José Ángel Sancho Sánchez, PMP Gerente de Cibersegurança - Indra
A ERA DOS
HACKERS JÁ
COMEÇOU
O D E . A ER A D O S H AC KER S J Á C O M EÇ O U
“A era dos hackers já começou”
Fonte: CBS NEWS 8-06-2011
Antecedentes
E . A ER A D O S H AC KER S J Á C O M EÇ O U
Como atuam?
1
Anonymous dedica-se
a
recrutar
participantes
e a informar sobre os
seus planos,
recorrendo a redes
sociais, blogues,
fóruns com vista a
encontrar voluntários
SC O D E . A ER A D O S H AC KER S J Á C O M EÇ O U
Como atuam?
Hackers
2
Posteriormente, começa a parte ofensiva,com
injeções
E . A ER A D O S H AC KER S J Á C O M EÇ O U
Como atuam?
Hackers
Venda de
cartões de crédito
roubados por
hackers
2
O D E . A ER A D O S H AC KER S J Á C O M EÇ O U
2
Como atuam?
Hackers
E . A ER A D O S H AC KER S J Á C O M EÇ O U
3
Por último, e se o passo anterior não for bem sucedido (há quem tenha uma segurançaadequada), chega a parte mais conhecida dos
golpes da Anonymous, o ataque de negação de serviço (DoS – Denial of Service)
Como atuam?
O D E . A ER A D O S H AC KER S J Á C O M EÇ O U
ROUBO DE
INFORMAÇÃO
Pirataria industrial, informação privilegiadaOPERAÇÃO
Deixa de operar o seu próprio negócio, sobretudo os.comECONÓMICAS
Requisitos dos clientes, chantagensIMAGEM
Perda de prestígio da segurança da empresa e dos clientesConsequências
Ataque hacker
E . A ER A D O S H AC KER S J Á C O M EÇ O U
Consequências
Ataque hacker
INFELIZMENTE, A SEGURANÇA
É LEVADA MAIS A SÉRIO
DEPOIS DE UM ATAQUE
Um hacker conhecido disse que há dois tipos de empresas: as sensibilizadas com a segurança (que normalmente são as que já foram alvo de ataques) e as que não estão sensibilizadas
O D E . A ER A D O S H AC KER S J Á C O M EÇ O U
Como evitá-los?
Ataque hacker
Pouco pode ser feito, mas pode pelo menos tomar conhecimento do ataque ou fechar sítios onde publiquem informação prejudicial para a sua empresa.
Uma das medidas mais úteis é a auditoria de código fonte sobre a qual falaremos mais adiante.
Boa gestão da segurança perimetral.
“Não importuná-los…
”
3
2
1
E . A ER A D O S H AC KER S J Á C O M EÇ O U
Nos últimos anos, foi reforçado o investimento em defesas
perimetrais, deixando o interior mais desprotegido...
Problemática
É suficiente?
Firewalls
segurança perimetral sistemasde deteção de intrusos
O D E . A ER A D O S H AC KER S J Á C O M EÇ O U A maioria dos ataques são contra a
aplicação
Mais de 90% das vulnerabilidades na Internet encontram-se nocódigo
Ameaças
Vulnera-bilidade
Uma das soluções que recomendamos para mitigar
as ameaças devido à sua rapidez, poupança de
trabalho e custos são as:
Problemática
Segundo o WASC (Web Application Security Consortium)
FERRAMENTAS DE ANÁLISE DE
CÓDIGO FONTE
E . A ER A D O S H AC KER S J Á C O M EÇ O U
Poupa tempo e dinheiro, pois em
poucos minutos
é
determinado o nível
de segurança
da aplicação.
Propõe ações corretivas ou mitigadoras
para as vulnerabilidades encontradas.
Estão constantemente
atualizadas
(o
que hoje não é vulnerável, pode sê-lo
amanhã) e podem ser executadas as
vezes que pretender.
Ajuda a
fomentar
na equipa a
prevenção de vulnerabilidades.
De nada serve ter o desenvolvimento
concluído, se são detetadas
CIBERSEGURANÇA
Porquê
ferramentas
de análise de
código fonte?
O D E . A ER A D O S H AC KER S J Á C O M EÇ O U
Requisitos de um analisador de código fonte
Que possam ser
automáticas
de forma
a evitar-se a dependência humana.
Baixa proporção de
falsos
positivos.
Sejam
rápidas
e consumam recursos
mínimos.
Custos
acessíveis.
Multilingue
(java, .net, c#, etc).
Possam ser integradas no
ciclo de vida
de software do cliente.
Possam ser integradas nos
sistemas
,
aplicações, ferramentas
SIEM
do
cliente.
FERRAMENTAS
DE ANÁLISE DE
CÓDIGO FONTE
(SAST - Static Application Security Testing)
E . A ER A D O S H AC KER S J Á C O M EÇ O U
O QUE É?
Deteta automaticamente, quando
efetuar as auditorias, e o que fazer
com as mesmas no caso de
É a solução da Indra para a
prevenção
automática
e
integral
de vulnerabilidades
no código fonte, baseado
em cloud computing
-
Análise de código fonte
I-SCode
AUDITS OUTPUTS
I-SC O D E . A ER A D O S H AC KER S J Á C O M EÇ O U CICLO
DE VIDA DELDESARROLLO AMBIENTE DESENVOLVIMENTO
AMBIENTE INTEGRAÇÃO/ TESTES AMBIENTE CERTIFICAÇÃO AMBIENTE
PRÉ-PRODUÇÃO AMBIENTE PRODUÇÃO
Repositório fontes Versionado local SENSORES analista de segurança Gerente de 1 3 2 4 5 KO KO 4 OK I-SCode AUDITS OUTPUTS INPUTS
Enterprise
SOC-SIEM 4E . A ER A D O S H AC KER S J Á C O M EÇ O U
CARACTERÍSTICAS
Deteta mais de 94% das vulnerabilidades
É um dos mais rápidos (300.000 linhaspor minuto) <30 ‘
Atualização constante
Menor proporção de falsos positivos domercado
Integra-se no ciclo de vida dodesenvolvimento e nas ferramentas do
cliente (SIEM, CMS, Ticketing, etc.)
Flexível e parametrizável (regras denegócio adaptadas a cada cliente)
Alertas e relatórios de vulnerabilidades em tempo real
Evita o possível erro do fator humanoI-SCode é uma solução
automática para a
prevenção de vulnerabilidades no código fonte, baseado em
CLOUD COMPUTING
I-SCode AUDITS OUTPUTS
INPUTS
I-SCode tem como objetivo principal, determinar o nível de segurança da aplicação e
propor ações corretivas ou mitigadoras para as
O D E . A ER A D O S H AC KER S J Á C O M EÇ O U
VANTAGENS
Possibilidade de experimentar antes decomprar
Com uma licença são auditadassimultaneamente várias linguagens (java, c#, xml, html, etc)
Trabalha em cloud (pública e privada)
Não é mais uma ferramenta isolada
Rápida, numa questão de minutos tem um relatório do estado da sua aplicação
Segurança da análise
Constante atualização
Otimização de custos por cloud
Portal de acompanhamento devulnerabilidades
Controla as possíveis fraudes de I-SCode AUDITS OUTPUTS INPUTS I-SCode é um sistema automático para a prevenção de vulnerabilidades no código fonte, baseado emCLOUD COMPUTING
I-Scode. Deteta automaticamente, quando efetuar as auditorias, e o que fazer com as mesmas em caso
de ameaças ou falsos alarmes
E . A ER A D O S H AC KER S J Á C O M EÇ O U Combinar análise de código com hacking ético de caixa preta e caixa branca Auditoria de código fonte constante e cíclica Testes de engenharia social Auditorias para comprovar que
No que se refere ao software
Recomendações de prevenção adicionais
CIBERSEGURANÇA
Complementado com Ferramentas de vigilância da marca e ferramentas que detetem que foram publicadas gretas da sua empresa em fóruns, vulnerabilidades ou outras informações que permitam detetar ataques futurosPorquê o
I-SCode
?
Sem
compromisso
,
realizamos
uma análise
gratuita
da sua
Web completa em alguns
minutos
iscode@indracompany.com
I-SCode
AUDITS OUTPUTS