• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Gestão de Risco de Ti | Andracom
 

Gestão de Risco de Ti | Andracom

on

  • 2,073 views

A gestão inclui processo de identificação dos escopos e analises do grau de vulnerabilidade além das devidas correções para administrar os riscos futuros

A gestão inclui processo de identificação dos escopos e analises do grau de vulnerabilidade além das devidas correções para administrar os riscos futuros

Statistics

Views

Total Views
2,073
Views on SlideShare
1,642
Embed Views
431

Actions

Likes
0
Downloads
0
Comments
0

2 Embeds 431

http://www.andracom.com.br 423
http://andracom.web101.f1.k8.com.br 8

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Gestão de Risco de Ti | Andracom Gestão de Risco de Ti | Andracom Presentation Transcript

    • Análise de Vulnerabilidade
    • Gestão de Risco | Análise de VulnerabilidadeOrientando pelo Números“75 porcento das empresas serão infectadas com um malware alvo, quesairam de seu tradicional perímetro e defesas do host. Até agora, estasOrganizações permanecem ignorantes.”Organizações que sofreram uma brecha nos seus dados tiveram os seguintescustos incluindo: 74% 59% 33% 32% reportaram se depararam se depararam tiveram uma perda de com possíveis com possíveis queda no valor clientes litígios multas de suas ações -Ponemon Institute Survey
    • Gestão de Risco | Análise de VulnerabilidadeTendências das Vulnerabilidade CompTIA Redes Sociais Brechas Prejuízo •  Uma •  Novas •  A severidade das •  Para 2011, a organização não vulnerabiildades brechas numa média do custo lucrativa diz que vieram do uso escala de 1 a 10. total de uma as brechas de crescente dos Em 2008 a brecha de segurança severidade média segurança atingiu ficaram mais sites de redes foi de 4,8, em $85.161 severas nos sociais como 2009 de 5,3 e em últimos 12 Facebook e 2012 de 5,9. meses. Twitter.
    • Gestão de Risco | Análise de VulnerabilidadeOs Quatro Pilares da SegurançaPara cada pilar, existem diversos objetivos adicionais a serem considerados,relevantes e prioritários na área de segurança de dados.
    • Gestão de Risco | Análise de VulnerabilidadeDiferente de teste de intrução•  Não necessita de consultores on-site•  Varreduras contínuas: diárias/semanais•  Relatórios de ação, com informações para remediações fundamentadas em links com vendors de soluções•  Vai custar menos para você do que um teste de intrusão manual e vai ocupar menos recursos do seu time Lembre-se de que os ataques bem sucedidos não respeitam a muralha convencional de proteção. Daí conhecer as suas vulnerabilidades e antecipar correções nos ativos de segurança.
    • Gestão de Risco | Análise de VulnerabilidadeComo administrar Vulnerabilidades? Automatizar para se ter um regime contínuo de administração de vulnerabilidades.
    • Gestão de Risco | Análise de Vulnerabilidade The Automated Vulnerability Detection System (AVDS)O AVDS é desenhado para detectar, administrar e controlar vulnerabilidades diariamente emambientes de TI múltiplos, heterogêneos e de aplicações WEB, através de uma simplesinterface central de gerenciamento AUTOMATICAMENTE.
    • Gestão de Risco | Análise de VulnerabilidadeCaracterística do sistema Automático
    • Gestão de Risco | Análise de VulnerabilidadeOs componentes do sistema da AVDSScanning Server (SS)Responsável por descobrir eprover os dados devulnerabilidade para cada rede/segmento. Uma visão de Hackerde sua rede.Information Server (IS)Ponto Central deGerenciamento para todosos scanning servers
    • Gestão de Risco | Análise de VulnerabilidadeDiagrama de Rede do AVDS
    • Gestão de Risco | Análise de Vulnerabilidade
    • Gestão de Risco | Análise de Vulnerabilidade SecuriTeamAs vulnerabilidades para o sistema AVDS são fornecidos pelo portal Securiteam.com.De propriedade e operado pela Beyond Security, SecuriTeam.com é o maior portalindependente de segurança na web •  Operante desde 1998 onde convergem todas as informações sobre novas vulnerabilidades e que nos permite desenvolver as assinaturas de ataque muito antes das atualizações dos ativos de segurança instalados. •  Recebe mais de 3.000.000 visitantes por mês •  Contém mais de 11,000 artigos de segurança, consultores, e guias de como fazer •  Atualiza e gerencia a base de dados de nossos testes de vulnerabilidade (9.900 ou mais testes)
    • Gestão de Risco | Análise de VulnerabilidadePrincipais Funcionalidades do IS 1/3•  Sistema de Chamados ü  Controla o processo de correção ü  Designa tarefas corretivas ü  Acompanha o progresso das correções ü  Bilhetagem inclui detalhes completos•  Automação Completa ü  Atualizações Automatizadas ü Escaneamentos programados•  Não necessita de qualquer tipo de agentes•  Escaneia qualquer coisa que “fale IP” ü  Comunicação, Produtos e Serviços de Segurança de Dados ü  Testes específicos de Sistemas Operacionais ü  Nível de Aplicação (Escaneamento até a camada 7) ü  Detecção de vulnerabilidades nas aplicações WEB
    • Gestão de Risco | Análise de VulnerabilidadePrincipais Funcionalidades do IS 2/3•  Administração de Ativos – A capacidade de controlar e monitorar o risco dos ativos de acordo com as prioridades estabelecidas pelo administrador.•  Relatórios Diferenciados – põe em evidência as mudanças ocorridas na vulnerabilidade da rede e ajuda a acompanhar o processo corretivo•  Sistema de Auditoria para acompanhar toda a atividade de uso•  Mecanismo de Scoring customiza as severidades das vulnerabilidade usando o modelo de definição de scoring CVSS•  Dia Zero de Scan – Escaneia imediatamente quando um novo problema de ALTO RISCO aparece.•  Scans On-demand DoS disponível quando for necessário•  Completo gerenciamento da empresa: ü  Múltiplas redes ü  Hierarquia Empresa/Usuário
    • Gestão de Risco | Análise de VulnerabilidadePrincipais Funcionalidades do IS 3/3•  Totalmente Não Intrusivo•  Simula ataques na rede da organização sem causar qualquer dano•  Consumo mínimo de banda – Nenhum efeito negativo na performance da rede – configurável entre 8k e 32K•  Precisão – menos de 0.1% de taxa de falso positivoDefinindo e administrando um número ilimitado de organizações atravésde uma única interface – sistema de administração de vulnerabilidade quepermite administrar várias organizações de forma hierárquica (AD)•  Faz uso do portal SecuriTeam.com como fonte de informações•  Em conformidade com o padrão MITRE CVE•  Data Mining - drill down através de queries de relatórios interativos na organização na rede, host e nível de porta
    • Gestão de Risco | Análise de VulnerabilidadeHierarquia Baseada em Regras
    • Gestão de Risco | Análise de VulnerabilidadeOpções de relatórios—  Relatórios incluem: ü  Tabelas e Gráficos ü  Resumo do hosts vulneráveis ou ativos de IP ü  Vulnerabilidades incluindo informações de correções e classificações Mitre CVE—  Tipos de Relatórios: ü  Relatórios de Resumos ü  Relatórios Detalhados das vulnerabilidades e dos chamados abertos ü  Relatórios Diferenciais—  Relatórios disponíveis em vários formatos incluindo HTML, PDF, XML & CSV
    • Gestão de Risco | Análise de VulnerabilidadeAVDS (tela)
    • Gestão de Risco | Análise de VulnerabilidadeTendência da Vulnerabilidade (tela)
    • Gestão de Risco | Análise de VulnerabilidadeTendência da Vulnerabilidade por Scan (tela)
    • Gestão de Risco | Análise de VulnerabilidadeHosts mais vulneráveis por Organização (tela)
    • Gestão de Risco | Análise de VulnerabilidadeDetalhe da vulnerabilidade HIGH s/chamado aberto (tela)
    • Gestão de Risco | Análise de VulnerabilidadeResultado do Scan diferencial por host (tela)
    • Gestão de Risco | Análise de VulnerabilidadeAcompanhamento do Processo de Correção da Vulnerabilidade(tela)
    • Gestão de Risco | Análise de VulnerabilidadeDetalhes do Chamado Aberto (tela)
    • Gestão de Risco | Análise de VulnerabilidadePrograma Flexível de Escaneamento (tela)
    • Gestão de Risco | Análise de Vulnerabilidade Internet DMZ Router Auth Firewall Server App/data Server App/data App/data Server Server App/data Server L2 Switch ProbeLSS ProbeLSS Router Router w/ WCCP Auth ServerBranch Office App/data Router Server Branch Office Branch Office Router Router ProbeLSS App/data ProbeLSS Server ProbeLSS L2 Switch L2 Switch App/data Server L4 Switch
    • Teste de Intrusão
    • Gestão de Risco | Teste de IntrusãoPense como o inimigo pensaTeste seus sistemas para verificar se ou como podem estar comprometidos•  Faça o teste de intrusão em: Servidores Patches IPS/IDS/Firewalls Políticas/ Usuários Aplicação de clientes Usuários•  Nossa solução: CORE IMPACT §  Software para teste automático de invasão §  Lança teste de ameaças do mundo real contra as redes, aplicações e clientes, de maneira segura e eficiente, demonstrando exatamente o estrago que um invasor pode fazer §  Funcionalidades: interface do usuário intuitiva; log completo de todas as atividades; relatórios customizados; links para correções; tecnologia patenteada
    • Gestão de Risco | Teste de IntrusãoComo os clientes usam Core ImpactOs cliente de Core Impact compartilham uma necessidade crítica de provar ousentir-se confiante na força de suas estratégias de segurança em relação aameaças em potencial:Motivador #1 de “avaliação de risco”•  Realiza testes de invasão na rede e usuários final de forma segura, repetitiva e efetiva em custo•  Verificação da eficiência das defesas de segurança (Fw/ IDS/IPS )•  Conformidade de segurança comprovada com as Regulamentações (e.g., FDIC, HIPAA, SOX, PCI, etc.)•  Otimiza o processo de administração de vulnerabilidade"Teste de invasão que vai além de um simples escaneamento de vulnerabilidades tem que ser realizado com frequência”. John Pescatore, VP Distinguished Analyst Gartner.
    • Gestão de Risco | Teste de IntrusãoO Ciclo da Administração da Vulnerabilidade A  solução  endereça  o  mais  substancial  e  desafiador  aspecto  da  administração  da   vulnerabilidade  em  “testes  de  ameaças  do  mundo  real”.    
    • Gestão de Risco | Teste de IntrusãoImpact 12.0 – Teste de Segurança IntegradoPrimeiro produto a integrar o teste de segurança através de três vias deataques replicando ataques de multiestágio. Base de dados comprometidas durante o teste de aplicações web... Pode ser conduzida por endereços de e-mail para uso em IMPACT client-side Tests, que avalia os usuários finais contra ataques de engenharia social. Servidores comprometidos durante os testes de aplicações Web e estações de usuários finais comprometidas durante o teste Client- Side... Podem ser usados como cabeças de ponta de onde lançar IMPACT Network Tests, que identifica e valida vulnerabilidade de OS serviços nos sistemas de backend
    • Gestão de Risco | Teste de IntrusãoTeste de penetração externo (ou interno) Internet ü ü ü Firewall ü ü Rede da Matriz ü ü ü ü ü Rede da Filial
    • Gestão de Risco | Teste de IntrusãoTeste de penetração externo (ou interno) ü ü ü ü ü ü ü ü ü ü
    • Gestão de Risco | Teste de IntrusãoTeste de penetração externo (ou interno) Phishing, spear phishing ü ü ü and client-side exploits ü ü ü ü ü ü
    • Gestão de Risco | Teste de IntrusãoTeste de Segurança nas Aplicações Web Internal Internal Network Servers Workstations User leverages compromised server to “pivot” the test to internal network systems. Web Application Server ü ü SQL Database
    • Gestão de Risco | Teste de IntrusãoExemplo: O famoso ataque de Alberto Gonzalez Albert Gonzalez: Condenado pela violação do sistema de pagamentos da empresa Heartland Payment Systems e roubo de 40 milhões de números de cartões de crédito custando à Heartland US$130 milhões. Abaixo as ações passo a passo. 7. Identificou o destino do tráfego 1. Comprometeu 2. Ganhou acesso ao 4. Estabeleceu um 6. Identificou da transação dos uma aplicação servidor web de controle outros sistemas cartões de crédito. Web via SQL dados. persistente. na rede. 5. Instalou Injection. sniffer. 3. Não encontrou nenhuma 8. Acessou a base informação de valor no de dados contendo servidor web de dados. os números dos cartões de crédito.
    • Gestão de Risco | Teste de IntrusãoTestes abrangentesTestes de multiestágio com base nas ameaças do mundo real revelam exposiçõesnas camadas de infraestrutura quando se adota a abordagem do invasor. Abaixouma repetição do ataque efetuado pelo Alberto Gonzalez usando Core Impact. 8. Ajuda o Banner Grabber a conhecer as aplicações no sistema 5. Instala um alvo. 1. Identifica alvo das páginas web agente persistente 7. Roda o via o Módulo de Information de SO. Information 9. Roda exploits de 6. Roda o módulo Gathering (obtenção de de Sniffer de Gathering aplicações para informações). tráfego.. Module comprometer o sistema. 2. Gera 10. Roda o dinamicamente um 3. Ganha acesso ao módulo Get exploit de SQL servidor web de Sensitive Data para Injection customizado. dados. identificar os números dos cartões de crédito. 4. Roda o módulo Get Database Schema. Mostra que a base de dados não contem nada de valor.
    • Gestão de Risco | Teste de IntrusãoIMPACT revela os caminhos exploráveis dos ataquesA trilha de ataque do CORE IMPACT: Um dos 14 tipos de relatório paraidentificar os riscos exploráveis e prover dados de ação para remediação eficaz. Violação da App Web >>>Violação do servidor>>>Violação dos dados
    • Gestão de Risco | Teste de IntrusãoComplementando Scanners de Vulnerabilidades Identifica e provaO sistema complementa os scans vulnerabilidaesde vulnerabilidades por: Descobre e críticas. verifica—  Rodando exploits contra as vulnerabilidade s vulnerabilidades identificadas durante a varredura—  Revelando quais vulnerabilidades impõem riscos críticos (ameaças de execução remota de códigos) – sem falso positivos—  Demonstrando com segurança as consequencias de uma violação – incluindo ameaças de multiestágios aos sistemas de Valida a Aplica patchs e correção updates backend
    • Gestão de Risco | Teste de IntrusãoLevantamento dos Riscos no Mundo RealTeste de Intrusão provê Análise Profunda com Ameaças do Mundo Real•  O que os invasores podem saber sobre os nossos sistemas? Exploitation•  Quais sistemas podem realmente ser comprometidos? Info Gathering Pivoting•  Quais as trilhas de ataque que poderiam ser usadas para acessar os sistemas de backend? Scanning Potential Post-Exploitation vulnerabilities•  Quais dados estariam expostos? Re-Testing Reporting•  Como endereçamos as nossas exposições? Patching & Updating•  A remediação foi eficaz?•  Somos capazes de cumprir as exigências?
    • Gestão de Risco | Teste de IntrusãoSoftware Abrangente para testes de intrusãoProvê uma visão do risco de TI por toda a Provê dados para a ação de mitigar riscosinfraestrutura •  Relatórios nas atividades dos testes,•  Identifica as vulnerabilidades exploráveis sistemas vulneráveis, dados expostos, e nas aplicações Web, sistemas de Rede, recomendações para remediação sistemas de endpoint, usuários, redes •  Relatórios visuais mostrando a cadeia de sem fio e mobile. fragilidades •  Relatórios de tendências e benchmark eMapeia as trilhas de ataques desde os medição de progresso.comprometimentos de baixo nível até asviolações de dados criticos na rede Apresentado numa solução de software que é…•  Levanta as implicações de uma violação, revelando cadeias de sistemas e dados •  Automatizado para acelerar testes em grandes ambientes expostos. •  Controlado e seguroFiltra resultados de outras soluções de •  Repetitivo visto que sistemas e ameaças evoluemsegurança para apontar os riscos reais •  Atualizado visto que vulnerabilidades são•  Elimina falso/positivos e prioriza a descobertas e novas técnicas de ataque remediação emergem
    • Gestão de Risco | Teste de IntrusãoMedida de Segurança usando ameaças do Mundo Real & Benchmarking•  Aponta fraquezas que poderiam permitir aos invasores a Relatórios capacidade de executarem códigos rermotos. §  Relatório da trilha de ataque §  Relatório do PCI Vulnerability Validation•  Aponta graficamente cadeias de sistemas vulneráveis que §  Relatório FISMA Vulnerability Validation expõem os dados e fontes de backend. §  Relatório diferencial (Delta Report)•  Acesso a patches e outras informações de remediações. §  Relatório de Tendências (Trend Report) §  Relatório de vulnerabilidades de•  Provê trilha de informações e auditorias para iniciativas de Aplicações Web conformidade §  Relatório Executivo de Aplicações Web §  Relatório de Atividades ath §  Relatório Executivo Sintético Attack P §  Relatório de Host (Host Report) §  Relatórios de vulnerabilidades §  Relatório Client-Side Penetration Test e d Exploit ilities §  Relatório de Usuário Client-Side on Vu lnerab pplicati Web A §  Relatório de Teste de Intrusão em sistemas wireless
    • Gestão de Risco | Teste de IntrusãoPrêmios Comentários "After using IMPACT it seems obvious to us that manual penetration is obsolete." By Earl Geer 2006 Wall Street "Organizations concerned with Journal Innovation maintaining a tight security profile Award will appreciate Core Security Technologies CORE IMPACT 6..." By Cameron Sturdevant Vulnerability Assessment & Remediation 19 June 2006 CORE IMPACT 5 IMPACT receives 4 ½ stars. By Frank J. Ohlhorst "We rate CORE IMPACT as Lab Approved … and we will be adding it to our test bench for the coming year." - SC Magazine, January 7, 2007 "We give our Testers Choice Award to CORE IMPACT. By Mike Fratto, Reviewer “CORE IMPACT 6.0 is an amazing tool to validate your security posture.” - Information Security Magazine, January 16, 2007