10 problemas seguranca_ecommerce

  • 238 views
Uploaded on

Webnar realizado pelo Diretor de Operações da Site Blindado Gustavo Souza

Webnar realizado pelo Diretor de Operações da Site Blindado Gustavo Souza

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
238
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
3
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Os 10 erros mais comuns de segurança na operação de um ecommerce Gustavo F. de Souza Diretor
  • 2. O Histórico do Ecommerce1979: Criação do primeiro shopping Online;1984: Eletronic Mall foi criado pela CompuServe;1994: O primeiro banco online foi inaugurado;1995: Lançamento da Amazon.com;2000: Bolha .com;2011: O Ecommerce no Brasil movimentou mais de R$18 Bilhões dereais. Nos EUA passou de US$197 Bilhões.
  • 3. Dados relacionados a Segurançano Ecommerce – SiteBlindado Problemas na 1a. Certificação de Segurança Falhas Segurança 8% Aplicação 16% Sem SSL 51% Problemas de DNS 25% Infectados Malware
  • 4. Problemas de Segurança maiscomunsSoftware desatualizados;Vulnerabilidade de Cross Script Injection;Serviços Desnecessários disponíveis;SQL Injection;Página de administração disponível para qualquer pessoa acessar;Página de login sem criptografia.
  • 5. Entidades relacionadas aoecommerceUsuário: CompradorWebsite B2C: Vendedor;Hacker: entidade que tenta explorarfragilidades no sistema; Software Ecommerce HackerSoftware Ecommerce: Plataforma ousoftware desenvolvido para negóciosonline. Usuários Webite B2C
  • 6. Vetores de ataques ao ecommerce Malwares Programas Infectados Software Ecommerce Hacker Ataque Phishing Malware para estação Ataque de Aplicação Problemas conhecidos DDoS Usuários Interceptação dos dados da transação Website - Usuário Website B2C
  • 7. Conceito do que Proteger
  • 8. Gestão de Riscos - Matriz
  • 9. Os Erros mais comuns1- Armazenar dados de clientes e cartão de crédito em claro. Recomendação: Armazenar dados de clientes criptografados. Não armazenar dados de cartão de crédito de clientes (utilizargateways).2- Não avaliar recorrentemente a segurança da aplicação. Recomendação: Realizar análise automatizada / Testes de invasão devulnerabilidades sob a ótica do usuário.
  • 10. Os Erros mais comuns3- Não ter criptografia em páginas críticas e selo de credibilidade. Recomendação: Implantar criptografia forte em páginas críticas. Implantar métodos de troca de chaves seguros. Ter selo de credibilidade em todas as URLs.4- Não utilizar autenticação forte para usuários do sistema. Recomendação: Garantir que o usuário é o autorizado para transação. Restringir e implantar autenticação de 2 fatores admins.
  • 11. Os Erros mais comuns5- Não estar protegido contra ataques de Negação de Serviços (Dos eDDos). Recomendação: Implantar mecanismo de proteção de ataques de DDos no DNS ePortal (Interface).6- Não utilizar Web application Firewalls, Firewalls, Proxies e IPSs. Recomendação: Implantar mecanismos externos de proteção de aplicação – WAF. Implantar mecanismos de proteção de perímetros.
  • 12. Os Erros mais comuns7- Usar softwares desatualizados. Recomendação: Implantar mecanismo de verificação de versão de software. Atualizar periodicamente os softwares/plataformas.8- Não ter um controle de disponibilidade / plano de continuidade /backup. Recomendação: Implantar monitoração de performance e rotinas de contingênciados serviços críticos. Preservar backups atualizados e testes regulares.
  • 13. Os Erros mais comuns9- Arquitetura Segregada e proteção de dados. Recomendação: Implantar segregação de ambientes como: Proxy ou WAF deentrada, banco de dados apenas para leitura de dados, banco dedados restrito para escrita. Implantar software de controle de vírus, navegação e malwarepara colaboradores do portal (funcionários).10 – Não analisar logs da aplicação, banco de dados e perímetros. Recomendação: Analisar diariamente logs dos servidores Web, aplicação e banco. Analisar mecanismos de defesa no mínimo diariamente.
  • 14. O b r ig a d o !o G us ta vo S o uza gustavo@siteblindado.com.br (11) 3165-4000