Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Testes de segurança desafios e oportunidades

730 views

Published on

Testes de segurança desafios e oportunidades

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Testes de segurança desafios e oportunidades

  1. 1. contato@qualister.com.br (48) 3285-5615 twitter.com/qualister facebook.com/qualister linkedin.com/company/qualister Desafios futuros e Oportunidades Testes de Segurança
  2. 2. Instrutor Marcio Cunha Especialista em Teste de Software com foco em Segurança web, mobile e cloud. Possui experiência nos mais diferentes segmentos de mercado. marcio.cunha@qualister.com.br twitter.com/qualister br.linkedin.com/in/marciocunha1
  3. 3. Qualister • Fundada em 2007 • Mais de 1.000 clientes em todo o Brasil • Mais de 50 cursos sobre teste de software • Mais de 3.000 alunos formados • Áreas de atuação: • Consultoria na área de teste e qualidade de software • Cursos • Revenda de ferramentas
  4. 4. Mais de 1.000 clientes
  5. 5. Parcerias internacionais
  6. 6. Panorama Atual Para a grande maioria dos líderes de segurança, o mundo mudou dramaticamente nos últimos três anos
  7. 7. Vazamentos de dados confidenciais quase todos os dias 40% de aumento das violações e incidentes de dados relatados Uso incansável de vários métodos Vazamento de mais de 800.000.000 registros, enquanto o futuro não demonstra sinais de mudança Quantidades “insanas” de registros violados 42% dos CISOs dizem que o risco de ameaças eternas aumentou drasticamente em relação aos anos anteriores. Panorama Atual 83% dos CISOs dizem que o desafio representado pelas ameaças externas aumentou nos últimos três anos
  8. 8. Com base puramente em volume, o número total dos registros violados em 2014 foi aproximadamente 25% maior que em 2013 Panorama Atual
  9. 9. Panorama Atual
  10. 10. Os invasores estão aplicando os tipos fundamentais de ataques de maneiras novas e criativas Panorama Atual
  11. 11. Uma Nova Era de Segurança para uma Nova Era da Computação
  12. 12. & Multas, perda financeira Perda da disponibilidade & interrupção do negócio CFO / COO CEO e sua equipe precisam de uma estratégia Panorama Atual Segurança de TI está na pauta de discussão dos líderes CEO Perda de reputação e de market share CIO Perda de dados, confidencialidade , integridade dos sistemas CISO Violação da segurança e perda de dados sensiveis CRO Falha na auditoria & Multas não compliance
  13. 13. Tendências Chaves de Segurança Ameaças Avançadas Nuvem Mobile e Internet das coisas Desafios Futuros Compliance
  14. 14. Ameaças Avançadas
  15. 15. Atualmente, os ataques que causam maiores danos são dirigidos especificamente a pessoas, sistemas, na qual o alvo seriam suas vulnerabilidades e seus dados. As ameaças avançadas persistentes (APTs) estão mais furtivas e sofisticadas do que nunca, utilizando técnicas de engenharia social para penetrar discretamente em sua organização e instalando malwares que podem ficar despercebidos durante meses Ameaças Avançadas
  16. 16. Ameaças Avançadas Entenda o Ataque Coleta a informação Porta de Entrada Comunicação C&C (Comando & Controle) Movimento Lateral Descoberta de Dados/Ativos Extração de Ativos
  17. 17. Ameaças Avançadas O que fazer?
  18. 18. Nuvem
  19. 19. Os servidores virtuais já estão ultrapassando os físicos, e a Gartner prevê que dentro de poucos anos, 71% dos servidores estará virtualizado. Descobrir a estratégia certa de segurança pode ajudá-lo a aproveitar o incrível potencial que a virtualização e a computação em nuvem oferecem à sua empresa, inclusive: Menores custos operacionais e de capital: consolidando o número de servidores usados e ligando as VMs apenas quando os negócios precisarem delas Maior agilidade: oferecendo novos serviços rápida e facilmente Escalabilidade imediata: ligando e desligando as VMs conforme necessário Acesso a qualquer hora e lugar: oferecendo serviços empresariais para seus usuários que estão no escritório, em casa ou utilizando um dispositivo móvel Nuvem
  20. 20. Latência É a lentidão no tráfego da comunicação dos dados. Esse problema pode afetar tanto o contratante quanto a contratada. Criptografia Deve ocorrer tanto no trânsito dos dados quanto no repouso. Em trânsito mitigará o risco de uma interceptação como um “man in the middle” e a criptografia dos dados que estão em repouso, mitiga o risco de um acesso não autorizado no local onde os arquivos estão armazenados. Canal inseguro de comunicação O método mais comum de transmitir os dados para nuvem é a internet, porém ela é um canal inseguro de comunicação. Para mitigar esse problema, a contratada deve fazer uso de certificados SSL em suas URLs ou disponibilizar uma estrutura de VPN. Backup A empresa contratada deve garantir o backup da estrutura alocada para cada um de seus clientes. Nuvem - Riscos
  21. 21. Mobilidade e Internet das Coisas
  22. 22. Mobilidade e Internet das Coisas A “Internet das Coisas” se refere a uma revolução tecnológica que tem como objetivo conectar os itens usados do dia a dia à rede mundial de computadores. Cada vez mais surgem eletrodomésticos, meios de transporte e até mesmo tênis, roupas e maçanetas conectadas à Internet e a outros dispositivos, como computadores e smartphones.
  23. 23. Mobilidade e Internet das Coisas
  24. 24. Compliance
  25. 25. Compliance Processo de conformidade das empresa com Leis, Normas e Resoluções A necessidade de atender novas regulamentações vem exigindo das organizações esforços frequentes e onerosos na geração de controles e evidências. Gestores possuem o grande desafio de adequar-se a diversos frameworks, tarefa que exige conhecimento e ações específicas para cada padrão ou regulamentação a que a organização precisa estar em conformidade.
  26. 26. Resumindo... Invadir1 Residir2 Expandir3 Coletar4 Exfiltrar5 Cadeia de Ataque
  27. 27. ENDPOINTREDE Prevenir instalação de malware • Verificar o estado das aplicações • Bloquear tentativas de exploração utilizadas para entregar malware Prevenir canais de comunicação maliciosa • Interromper comunicação direta de malware • Proteger contra sequestro de processos confiáveis Prevenir vazamento de credenciais • Block keyloggers • Stop credential use on phishing sites • Limit reuse of passwords Interrupção de Exploit Prevenir exploits alterados • Verificar o estado dos protocolos de rede • Bloquear exploits desconhecidos com heurísticas de comportament o Quarentena de Malware Prevenir sinalização ativa • Interromper tráfego de controle de botnets e malwares com reputação em tempo real e inspeção de SSL Proteção de Usuário Prevenir apps maliciosos • Bloquear acesso a websites maliciosos • Proteger contra mal- uso de aplicações web Previna
  28. 28. Preveja e priorize falhas de segurança antes dos adversários • Utilize varreduras automatizadas de vulnerabilidades •Enfatize ativos de alta prioridades, sem patches ou sem proteção que requerem atenção Detecte atividades e anomalias fora do padrão • Crie baselines e correlaciones massivas quantidades de dados • De logs, eventos, flows, atividade de usuário, ativos, localizações, vulnerabilidades, ameaças externas e outros Analytics de Pre-Ataque Analytics de Ataque em Tempo Real Detecte
  29. 29. Expanda rapidamente a cobertura de segurança para prevenir mais danos • Compartilhe indicadores • Aplique regras customizadas de maneira dinâmica Serviços de Resposta de Emergência Ajuda para se preparar e resistir a violações de segurança mais efetivamente• Tenha acesso a recursos que podem ajudá-lo a reduzir o impacto no negócio e ter uma recuperação mais rápida Forense de Incidentes Pós Ataque Integrações de Resposta Rápida Reduza o tempo para descobrir integralmente o que e quando aconteceu • Classifique e recontrua as atividades e conteúdo do ataque, utilizando dados de pacotes de rede • Utilize tecnologia de pesquisa e visualizações avançadas Responda
  30. 30. Perguntas????
  31. 31. Obrigado
  32. 32. contato@qualister.com.br (48) 3285-5615 twitter.com/qualister facebook.com/qualister linkedin.com/company/qualister

×