SlideShare a Scribd company logo

Site blindado como tornar loja virtual mais segura e vender mais

Site Blindado S.A.
Site Blindado S.A.

O documento discute como tornar lojas virtuais mais seguras contra ataques como DDoS e vazamento de dados, mencionando riscos como indisponibilidade dos sites e falta de proteção contra malware. Também apresenta soluções como monitoramento de atacantes, bloqueio de requisições suspeitas e uso de criptografia SSL.

1 of 43
Download to read offline
Como tornar loja virtual mais segura e vender mais Mauro Risonho de Paula Assumpção Pentester/Analista em Vulnerabilidades mauro.risonho@siteblindado.com.br www.siteblindado.com.br http://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile
Cenário Em 2012, 31% dos ataques virtuais miravam as PME’s (Pequenas e Médias Empresas), justamente por serem empresas que se atentam menos às questões de segurança.
Pergunta 1 Você conhece os principais problemas de segurança enfrentados pelo mercado de e-commerce?
Pergunta 2 E as causas de perda de dados, problemas e impactos que um ataque pode gerar à imagem da sua loja virtual e aos seus negócios?
Anti-DDoS
Práticas Anti DDoS Objetivo Monitorar e entender o perfil do(s) atacante(s) para evitar o máximo de tempo de indisponibilidade de sites, e-commerces, blogs e outros aplicativos web. Motivação Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa natureza.
Riscos x Benefícios ● Riscos – Atuação reativa aos problemas de segurança; – Indisponibilidades dos sites e do ambiente de internet; – Falta de visibilidade sobre o nível real do risco da empresa;
Riscos x Benefícios ● Riscos – Atuação reativa aos problemas de segurança;
Riscos x Benefícios ● Riscos – Indisponibilidades dos sites e do ambiente de internet;
Riscos x Benefícios ● Riscos – Falta de visibilidade sobre o nível real do risco da empresa;
Riscos x Benefícios ● Benefícios – Identificar claramente os riscos de negócio; – Maior efetividade nos planos mitigadórios; – Maximizar a eficiência de ações de contenção dos ataques;
Riscos x Benefícios ● Benefícios – Identificar claramente os riscos de negócio;
Riscos x Benefícios ● Benefícios – Maior efetividade nos planos mitigadórios;
Riscos x Benefícios ● Benefícios – Maximizar a eficiência de ações de contenção dos ataques;
O que é DDoS ? ● DDoS – Ataque Distribuído de negação de serviço (DDoS - Distributed Denial of Service) um computador mestre (denominado "Master") terá sob seu comando milhares de computadores ("Zombies" - zumbis).
O que é DDoS ?
O que é DDoS ? ● DDoS – No ataque de negação distribuído, várias máquinas de potenciais usuários legítimos do sistema requisitarão o serviço alvo ao mesmo tempo. – A resposta automática a um ataque deste tipo seria negar o serviço aos atacantes, mas é inviável se distinguir dentre as requisições, quantas, quais vem dos usuários legítimos dos atacantes – Isso torna o ataque inevitalvemente com sucesso, pois os servidores não dão conta de todo esse volume de acesso e param de funcionar
O que é DDoS ?
Nossa única linha de defesa é pelo estudo e monitoração dos atacantes. Através do acompanhamento de mídias e redes sociais, identificamos uma série de sites que, por falhas de segurança, tiveram o código malicioso de ataque injetado nos seus servidores para que usuários mal intencionados realizem o ataque de forma mais anônima. Solução/Mitigação
Dado que parte dos ataques virão dos servidores (endereços fixos de internet), planejamos uma linha de mitigação que bloqueará as solicitações vindas desses servidores casos uma grande massa de requisições vindas dessa origem seja iniciada. Para que a defesa seja efetiva, nossos atacantes não podem ter ciência de seu modus operandi. Caso ela seja identificada, eles poderão contorná-la simplesmente bloqueando o acesso as listas de servidores infectados, ou usando diretamente botnets (máquinas zumbis). Solução/Mitigação
As linhas de defesa da maioria das empresas para ataques do tipo DDoS são frágeis e pouco efetivas. O mercado em geral está mal preparado para esse tipo de ataque. Solução/Mitigação
As linhas de defesa da maioria das empresas para ataques do tipo DDoS são frágeis e pouco efetivas. O mercado em geral está mal preparado para esse tipo de ataque. Solução/Mitigação
Perda de dados – SSL
Perda de dados – SSL Objetivo Implementar segurança para evitar o máximo de vazamento de informações valiosas de sites, e-commerces, blogs e outros aplicativos web. Motivação Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa natureza.
Riscos x Benefícios ● Riscos – Vazamento de informação sigilosa;
Riscos x Benefícios ● Riscos – Vazamento de informação sigilosa;
Riscos x Benefícios ● Benefícios – As informações trafegando com mais segurança no site
Phishing – SSL EV
Phishing – SSL EV Objetivo Uma forma de garantir mais segurança e provar o ambiente é autêntico para sites, e-commerces, blogs e outros aplicativos web. Motivação Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa natureza.
Riscos x Benefícios ● Riscos – Vazamento de informação sigilosa; – Falta de autenticidade do ambiente.
Riscos x Benefícios ● Riscos – Vazamento de informação sigilosa; – Falta de autenticidade do ambiente. http://adrenaline.uol.com.b r/internet/noticias/16502/fa lso-groupon-oferece-iphon e-5-a-r599.html
Riscos x Benefícios ● Benefícios – As informações trafegando com mais segurança no site e também mostrando informações sobre a empresa
Principais tipos de malware Blacklist – Anti malware
Tipos de malware Objetivo Uma forma de garantir mais segurança, através de identificação e remoção de malwares em sites, e-commerces, blogs e outros aplicativos web. Motivação Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa natureza.
Riscos x Benefícios ● Riscos – Blacklist de malware no Google – Infecção do site e replicação pela internet – Roubo de informações financeiras – Outros
Riscos x Benefícios ● Riscos – Blacklist de malware no Google – Infecção do site e replicação pela internet – Roubo de informações financeiras – Outros
Riscos x Benefícios ● Benefícios – O site está livre de infecções – Não será bloqueado pelo Google
Informações Gerais
Classificação Vulnerabilidades x impacto - Confidencialidade - Integridade  - Disponibilidade Quanto às características da Informação - CID
Escopo dos Riscos Recursos x Vetores de Ataque  Tecnologia  Processos  Pessoas  Ambiente Elementos do Negócio
Resultados Classificação das vulnerabilidades  Alto  Médio  Baixo Vulnerabilidades encontradas no ambiente
+10000 CLIENTES 4.000 blindagem + 2000 SSL + 2000 antimalware + outros produtos
Mauro Risonho de Paula Assumpção Pentester/Analista em Vulnerabilidades mauro.risonho@siteblindado.com.br www.siteblindado.com.br http://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile

Recommended

Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Edlaine Zamora
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
Symantec Brasil
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce
Site Blindado S.A.
 
Ransomware
RansomwareRansomware
Ransomware
Marcelo Lau
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados Digitais
Marcelo Lau
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digital
Marcelo Lau
 
A ameaça wanna cry – o que você precisa saber
A ameaça wanna cry – o que você precisa saberA ameaça wanna cry – o que você precisa saber
A ameaça wanna cry – o que você precisa saber
Marcelo Lau
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Ellen Santos
 

Recommended

Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Edlaine Zamora
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
Symantec Brasil
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce
Site Blindado S.A.
 
Ransomware
RansomwareRansomware
Ransomware
Marcelo Lau
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados Digitais
Marcelo Lau
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digital
Marcelo Lau
 
A ameaça wanna cry – o que você precisa saber
A ameaça wanna cry – o que você precisa saberA ameaça wanna cry – o que você precisa saber
A ameaça wanna cry – o que você precisa saber
Marcelo Lau
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Ellen Santos
 
SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICASEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
Clavis Segurança da Informação
 
Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao
Grupo Treinar
 
Ameaças de Junho 2016
Ameaças de Junho 2016 Ameaças de Junho 2016
Ameaças de Junho 2016
Symantec Brasil
 
Blindagem de Sites - Site+Seguro
Blindagem de Sites - Site+SeguroBlindagem de Sites - Site+Seguro
Blindagem de Sites - Site+Seguro
TrustSign Segurança na Internet
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
Leandro Bennaton
 
Ransomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaRansomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresa
Mafalda Martins
 
Ciberameaças no universo mobile
Ciberameaças no universo mobileCiberameaças no universo mobile
Ciberameaças no universo mobile
Marcelo Lau
 
Segurança em nuvem
Segurança em nuvemSegurança em nuvem
Segurança em nuvem
Marcelo Lau
 
Soluções Site Blindado
Soluções Site BlindadoSoluções Site Blindado
Soluções Site Blindado
Site Blindado S.A.
 
Security Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial UnbrokenSecurity Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial Unbroken
unbrokensecurity
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
Site Blindado S.A.
 
Ataques cibernéticos e seus riscos aos sistemas e dados contábeis
Ataques cibernéticos e seus riscos aos sistemas e dados contábeisAtaques cibernéticos e seus riscos aos sistemas e dados contábeis
Ataques cibernéticos e seus riscos aos sistemas e dados contábeis
Marcelo Lau
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internet
Djalda Muniz
 
Segurança na Internet - Estudos de caso
Segurança na Internet - Estudos de casoSegurança na Internet - Estudos de caso
Segurança na Internet - Estudos de caso
João Gabriel Lima
 
Seguranca da informacao - Proteja seus negocios da espionagem
Seguranca da informacao - Proteja seus negocios da espionagemSeguranca da informacao - Proteja seus negocios da espionagem
Seguranca da informacao - Proteja seus negocios da espionagem
Marcelo Lau
 
Segurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisSegurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentais
João Gabriel Lima
 
Unidade 2.3 firewall
Unidade 2.3 firewallUnidade 2.3 firewall
Unidade 2.3 firewall
Juan Carlos Lamarão
 
Forense computacional e seguranca da informacao
Forense computacional e seguranca da informacaoForense computacional e seguranca da informacao
Forense computacional e seguranca da informacao
Marcelo Lau
 
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
sucesuminas
 
Seguranca na web
Seguranca na webSeguranca na web
Seguranca na web
Marcelo Lau
 
Vírus do boleto, ciberarmas e outros ataques
Vírus do boleto, ciberarmas e outros ataquesVírus do boleto, ciberarmas e outros ataques
Vírus do boleto, ciberarmas e outros ataques
Bravo Tecnologia
 
DevOps
DevOps DevOps
DevOps
Site Blindado S.A.
 

More Related Content

What's hot

Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao
Grupo Treinar
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
Leandro Bennaton
 
Ransomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaRansomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresa
Mafalda Martins
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
Site Blindado S.A.
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internet
Djalda Muniz
 

What's hot (20)

SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICASEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
SEMINÁRIO INTERNACIONAL DE SEGURANÇA E DEFESA CIBERNÉTICA
 
Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao
 
Ameaças de Junho 2016
Ameaças de Junho 2016 Ameaças de Junho 2016
Ameaças de Junho 2016
 
Blindagem de Sites - Site+Seguro
Blindagem de Sites - Site+SeguroBlindagem de Sites - Site+Seguro
Blindagem de Sites - Site+Seguro
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Ransomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaRansomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresa
 
Ciberameaças no universo mobile
Ciberameaças no universo mobileCiberameaças no universo mobile
Ciberameaças no universo mobile
 
Segurança em nuvem
Segurança em nuvemSegurança em nuvem
Segurança em nuvem
 
Soluções Site Blindado
Soluções Site BlindadoSoluções Site Blindado
Soluções Site Blindado
 
Security Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial UnbrokenSecurity Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial Unbroken
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
 
Ataques cibernéticos e seus riscos aos sistemas e dados contábeis
Ataques cibernéticos e seus riscos aos sistemas e dados contábeisAtaques cibernéticos e seus riscos aos sistemas e dados contábeis
Ataques cibernéticos e seus riscos aos sistemas e dados contábeis
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internet
 
Segurança na Internet - Estudos de caso
Segurança na Internet - Estudos de casoSegurança na Internet - Estudos de caso
Segurança na Internet - Estudos de caso
 
Seguranca da informacao - Proteja seus negocios da espionagem
Seguranca da informacao - Proteja seus negocios da espionagemSeguranca da informacao - Proteja seus negocios da espionagem
Seguranca da informacao - Proteja seus negocios da espionagem
 
Segurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisSegurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentais
 
Unidade 2.3 firewall
Unidade 2.3 firewallUnidade 2.3 firewall
Unidade 2.3 firewall
 
Forense computacional e seguranca da informacao
Forense computacional e seguranca da informacaoForense computacional e seguranca da informacao
Forense computacional e seguranca da informacao
 
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
Café Empresarial Sucesu Minas e Websense -11/02/2014 | Ameaças Modernas e Cy...
 
Seguranca na web
Seguranca na webSeguranca na web
Seguranca na web
 

Viewers also liked

Viewers also liked (6)

Vírus do boleto, ciberarmas e outros ataques
Vírus do boleto, ciberarmas e outros ataquesVírus do boleto, ciberarmas e outros ataques
Vírus do boleto, ciberarmas e outros ataques
 
DevOps
DevOps DevOps
DevOps
 
Apresentação Forum Ecomerce Brasil 2012 - Confiabilidade e Credibilidade
Apresentação Forum Ecomerce Brasil 2012 - Confiabilidade e CredibilidadeApresentação Forum Ecomerce Brasil 2012 - Confiabilidade e Credibilidade
Apresentação Forum Ecomerce Brasil 2012 - Confiabilidade e Credibilidade
 
Briefing da palestra Redes sociais e o comércio eletrônico - prof. Roberto Di...
Briefing da palestra Redes sociais e o comércio eletrônico - prof. Roberto Di...Briefing da palestra Redes sociais e o comércio eletrônico - prof. Roberto Di...
Briefing da palestra Redes sociais e o comércio eletrônico - prof. Roberto Di...
 
Segurança a favor do seu E-commerce
Segurança a favor do seu E-commerceSegurança a favor do seu E-commerce
Segurança a favor do seu E-commerce
 
Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...
Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...
Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...
 

Similar to Site blindado como tornar loja virtual mais segura e vender mais

Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)
wellagapto
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
Marcio Cunha
 
Novas ameaças do mundo conectado
Novas ameaças do mundo conectadoNovas ameaças do mundo conectado
Novas ameaças do mundo conectado
Alberto Oliveira
 
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesConstruindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Tchelinux
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 

Similar to Site blindado como tornar loja virtual mais segura e vender mais (20)

1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)
 
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
 
Segurança e Auditoria de sistemas
Segurança e Auditoria de sistemasSegurança e Auditoria de sistemas
Segurança e Auditoria de sistemas
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_web
 
Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Modulo 01 Capitulo 01
Modulo 01 Capitulo 01
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
 
Novas ameaças do mundo conectado
Novas ameaças do mundo conectadoNovas ameaças do mundo conectado
Novas ameaças do mundo conectado
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
 
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesConstruindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 

More from Site Blindado S.A.

Aplicativos para monitorar filhos pelo celular
Aplicativos para monitorar filhos pelo celularAplicativos para monitorar filhos pelo celular
Aplicativos para monitorar filhos pelo celular
Site Blindado S.A.
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
Site Blindado S.A.
 

More from Site Blindado S.A. (8)

Cloud Security - Marcos Ferreira
Cloud Security - Marcos Ferreira Cloud Security - Marcos Ferreira
Cloud Security - Marcos Ferreira
 
Aplicativos para monitorar filhos pelo celular
Aplicativos para monitorar filhos pelo celularAplicativos para monitorar filhos pelo celular
Aplicativos para monitorar filhos pelo celular
 
Solucoes site blindado
Solucoes site blindadoSolucoes site blindado
Solucoes site blindado
 
Manual de posicionamento do selo site blindado
Manual de posicionamento do selo site blindadoManual de posicionamento do selo site blindado
Manual de posicionamento do selo site blindado
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy Manager
 
Manual de Posicionamento do Selo Site Blindado
Manual de Posicionamento do Selo Site BlindadoManual de Posicionamento do Selo Site Blindado
Manual de Posicionamento do Selo Site Blindado
 
Folder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineFolder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas online
 

Site blindado como tornar loja virtual mais segura e vender mais

  • 1. Como tornar loja virtual mais segura e vender mais Mauro Risonho de Paula Assumpção Pentester/Analista em Vulnerabilidades mauro.risonho@siteblindado.com.br www.siteblindado.com.br http://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile
  • 2. Cenário Em 2012, 31% dos ataques virtuais miravam as PME’s (Pequenas e Médias Empresas), justamente por serem empresas que se atentam menos às questões de segurança.
  • 3. Pergunta 1 Você conhece os principais problemas de segurança enfrentados pelo mercado de e-commerce?
  • 4. Pergunta 2 E as causas de perda de dados, problemas e impactos que um ataque pode gerar à imagem da sua loja virtual e aos seus negócios?
  • 6. Práticas Anti DDoS Objetivo Monitorar e entender o perfil do(s) atacante(s) para evitar o máximo de tempo de indisponibilidade de sites, e-commerces, blogs e outros aplicativos web. Motivação Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa natureza.
  • 7. Riscos x Benefícios ● Riscos – Atuação reativa aos problemas de segurança; – Indisponibilidades dos sites e do ambiente de internet; – Falta de visibilidade sobre o nível real do risco da empresa;
  • 8. Riscos x Benefícios ● Riscos – Atuação reativa aos problemas de segurança;
  • 9. Riscos x Benefícios ● Riscos – Indisponibilidades dos sites e do ambiente de internet;
  • 10. Riscos x Benefícios ● Riscos – Falta de visibilidade sobre o nível real do risco da empresa;
  • 11. Riscos x Benefícios ● Benefícios – Identificar claramente os riscos de negócio; – Maior efetividade nos planos mitigadórios; – Maximizar a eficiência de ações de contenção dos ataques;
  • 12. Riscos x Benefícios ● Benefícios – Identificar claramente os riscos de negócio;
  • 13. Riscos x Benefícios ● Benefícios – Maior efetividade nos planos mitigadórios;
  • 14. Riscos x Benefícios ● Benefícios – Maximizar a eficiência de ações de contenção dos ataques;
  • 15. O que é DDoS ? ● DDoS – Ataque Distribuído de negação de serviço (DDoS - Distributed Denial of Service) um computador mestre (denominado "Master") terá sob seu comando milhares de computadores ("Zombies" - zumbis).
  • 16. O que é DDoS ?
  • 17. O que é DDoS ? ● DDoS – No ataque de negação distribuído, várias máquinas de potenciais usuários legítimos do sistema requisitarão o serviço alvo ao mesmo tempo. – A resposta automática a um ataque deste tipo seria negar o serviço aos atacantes, mas é inviável se distinguir dentre as requisições, quantas, quais vem dos usuários legítimos dos atacantes – Isso torna o ataque inevitalvemente com sucesso, pois os servidores não dão conta de todo esse volume de acesso e param de funcionar
  • 18. O que é DDoS ?
  • 19. Nossa única linha de defesa é pelo estudo e monitoração dos atacantes. Através do acompanhamento de mídias e redes sociais, identificamos uma série de sites que, por falhas de segurança, tiveram o código malicioso de ataque injetado nos seus servidores para que usuários mal intencionados realizem o ataque de forma mais anônima. Solução/Mitigação
  • 20. Dado que parte dos ataques virão dos servidores (endereços fixos de internet), planejamos uma linha de mitigação que bloqueará as solicitações vindas desses servidores casos uma grande massa de requisições vindas dessa origem seja iniciada. Para que a defesa seja efetiva, nossos atacantes não podem ter ciência de seu modus operandi. Caso ela seja identificada, eles poderão contorná-la simplesmente bloqueando o acesso as listas de servidores infectados, ou usando diretamente botnets (máquinas zumbis). Solução/Mitigação
  • 21. As linhas de defesa da maioria das empresas para ataques do tipo DDoS são frágeis e pouco efetivas. O mercado em geral está mal preparado para esse tipo de ataque. Solução/Mitigação
  • 22. As linhas de defesa da maioria das empresas para ataques do tipo DDoS são frágeis e pouco efetivas. O mercado em geral está mal preparado para esse tipo de ataque. Solução/Mitigação
  • 23. Perda de dados – SSL
  • 24. Perda de dados – SSL Objetivo Implementar segurança para evitar o máximo de vazamento de informações valiosas de sites, e-commerces, blogs e outros aplicativos web. Motivação Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa natureza.
  • 25. Riscos x Benefícios ● Riscos – Vazamento de informação sigilosa;
  • 26. Riscos x Benefícios ● Riscos – Vazamento de informação sigilosa;
  • 27. Riscos x Benefícios ● Benefícios – As informações trafegando com mais segurança no site
  • 29. Phishing – SSL EV Objetivo Uma forma de garantir mais segurança e provar o ambiente é autêntico para sites, e-commerces, blogs e outros aplicativos web. Motivação Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa natureza.
  • 30. Riscos x Benefícios ● Riscos – Vazamento de informação sigilosa; – Falta de autenticidade do ambiente.
  • 31. Riscos x Benefícios ● Riscos – Vazamento de informação sigilosa; – Falta de autenticidade do ambiente. http://adrenaline.uol.com.b r/internet/noticias/16502/fa lso-groupon-oferece-iphon e-5-a-r599.html
  • 32. Riscos x Benefícios ● Benefícios – As informações trafegando com mais segurança no site e também mostrando informações sobre a empresa
  • 33. Principais tipos de malware Blacklist – Anti malware
  • 34. Tipos de malware Objetivo Uma forma de garantir mais segurança, através de identificação e remoção de malwares em sites, e-commerces, blogs e outros aplicativos web. Motivação Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa natureza.
  • 35. Riscos x Benefícios ● Riscos – Blacklist de malware no Google – Infecção do site e replicação pela internet – Roubo de informações financeiras – Outros
  • 36. Riscos x Benefícios ● Riscos – Blacklist de malware no Google – Infecção do site e replicação pela internet – Roubo de informações financeiras – Outros
  • 37. Riscos x Benefícios ● Benefícios – O site está livre de infecções – Não será bloqueado pelo Google
  • 39. Classificação Vulnerabilidades x impacto - Confidencialidade - Integridade  - Disponibilidade Quanto às características da Informação - CID
  • 40. Escopo dos Riscos Recursos x Vetores de Ataque  Tecnologia  Processos  Pessoas  Ambiente Elementos do Negócio
  • 42. +10000 CLIENTES 4.000 blindagem + 2000 SSL + 2000 antimalware + outros produtos
  • 43. Mauro Risonho de Paula Assumpção Pentester/Analista em Vulnerabilidades mauro.risonho@siteblindado.com.br www.siteblindado.com.br http://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile