Os 10 erros mais comuns de segurança na operação de um ecommerce

Gustavo F. de SouzaDiretor

O Histórico do Ecommerce

1979: Criação do primeiro shopping Online;

1984: Eletronic Mall foi criado pela CompuServe;

1994: O primeiro banco online foi inaugurado;1995: Lançamento da Amazon.com;

2000: Bolha .com;

2011: O Ecommerce no Brasil movimentou mais de R$18 Bilhões de reais. Nos EUA passou de US$197 Bilhões.

Dados relacionados a Segurança no Ecommerce – SiteBlindado

51%

25%

16%

8%

Problemas na 1a. Certificação de Segurança

Falhas Segurança Aplicação

Sem SSL

Problemas de DNS

Infectados Malware

Problemas de Segurança mais comunsSoftware desatualizados;

Vulnerabilidade de Cross Script Injection;

Serviços Desnecessários disponíveis;

SQL Injection;

Página de administração disponível para qualquer pessoa acessar;

Página de login sem criptografia.

Entidades relacionadas ao ecommerce

Hacker

Webite B2C

SoftwareEcommerce

Usuários

Usuário: Comprador

Website B2C: Vendedor;

Hacker: entidade que tenta explorar fragilidades no sistema;

Software Ecommerce: Plataforma ou software desenvolvido para negócios online.

Vetores de ataques ao ecommerce

Hacker

Website B2C

SoftwareEcommerce

Usuários

Ataque PhishingMalware para estação

Interceptação dos dados da transação Website - Usuário

Ataque de AplicaçãoProblemas conhecidosDDoS

MalwaresProgramas Infectados

Conceito do que Proteger

Gestão de Riscos - Matriz

Os Erros mais comuns

1- Armazenar dados de clientes e cartão de crédito em claro.

Recomendação: Armazenar dados de clientes criptografados.Não armazenar dados de cartão de crédito de clientes (utilizar

gateways).

2- Não avaliar recorrentemente a segurança da aplicação.

Recomendação:Realizar análise automatizada / Testes de invasão de

vulnerabilidades sob a ótica do usuário.

Os Erros mais comuns

3- Não ter criptografia em páginas críticas e selo de credibilidade.

Recomendação: Implantar criptografia forte em páginas críticas.Implantar métodos de troca de chaves seguros. Ter selo de credibilidade em todas as URLs.

4- Não utilizar autenticação forte para usuários do sistema.

Recomendação:Garantir que o usuário é o autorizado para transação.Restringir e implantar autenticação de 2 fatores admins.

Os Erros mais comuns

5- Não estar protegido contra ataques de Negação de Serviços (Dos e DDos).

Recomendação: Implantar mecanismo de proteção de ataques de DDos no DNS e

Portal (Interface).

6- Não utilizar Web application Firewalls, Firewalls, Proxies e IPSs.

Recomendação:Implantar mecanismos externos de proteção de aplicação – WAF.Implantar mecanismos de proteção de perímetros.

Os Erros mais comuns

7- Usar softwares desatualizados.

Recomendação: Implantar mecanismo de verificação de versão de software.Atualizar periodicamente os softwares/plataformas.

8- Não ter um controle de disponibilidade / plano de continuidade / backup.

Recomendação:Implantar monitoração de performance e rotinas de contingência

dos serviços críticos.Preservar backups atualizados e testes regulares.

Os Erros mais comuns

9- Arquitetura Segregada e proteção de dados.

Recomendação: Implantar segregação de ambientes como: Proxy ou WAF de

entrada, banco de dados apenas para leitura de dados, banco de dados restrito para escrita.

Implantar software de controle de vírus, navegação e malware para colaboradores do portal (funcionários).

10 – Não analisar logs da aplicação, banco de dados e perímetros.

Recomendação:Analisar diariamente logs dos servidores Web, aplicação e banco.Analisar mecanismos de defesa no mínimo diariamente.

Obrigado!

o

Gustavo Souzagustavo@siteblindado.com.br

(11) 3165-4000