioria dos sistemas de autencitação.

Padrões de senhas

O que fazer?

• Criar programas de conscientização e educação para empregados e usuários;

• Desenvolver e distribuir políticas para todos;

• Implementar autenticação forte;

• Ter exercícios de simulação de ataque para preparar e evitar incidentes;

• Usar Passphrases e não senhas comuns.

Ciclos de um malware

Malwares direcionados

Empresas ainda são lentas para detecção de problemas

Métodos de detecção

O que fazer?

• Arrumar as vulnerabilidades conhecidas, identificar ameaças;

• Quebre as barreiras dentro da empresa;

• Analise e refine sistemas e aplicações;

• Uso de tecnologias de SIEM - Security information and event management;

• Realize exercicios do tipo “Red Team”;

• Treinamentos, treinamentos, treinamentos.

CONCLUSÕES

• Para 2013 e além, várias previsões importantes e recomendações podem ser feitas com base nas tendências do ano passado.

• As principais tendências são consistentes com anos anteriores:

1. Ataques cibernéticos aumentarão;

2. Ataques visando dados de e-commerce;

3. Cuidados na Terceirização de TI e sistemas de negócios;

4. client-side attacks (Ataques no lado cliente);

5. Senhas fracas e padrão;

6. Os empregados deixam a porta aberta

Onde buscar mais informações

• Relatório de segurança 2013 da Trustwave

– www.trustwave.com

• Coruja de TI:

– www.corujadeti.com.br

• Data Security:

– www.datasecurity.com.br

Brincando e aprendendo

Control-Alt-Hack é um card game criado por profissionais de segurança para ensinar os alunos do ensino médio e

de faculdade que

ensina que fazer

white hat

hacking pode ser

divertido e

acessível.

Dúvidas ???

Obrigado!

Slides em: http://www.slideshare.net/fabiorle

Fabio Robson Leandro

fabiorl@yahoo.com

fabio.rleandro

@fabiorl