Segurança no Desenvolvimento de Aplicações - Dextra

997 views
918 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
997
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
33
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Segurança no Desenvolvimento de Aplicações - Dextra

  1. 1. SEGURANÇA DA INFORMAÇÃO No desenvolvimento de aplicações Dextra 31/08/2011
  2. 2. Números <ul><li>Um dos segmentos de mercado que mais cresce em Tecnologia da Informação
  3. 3. Proporcional ao número de sistemas conectados a uma rede </li></ul><ul>Fonte: http://www.cetic.br/seguranca/index.htm </ul>
  4. 4. Notícias <ul><li>Hackers expõem 1 milhão de registros do governo da Dinamarca na web (PC World/EUA)
  5. 5. Prejuízo com fraudes bancárias na internet cresce 36%, totalizando R$ 685mi este ano (Folha) </li></ul><ul>Fonte : http://www1.folha.uol.com.br/mercado/962288-prejuizo-com-fraudes-bancarias-na-internet-cresce-36.shtml http://idgnow.uol.com.br/seguranca/2011/08/22/hackers-expoem-1-milhao-de-registros-do-governo-da-dinamarca-na-web/ </ul>
  6. 6. Resultado <ul><li>Mercado Global em franca expansão
  7. 7. Crises versus Oportunidades </li></ul>
  8. 8. Mentalidade (Modelo)
  9. 9. Segurança também pode ser vista por 11 tópicos da ISO/IEC-17799:2005 • 1. Política de segurança Este tópico descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança.
  10. 10. ISO/IEC-17799:2005 • 2. Segurança organizacional Este tópico aborda a estrutura de uma gerência para a segurança de informação, assim como aborda o estabelecimento de responsabilidades incluindo terceiros e fornecedores de serviços.
  11. 11. ISO/IEC-17799:2005 • 3. Classificação e controle de ativos de informação Este tópico trabalha a classificação, o registro e o controle dos ativos da organização
  12. 12. ISO/IEC-17799:2005 • 4. Segurança em pessoas Este tópico tem como foco o risco decorrente de atos intencionais ou acidentais feitos por pessoas. Também são abordados a inclusão de responsabilidades relativas a segurança na descrição dos cargos, a forma de contratação e o treinamento em assuntos relacionados a segurança.
  13. 13. ISO/IEC-17799:2005 • 5. Segurança ambiental e física Este tópico aborda a necessidade de se definir áreas de circulação restrita e a necessidade de proteger equipamentos e a infraestrutura de tecnologia de Informação.
  14. 14. ISO/IEC-17799:2005 • 6. Gerenciamento das operações e comunicações Seção especial onde se aborda os procedimentos operacionais e respectivas responsabilidades, homologação e implantação de sistemas, gerência de redes, controle e prevenção de vírus, controle de mudanças, execução e guarda de backup, controle de documentação, segurança de correio eletrônico, e outras.
  15. 15. ISO/IEC-17799:2005 • 7. Controle de acesso Este tópico aborda o controle de acesso a sistemas, a definição de competências, o sistema de monitoração de acesso e uso, a utilização de senhas, dentre outros assuntos.
  16. 16. ISO/IEC-17799:2005 • 8. Desenvolvimento e manutenção de sistemas Neste item são abordados os requisitos de segurança dos sistemas, controles de criptografia, controle de arquivos e segurança do desenvolvimento e suporte de sistemas.
  17. 17. ISO/IEC-17799:2005 • 9. Gestão de incidentes de segurança Esta seção, incluída na versão 2005, apresenta dois itens: Notificação de fragilidades e eventos de segurança da informação e Gestão de incidentes de segurança da informação e melhorias.
  18. 18. ISO/IEC-17799:2005 • 10. Gestão da continuidade do negócio Esta seção reforça a necessidade de se ter um plano de continuidade e contingência desenvolvido, implementado, testado e atualizado.
  19. 19. ISO/IEC-17799:2005 • 11. Conformidade A seção final aborda a necessidade de observar os requisitos legais, tais como a propriedade intelectual e a proteção das informações de clientes.
  20. 20. Mas Hackers/Crackers não se importam com normas e burocracia
  21. 21. Constroem ferramentas Hackers, Crackers e Especialistas em segurança da informação constroem ferramentas <ul><li>Para atacar
  22. 22. Para defender
  23. 23. Mais recentemente para ilustrar potenciais vulnerabilidades em sistemas </li></ul>
  24. 24. Constroem ferramentas Ferramentas <ul><li>Nessus (ótimo para analisar vulnerabilidades)
  25. 25. CoreImpact (concorrente do nessus)
  26. 26. Backtrack (distribuição Linux para testes de invasão)
  27. 27. Metasploit (framework para desenvolver exploits, para invasão)
  28. 28. WebScarab (proxy de interceptação de app web)
  29. 29. Gruyere
  30. 30. WebGoat
  31. 31. Hacme Books, Hacme Bank, Hacme Casino </li></ul>
  32. 32. Constroem ferramentas Com o crescente investimento em segurança da informação... <ul><li>Uma % dos ataques migraram da infra-estrutura para as aplicações...
  33. 33. Especialistas atentos a esse fenômeno criaram comunidades apenas para tratar de segurança do ponto de vista da aplicação...
  34. 34. OWASP – The Open Web Application Security Project </li></ul>
  35. 35. Constroem ferramentas OWASP <ul><li>Comunidade bem estruturada
  36. 36. Disponibiliza informações e ferramentas
  37. 37. Ferramenta didática WebGoat (mostra as principais falhas em uma aplicação web)
  38. 38. Lista Top10 de vulnerabilidades </li></ul>
  39. 39. Constroem ferramentas OWASP – Top 10 <ul><li>A1: Injection
  40. 40. A2: Cross-Site Scripting (XSS)
  41. 41. A3: Broken Authentication and Session Management
  42. 42. A4: Insecure Direct Object References
  43. 43. A5: Cross-Site Request Forgery (CSRF)
  44. 44. A6: Security Misconfiguration
  45. 45. A7: Insecure Cryptographic Storage
  46. 46. A8: Failure to Restrict URL Access
  47. 47. A9: Insufficient Transport Layer Protection
  48. 48. A10: Unvalidated Redirects and Forwards </li></ul>
  49. 49. Constroem ferramentas Ferramentas, ferramentas... <ul><li>Inspirados pela ferramenta WebGoat da OWASP a empresa do segmento de segurança Mcafee lançou um conjunto de ferramentas para mostrar como uma aplicação web pode ser vulnerável: Hacme Books
  50. 50. Podemos utilizar essa ferramenta para ilustrar os principais pontos de vulnerabilidade que devemos estar atentos, como por exemplo: </li><ul><li>Informações de funcionamento de sistema, sendo exibida a usuários
  51. 51. SQL Injection
  52. 52. XSS
  53. 53. DoS </li></ul></ul>
  54. 54. Constroem ferramentas A Dextra <ul><li>Já temos marca solidificada como consultoria, fábrica de software e treinamentos
  55. 55. Já temos especialistas em múltiplos tópicos (bastamos focarmos em segurança) </li></ul>
  56. 56. Constroem ferramentas O que podemos fazer... <ul><li>Montar um time “SWAT” </li><ul><ul><li>Multidisciplinar
  57. 57. Com foco em cuidar dos sistemas e serviços que oferecemos </li></ul></ul><li>Serviços (análise de ambientes e sistemas, infra-estrutura segura, testes de intrusão)
  58. 58. Produtos (Sistemas integrados de permissões e acessos)
  59. 59. Treinamentos </li></ul>
  60. 60. Constroem ferramentas Perguntas, Críticas & Sugestões ??
  61. 61. Constroem ferramentas Obrigado !!!

×