A Miopia do CSO por Jordan Bonagura

Jordan M. Bonagura

[email protected]

Twitter- jbonagura

SegInfo - 2011, Rio de Janeiro

Quem sou eu

Pesquisador Independente em Segurança

Fundador do Projeto Stay Safe

Membro do Projeto GNSS – INPE

Membro Diretor do Cloud Security Alliance – Brasil

Membro da Comissão de Crimes de Alta Tecnologia da OAB

Docente na área de Segurança da Informação

Organizador da Vale Security Conference

Agenda

Valor da Informação;

Problemática;

Novo Modelo OSI;

Exemplos;

Impactos e

Necessidades

Valor da Informação Quanto vale as informações da sua empresa?

Valor da Informação E se você não mais tiver essas informações...

Uma fatia do mercado?

Se estas informações estiverem nas mãos de seus concorrentes.

Valor da Informação

É a sua fatia do mercado...

Valor da Informação Então porque não cuidar?

“Mas, nós cuidamos...”

* Os softwares e equipamentos aqui demonstrados são meramente ilustrativos...

Mecanismos Físicos

Mecanismos Lógicos

Serviços

Fechaduras IDS / IPS Políticas - Normas

Kits LockPick Hackers/Crackers Usuários

O MSN não está estava logando.... #novidade

“Temos até um CSO...”

Então, resolvido ? Infelizmente não....

O Processo construtivo pelo qual

as empresas passam no momento

de criar e estruturar suas

políticas.

Problemática

Alguma semelhança entre as

imagens anteriores?

Problemática

Processo Construtivo

Processo Construtivo Portanto, processo construtivo #FAIL

Vamos analisar...

NOVIDADE: Os terceiros (Crackers) / Concorrentes não fazem parte

do SEU plano!!!

Visão “inbox” X “outbox”

Pseudo Segurança

O nosso matador!!!

Problemática

Processo Construtivo

Visão “Inbox”

Pseudo Segurança

Novo Modelo OSI ?

Falha Humana

Aplicação

Apresentação

Sessão

Transporte

Rede

Enlace

Física

Por razões óbvias as URL’s e nomes foram omitidos,

preservando assim a imagem das instituições.

Casos Práticos

Exemplos Restaurantes Corporativos

Instituição Financeira

Nada como começar com um:

“HELLO WORLD!”


Saúde

Exemplos

Saúde



Google site:com.br filetype:txt

banco


Restaurantes Empresariais

Diretamente na Internet... Vai dar Samba!

#piada_nerd

Exemplos


Exemplos


Criptografia? Não precisa....

Exemplos

Construtora

Editora

Exemplos Universidade

Exemplos Jornalismo - Comunicação

Exemplos Jornalismo - Comunicação

W.A.F.

Exemplos Agronegócio

Mais fácil...

Exemplos

Agronegócio

Escolher SQL ou sh?

Exemplos

Agronegócio

Ok, sh

Exemplos Franquias

Criptografia?

Exemplos Franquias

E se ...

Exemplos Franquias

...

Exemplos

Franquias

Franquias

Exemplos

Exemplos

Open Proxy? Só??

Norma da Empresa:

Proibido entrar com notebook

“Celular” pode normalmente.

Exemplos

Exemplos

Impactos

Conhecimentos Técnicos

Riscos Corporativos

Falhas acessíveis para qualquer usuário pois exige pequeno grau de

conhecimento técnico;

Escalação de Privilégio;

Possibilidades de alterações de conteúdo (denigrir imagem);

Alterações de informações, podendo gerar prejuízos financeiros.

Calma! Nem tudo está perdido...

É mais fácil encontrar vulnerabilidades quando não se está no dia a dia da empresa.

Pessoas que não vivenciem.

Necessidades

Melhor integração Hackers com CSOs;

Visão outbox no desenvolvimento de políticas de segurança;

Canais de Report mais específicos e claros.

Pentest!!!

E as SUAS informações? Estão Seguras?

Vale Security Conference 03 e 04 de Setembro

São José dos Campos - SP

www.valesecconf.com.br

Jordan M. Bonagura

[email protected] www.staysafe.com.br

Twitter - jbonagura

A Miopia do CSO por Jordan Bonagura

Documents

Transcript of A Miopia do CSO por Jordan Bonagura