cyber security sp 2017
TRANSCRIPT
Cyber Security BrazilEnergy & Utilities
Novas Ameaças, Novos Recursos e Melhores Práticas
Método de Identificação de Ameaças e Geração de Alertas:
Rodrigo Jorge - Alesat Combustíveis S/A
Cyber Security BrazilEnergy & Utilities
Cyber Security BrazilEnergy & Utilities
Ransonware•Deficiência na Infraestrutura de TI
•Ausência de Controles e Testes
•Sem Backup
Cyber Security BrazilEnergy & Utilities
Redes Indústriais
Cyber Security BrazilEnergy & Utilities
Ataques Direcionados (Targeted Attacks)•Alvo escolhido…
• Levantamento de Informações
•Pentest..•Qual a visibilidade interna do Pentest?
Cyber Security BrazilEnergy & Utilities
Targeted Attacks
Fonte: TrendMicro
Cyber Security BrazilEnergy & UtilitiesFonte: Relatório Global Symantec
Cyber Security BrazilEnergy & Utilities
Detecção e ProteçãoPromete:
• Descobrir ataques em tempo real
Como?
• Sensores Multi Camadas / Plataformas
• Sandbox Avançada
Cyber Security BrazilEnergy & Utilities
Detecção e Proteção
Cyber Security BrazilEnergy & Utilities
Contratação de Aplicações
Definições
• Requisitos
Seleção
• Prova de Conceito
Contratação
• Implantação
Cyber Security BrazilEnergy & Utilities
Contratação de Aplicações Web
Definições
• Requisitos
Seleção
• Prova de Conceito
Contratação
• Implantação
Cyber Security BrazilEnergy & Utilities
Requisitos• Comum…
• Ausência de Requisitos de Segurança
Cyber Security BrazilEnergy & Utilities
Contratação de Aplicações
Definições
• Requisitos
Seleção
• Prova de Conceito
Contratação
• Implantação
Cyber Security BrazilEnergy & Utilities
Prova de Conceito• Ausência de Testes de Segurança
• Análise de Vulnerabilidades
• Pentest
• Análise de Código
Cyber Security BrazilEnergy & Utilities
Contratação de Aplicações Web
Definições
• Requisitos
Seleção
• Prova de Conceito
Contratação
• Implantação
Cyber Security BrazilEnergy & Utilities
Implantação• Hardening da Infraestrutura
• Setup do Backup e Validação
• Certificação das Soluções de Segurança (se implantadas)
Cyber Security BrazilEnergy & Utilities
Está faltando algo?
Definições
• Requisitos
Seleção
• Prova de Conceito
Contratação
• Implantação
Cyber Security BrazilEnergy & Utilities
Manutenção
Definições
• Requisitos
Seleção
• Prova de Conceito
Contratação
• Implantação
Manutenção
• Continuidade
Cyber Security BrazilEnergy & Utilities
Processo e não Projeto…
• Gest ão de Mudanças• Revalidar requisitos de segurança em TODAS as mudanças antes de autorizadas• Realizar novos testes de segurança• Liberar nova versão
• Análise de Logs
• Testes periódicos
• Revisão de Credenciais
Cyber Security BrazilEnergy & Utilities
Referências e Recomendações• ABNT NBR ISO/IEC 27002:2013
• Desenvolvimento e Manutenção de Sistemas• Controle de Acesso
• OWASP Testing Guides
• Relatórios de Segurança da Indústria (Fabricantes e Consultoria)