Your SlideShare is downloading. ×
Segurança no Desenvolvimento de Aplicações - Dextra
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Segurança no Desenvolvimento de Aplicações - Dextra

781
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
781
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
28
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. SEGURANÇA DA INFORMAÇÃO No desenvolvimento de aplicações Dextra 31/08/2011
  • 2. Números
    • Um dos segmentos de mercado que mais cresce em Tecnologia da Informação
    • 3. Proporcional ao número de sistemas conectados a uma rede
      Fonte: http://www.cetic.br/seguranca/index.htm
  • 4. Notícias
    • Hackers expõem 1 milhão de registros do governo da Dinamarca na web (PC World/EUA)
    • 5. Prejuízo com fraudes bancárias na internet cresce 36%, totalizando R$ 685mi este ano (Folha)
      Fonte : http://www1.folha.uol.com.br/mercado/962288-prejuizo-com-fraudes-bancarias-na-internet-cresce-36.shtml http://idgnow.uol.com.br/seguranca/2011/08/22/hackers-expoem-1-milhao-de-registros-do-governo-da-dinamarca-na-web/
  • 6. Resultado
    • Mercado Global em franca expansão
    • 7. Crises versus Oportunidades
  • 8. Mentalidade (Modelo)
  • 9. Segurança também pode ser vista por 11 tópicos da ISO/IEC-17799:2005 • 1. Política de segurança Este tópico descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança.
  • 10. ISO/IEC-17799:2005 • 2. Segurança organizacional Este tópico aborda a estrutura de uma gerência para a segurança de informação, assim como aborda o estabelecimento de responsabilidades incluindo terceiros e fornecedores de serviços.
  • 11. ISO/IEC-17799:2005 • 3. Classificação e controle de ativos de informação Este tópico trabalha a classificação, o registro e o controle dos ativos da organização
  • 12. ISO/IEC-17799:2005 • 4. Segurança em pessoas Este tópico tem como foco o risco decorrente de atos intencionais ou acidentais feitos por pessoas. Também são abordados a inclusão de responsabilidades relativas a segurança na descrição dos cargos, a forma de contratação e o treinamento em assuntos relacionados a segurança.
  • 13. ISO/IEC-17799:2005 • 5. Segurança ambiental e física Este tópico aborda a necessidade de se definir áreas de circulação restrita e a necessidade de proteger equipamentos e a infraestrutura de tecnologia de Informação.
  • 14. ISO/IEC-17799:2005 • 6. Gerenciamento das operações e comunicações Seção especial onde se aborda os procedimentos operacionais e respectivas responsabilidades, homologação e implantação de sistemas, gerência de redes, controle e prevenção de vírus, controle de mudanças, execução e guarda de backup, controle de documentação, segurança de correio eletrônico, e outras.
  • 15. ISO/IEC-17799:2005 • 7. Controle de acesso Este tópico aborda o controle de acesso a sistemas, a definição de competências, o sistema de monitoração de acesso e uso, a utilização de senhas, dentre outros assuntos.
  • 16. ISO/IEC-17799:2005 • 8. Desenvolvimento e manutenção de sistemas Neste item são abordados os requisitos de segurança dos sistemas, controles de criptografia, controle de arquivos e segurança do desenvolvimento e suporte de sistemas.
  • 17. ISO/IEC-17799:2005 • 9. Gestão de incidentes de segurança Esta seção, incluída na versão 2005, apresenta dois itens: Notificação de fragilidades e eventos de segurança da informação e Gestão de incidentes de segurança da informação e melhorias.
  • 18. ISO/IEC-17799:2005 • 10. Gestão da continuidade do negócio Esta seção reforça a necessidade de se ter um plano de continuidade e contingência desenvolvido, implementado, testado e atualizado.
  • 19. ISO/IEC-17799:2005 • 11. Conformidade A seção final aborda a necessidade de observar os requisitos legais, tais como a propriedade intelectual e a proteção das informações de clientes.
  • 20. Mas Hackers/Crackers não se importam com normas e burocracia
  • 21. Constroem ferramentas Hackers, Crackers e Especialistas em segurança da informação constroem ferramentas
    • Para atacar
    • 22. Para defender
    • 23. Mais recentemente para ilustrar potenciais vulnerabilidades em sistemas
  • 24. Constroem ferramentas Ferramentas
    • Nessus (ótimo para analisar vulnerabilidades)
    • 25. CoreImpact (concorrente do nessus)
    • 26. Backtrack (distribuição Linux para testes de invasão)
    • 27. Metasploit (framework para desenvolver exploits, para invasão)
    • 28. WebScarab (proxy de interceptação de app web)
    • 29. Gruyere
    • 30. WebGoat
    • 31. Hacme Books, Hacme Bank, Hacme Casino
  • 32. Constroem ferramentas Com o crescente investimento em segurança da informação...
    • Uma % dos ataques migraram da infra-estrutura para as aplicações...
    • 33. Especialistas atentos a esse fenômeno criaram comunidades apenas para tratar de segurança do ponto de vista da aplicação...
    • 34. OWASP – The Open Web Application Security Project
  • 35. Constroem ferramentas OWASP
    • Comunidade bem estruturada
    • 36. Disponibiliza informações e ferramentas
    • 37. Ferramenta didática WebGoat (mostra as principais falhas em uma aplicação web)
    • 38. Lista Top10 de vulnerabilidades
  • 39. Constroem ferramentas OWASP – Top 10
    • A1: Injection
    • 40. A2: Cross-Site Scripting (XSS)
    • 41. A3: Broken Authentication and Session Management
    • 42. A4: Insecure Direct Object References
    • 43. A5: Cross-Site Request Forgery (CSRF)
    • 44. A6: Security Misconfiguration
    • 45. A7: Insecure Cryptographic Storage
    • 46. A8: Failure to Restrict URL Access
    • 47. A9: Insufficient Transport Layer Protection
    • 48. A10: Unvalidated Redirects and Forwards
  • 49. Constroem ferramentas Ferramentas, ferramentas...
    • Inspirados pela ferramenta WebGoat da OWASP a empresa do segmento de segurança Mcafee lançou um conjunto de ferramentas para mostrar como uma aplicação web pode ser vulnerável: Hacme Books
    • 50. Podemos utilizar essa ferramenta para ilustrar os principais pontos de vulnerabilidade que devemos estar atentos, como por exemplo:
      • Informações de funcionamento de sistema, sendo exibida a usuários
      • 51. SQL Injection
      • 52. XSS
      • 53. DoS
  • 54. Constroem ferramentas A Dextra
    • Já temos marca solidificada como consultoria, fábrica de software e treinamentos
    • 55. Já temos especialistas em múltiplos tópicos (bastamos focarmos em segurança)
  • 56. Constroem ferramentas O que podemos fazer...
    • Montar um time “SWAT”
        • Multidisciplinar
        • 57. Com foco em cuidar dos sistemas e serviços que oferecemos
    • Serviços (análise de ambientes e sistemas, infra-estrutura segura, testes de intrusão)
    • 58. Produtos (Sistemas integrados de permissões e acessos)
    • 59. Treinamentos
  • 60. Constroem ferramentas Perguntas, Críticas & Sugestões ??
  • 61. Constroem ferramentas Obrigado !!!