Site blindado como tornar loja virtual mais segura e vender mais

Post on 29-Jun-2015

174 views 0 download

Preview:

Click to see full reader
Report this document
SHARE

Transcript of Site blindado como tornar loja virtual mais segura e vender mais

Como tornar loja virtual mais segura e

vender mais

Mauro Risonho de Paula AssumpçãoPentester/Analista em Vulnerabilidadesmauro.risonho@siteblindado.com.brwww.siteblindado.com.br

http://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile

Cenário

Em 2012, 31% dos ataques virtuais miravam as PME’s (Pequenas e Médias

Empresas), justamente por serem empresas que se atentam menos àsquestões de segurança.

Pergunta 1

Você conhece os principais problemas de segurança enfrentados pelomercado de e-commerce?

Pergunta 2

E as causas de perda de dados, problemas e impactos que um ataque pode

gerar à imagem da sua loja virtual e aosseus negócios?

Anti-DDoS

Práticas Anti DDoS

Objetivo

Monitorar e entender o perfil do(s) atacante(s) para evitar o máximo de tempo de indisponibilidade de

sites, e-commerces, blogs e outros aplicativos web.

Motivação

Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa

natureza.

Riscos x Benefícios

● Riscos– Atuação reativa aos problemas de segurança;

– Indisponibilidades dos sites e do ambiente de internet;

– Falta de visibilidade sobre o nível real do risco da empresa;

Riscos x Benefícios

● Riscos– Atuação reativa aos problemas de

segurança;

Riscos x Benefícios

● Riscos– Indisponibilidades dos sites e do ambiente

de internet;

Riscos x Benefícios

● Riscos– Falta de visibilidade sobre o nível real do risco da

empresa;

Riscos x Benefícios

● Benefícios– Identificar claramente os riscos de negócio;

– Maior efetividade nos planos mitigadórios;

– Maximizar a eficiência de ações de contenção dos ataques;

Riscos x Benefícios

● Benefícios– Identificar claramente os riscos de negócio;

Riscos x Benefícios

● Benefícios– Maior efetividade nos planos mitigadórios;

Riscos x Benefícios

● Benefícios– Maximizar a eficiência de ações de contenção dos

ataques;

O que é DDoS ?

● DDoS– Ataque Distribuído de negação de serviço (DDoS - Distributed Denial of

Service) um computador mestre (denominado "Master") terá sob seu comando milhares de computadores ("Zombies" - zumbis).

O que é DDoS ?

O que é DDoS ?

● DDoS– No ataque de negação distribuído, várias

máquinas de potenciais usuários legítimos do sistema requisitarão o serviço alvo ao mesmo tempo.

– A resposta automática a um ataque deste tipo seria negar o serviço aos atacantes, mas é inviável se distinguir dentre as requisições, quantas, quais vem dos usuários legítimos dos atacantes

– Isso torna o ataque inevitalvemente com sucesso, pois os servidores não dão conta de todo esse volume de acesso e param de funcionar

O que é DDoS ?

Nossa única linha de defesa é pelo estudo e monitoração dos atacantes. Através do acompanhamento de mídias e redes sociais,

identificamos uma série de sites que, por falhas de segurança, tiveram o código malicioso de ataque injetado nos seus servidores para que usuários mal intencionados realizem o ataque de forma

mais anônima.

Solução/Mitigação

Dado que parte dos ataques virão dos servidores (endereços fixos de internet), planejamos uma linha de mitigação que bloqueará as solicitações vindas desses servidores casos uma grande massa de

requisições vindas dessa origem seja iniciada.

Para que a defesa seja efetiva, nossos atacantes não podem ter ciência de seu modus operandi.

Caso ela seja identificada, eles poderão contorná-la simplesmente bloqueando o acesso as listas de servidores infectados, ou usando

diretamente botnets (máquinas zumbis).

Solução/Mitigação

As linhas de defesa da maioria das empresas para ataques do tipo DDoS são frágeis e pouco efetivas.

O mercado em geral está mal preparado para esse tipo de ataque.

Solução/Mitigação

As linhas de defesa da maioria das empresas para ataques do tipo DDoS são frágeis e pouco efetivas.

O mercado em geral está mal preparado para esse tipo de ataque.

Solução/Mitigação

Perda de dados – SSL

Perda de dados – SSL

Objetivo

Implementar segurança para evitar o máximo de vazamento de informações valiosas de sites, e-commerces, blogs e outros aplicativos web.

Motivação

Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa

natureza.

Riscos x Benefícios

● Riscos– Vazamento de informação sigilosa;

Riscos x Benefícios

● Riscos– Vazamento de informação sigilosa;

Riscos x Benefícios

● Benefícios– As informações trafegando com mais segurança no

site

Phishing – SSL EV

Phishing – SSL EV

Objetivo

Uma forma de garantir mais segurança e provar o ambiente é autêntico para sites, e-commerces, blogs e

outros aplicativos web.

Motivação

Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa

natureza.

Riscos x Benefícios

● Riscos– Vazamento de informação sigilosa;

– Falta de autenticidade do ambiente.

Riscos x Benefícios

● Riscos– Vazamento de informação sigilosa;

– Falta de autenticidade do ambiente.

http://adrenaline.uol.com.br/internet/noticias/16502/falso-groupon-oferece-iphone-5-a-r599.html

Riscos x Benefícios

● Benefícios– As informações trafegando com mais segurança no

site e também mostrando informações sobre a empresa

Principais tipos de malwareBlacklist – Anti malware

Tipos de malware

Objetivo

Uma forma de garantir mais segurança, através de identificação e remoção de malwares em sites, e-commerces, blogs e outros aplicativos web.

Motivação

Estruturar um plano de linha de defesa mínimo dadas as limitações das empresas para ataques dessa

natureza.

Riscos x Benefícios

● Riscos– Blacklist de malware no Google

– Infecção do site e replicação pela internet

– Roubo de informações financeiras

– Outros

Riscos x Benefícios

● Riscos– Blacklist de malware no Google

– Infecção do site e replicação pela internet

– Roubo de informações financeiras

– Outros

Riscos x Benefícios

● Benefícios– O site está livre de infecções

– Não será bloqueado pelo Google

Informações Gerais

ClassificaçãoVulnerabilidades x impacto

- Confidencialidade- Integridade - Disponibilidade

Quanto às características da Informação - CID

Escopo dos RiscosRecursos x Vetores de Ataque

Tecnologia Processos Pessoas Ambiente

Elementos do Negócio

ResultadosClassificação das vulnerabilidades

Alto Médio Baixo

Vulnerabilidades encontradas no ambiente

+10000 CLIENTES

4.000 blindagem + 2000 SSL + 2000 antimalware + outros produtos

Mauro Risonho de Paula AssumpçãoPentester/Analista em Vulnerabilidadesmauro.risonho@siteblindado.com.brwww.siteblindado.com.br

http://www.linkedin.com/profile/view?id=35593661&trk=nav_responsive_tab_profile

Top related

VM² // Visual Merchandising para Vender Mais
 Education
Como vender mais com CRM
 Technology
Como Vender Mais e Melhor-Claudio_Goldberg
 Documents
Visual Merchandising para Vender Mais!
 Marketing
5 passos para vender mais pela internet - saiadolugar.com.brsaiadolugar.com.br/arquivos/2013/04/Ebook-5-passos-para-vender-mais... · 6 5 passos para vender mais pela internet 6 Os
 Documents
Dicas para vender mais na internet
 Business
7 Dicas Para Vender Mais
 Business
Soluções Site Blindado
 Documents
Como atrair novos clientes e vender mais
 Marketing
Livro Seguros - Como Vender Mais
 Documents
Solucoes site blindado
 Documents
Livro Como Vender Mais e Melhor V6.0
 Documents
Como Vender Mais E Melhor
 Technology
Imóvel blindado - Abami
 Documents
DICAS PARA VENDER MAIS E MELHOR
 Documents
Como vender mais no hotmart em 2015
 Business
Alguns passos para vender mais pela web
 Education
PC Blindado Institucional
 Technology
Catálogo Como utilizar para vender ainda mais
 Documents
Dicas para Vender mais no Natal
 Documents

Copyright © 2022 FDOCUMENTOS