Seguranca 2011 uva

1,454 views
1,376 views

Published on

Rafael Soares apresentou palestra sobre "Segurança da Informação - Desafios e Oportunidades" no auditório principal do Campus Perynas, em Cabo Frio, da Universidade Veiga de Almeida.

Apalestra faz parte da programação de boas-vindas dos novos alunos dos cursos de Sistemas de Informação e Engenharia de Produção.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,454
On SlideShare
0
From Embeds
0
Number of Embeds
54
Actions
Shares
0
Downloads
61
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Seguranca 2011 uva

  1. 1. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados. Segurança da Informação Desafios e Oportunidades Rafael Soares Ferreira Clavis Segurança da Informação [email_address]
  2. 2. Alguns Clientes Lista completa de clientes em: http://www.clavis.com.br/empresa/clientes.php
  3. 3. Alguns Parceiros Lista completa de parceiros em: http://www.clavis.com.br/empresa/parceiros.php
  4. 4. $ whoami <ul><li>CSO (Clavis & Green Hat)
  5. 5. Pentester
  6. 6. Investigador Forense
  7. 7. Incident Handler
  8. 8. Hacker Ético (CEHv6 – ecc943687)
  9. 9. Instrutor e Palestrante </li></ul>
  10. 10. Disponibilidade Confidencialidade Integridade Conceitos >> Segurança da Informação
  11. 11. >> Vulnerabilidades Conceitos <ul><li>Falhas de projeto, implementação ou </li></ul>configuração de redes, sistemas ou aplicações <ul><li>Resultam em violação da segurança </li></ul><ul><li>Algumas vezes são descobertas pelo próprio </li></ul>fabricante, outras não...
  12. 12. Conceitos >> Vulnerabilidades www.seginfo.com.br Onde encontrá-las? <ul><li>Listas de discussão </li></ul><ul><li>Site do Fabricante </li></ul><ul><li>Sites especializados </li></ul><ul><li>Todas as anteriores... </li></ul>
  13. 13. >> Incidentes de Segurança Conceitos <ul><li>Comprometimento dos pilares da SI </li></ul><ul><li>Violação da política de segurança </li></ul>
  14. 14. Principais Ameaças <ul><li>Vírus, Worms, Cavalos de Tróia ...
  15. 15. Acesso não Autorizado (Interno/Externo)
  16. 16. Fraudes / Engenharia Social
  17. 17. Furto de Equipamentos
  18. 18. Negação de Serviço </li></ul>
  19. 19. Principais Ameaças <ul><li>Pichação de Sites (Defacement)
  20. 20. Injeção de Códigos
  21. 21. Senhas Padrão / Força Bruta
  22. 22. Captura de Tráfego
  23. 23. Vulnerabilidades </li></ul>
  24. 24. Principais Ameaças Fonte: Cert.br
  25. 25. Fonte: Cert.br Principais Ameaças
  26. 26. Principais Ameaças Fonte: Cert.br
  27. 27. Principais Ameaças Fonte: Cert.br
  28. 28. Política de Segurança <ul><li>Normas, Processos e Diretrizes
  29. 29. Continuidade do Negócio
  30. 30. Conscientização e Orientação
  31. 31. Padronização nos processos organizacionais
  32. 32. Definição de responsabilidades
  33. 33. Conformidade </li></ul>
  34. 34. Cultura e Capacitação <ul><li>Divulgação dos conceitos de segurança
  35. 35. Melhor aceitação de controles de segurança
  36. 36. Conscientização sobre os riscos
  37. 37. Capacitação Técnica
  38. 38. Prevenção contra ataques de Engenharia </li></ul>Social
  39. 39. <ul><ul><li>Política de Segurança ou de uso aceitável </li></ul></ul><ul><ul><li>Programa de Treinamento em SI para funcionários </li></ul></ul>Fonte: Cetic.br Medidas de Apoio à SI
  40. 40. Proteção Corporativa <ul><li>Controles de Acesso
  41. 41. Sistemas de Detecção/Prevenção de Intrusão
  42. 42. Sistemas de Monitoramento
  43. 43. Sistemas Anti­vírus e Anti­Spam
  44. 44. Filtro de Conteúdo Web
  45. 45. Soluções de Backup e Redundância
  46. 46. Gerenciamento de Registros (Logs) </li></ul>
  47. 47. Fonte: Cetic.br Tecnologias Adotadas
  48. 48. Fonte: Cetic.br Tecnologias Adotadas
  49. 49. Administração Segura <ul><li>Análise de desempenho e vulnerabilidades
  50. 50. Constante fortalecimento dos servidores
  51. 51. Controles de segurança
  52. 52. Alta Disponibilidade </li></ul>
  53. 53. Teste de Invasão (PenTest) <ul><li>Simulação de ataques reais
  54. 54. Teste dos controles de segurança existentes
  55. 55. Homologação e Conformidade
  56. 56. Testa sistemas, equipes e processos
  57. 57. OSSTMM, ISSAF, NIST800-42, OWASP </li></ul>
  58. 58. >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> OWASP Open Web Application Security Project >> ISSAF Information Systems Security Assessment Framework Teste de Invasão (PenTest)
  59. 59. Segurança Redes sem Fio <ul><li>Projeto e Implementação segura
  60. 60. Cobertura e Exposição
  61. 61. Controles de Acesso ao meio
  62. 62. Políticas de Uso </li></ul>
  63. 63. Resposta a Incidentes <ul><li>Encaminhamento de incidentes
  64. 64. Recomendações de correção
  65. 65. Isolamento e Contensão
  66. 66. Recuperação
  67. 67. Investigação das causas principais
  68. 68. Implementação de Correções </li></ul>
  69. 69. Análise Forense <ul><li>Coleta de dados
  70. 70. Preservação das Evidências
  71. 71. Correlação das Evidências
  72. 72. Elaboração da linha do tempo
  73. 73. Respaldo jurídico
  74. 74. Laudo pericial </li></ul>
  75. 75. “ Perdas com fraude aumentaram em 20% nos Últimos 12 meses, afirma estudo” - (20/10/2010) Notícias Recentes Fonte: www.seginfo.com.br “ Quase metade dos internautas brasileiros tem dificuldade de distinguir spams de emails autênticos” - (21/10/2010) “ 550 mil computadores infectados em botnets só no Brasil” - (13/10/2010)
  76. 76. Notícias Recentes Fonte: www.seginfo.com.br “ Aumenta o número de invasões por usuários maliciosos em empresas de médio e grande porte” - (13/10/2010) “ Cresce o número de phishing destinado a redes sociais e sites de universidades” - (12/10/2010) “ Raphael Mandarino afirma: O governo tem investido na capacitação de profissionais para defesa cibernética.” - (12/10/2010)
  77. 77. Notícias Recentes Fonte: www.seginfo.com.br “ Ataques a servidores Web cresceram 41% em Apenas 3 meses” - (07/10/2010) “ Ministério da Segurança Pública do Canadá publica estratégia de Ciber Segurança para o país” - (05/10/2010) “ Pesquisa revela crescimento da terceirização na área de segurança da informação nas empresas” - (03/10/2010) “ Ministério da Segurança Pública do Canadá publica estratégia de Ciber Segurança para o país” - (05/10/2010)
  78. 78. Dúvidas? Perguntas? Críticas? Sugestões?
  79. 79. Fim... Muito Obrigado! Rafael Soares Ferreira [email_address] @rafaelsferreira

×