estabelecendo um modelo efetivo para a segurança de software
TRANSCRIPT
![Page 1: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/1.jpg)
Estabelecendo um modelo efetivo para a Segurança de SoftwareEduardo Vianna de Camargo Neves, CISSP, CISM Regional Product Marketing Manager, LAC Region
![Page 2: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/2.jpg)
A profissionalizaçãodo Crime Digital
![Page 3: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/3.jpg)
2007: Operation Get Rich or Die Tryin’
Ao longo de 2007, uma fraude coordenada por um grupo de hackers de alto nível, trabalhou na captura e venda de dados privados armazenados nos sistemas de grandes empresas nos EUA.• Captura estimada de 45 milhões de números
de cartões de crédito e débito• Análise posterior identificou a captura de 180
milhões de números de cartões de crédito e débito, e dados pessoais dos clientes
Pesquisa
Infiltração
Descoberta
Captura
Exfiltração
Venda
Acesso por redes wireless
1
Autenticação válida
2
Acesso a dados históricos
3
Instalação de malware
4
Download de dados ativos
5
Venda no mercado negro
6
![Page 4: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/4.jpg)
2016: Ataques digitais contra o Banco Central de Bangladesh e Standard Bank
Em abril, uma contaminação por malware nos sistemas do Banco Central de Bangladesh resultou na transferência de U$ 81 milhões para contas de terceiros através da rede SWIFT1.
Em maio, um ataque coordenado permitiu o saque simultâneo de U$ 12,7 milhões em contas autênticas por mais de 1400 ATMs distribuídos pelo Japão ao longo de duas horas2.
1
23
4
(1) Corkery, Michael. Hackers’ $81 Million Sneak Attack on World Banking.The New York Times. 30/04/16. (2) Lumb, David. ATM Hacking Spree Nets Thieves $12.7 Million in Two Hours. Engadget. 23/05/16.
1
2
![Page 5: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/5.jpg)
O Crime Digital movimenta sua própria economia, com impactos estimados em até U$ 445 milhões ao ano1
Como em qualquer negócio, o Crime Digital procura oportunidades que resultem na melhor relação custo-benefício com riscos controlados e aceitáveis:
• Especialização por segmento, geografia e idioma.
• Funções específicas nas organizações criminosas, com especialistas dedicados por disciplina.
• Variação dos valores de compra e venda em perfeito alinhamento com a relação de oferta e procura.
(1) Storm, Darlene. $445 Billion: Bloated BS or the True Cost of Cybercrime? Computerworld. 09/06/14.
![Page 6: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/6.jpg)
Nossos negócios se sobrepõe de tantas maneiras, que podemos enxergar os criminosos como concorrentes
Conhecimento técnico avançado com especialização em produtos e serviços
Conhecimento técnico variado
Conhecimento técnico variado
Pouco ou nenhum conhecimento técnico
Gestores
Especialistas
Intermediários e Vendedores
Script-kiddies e Mulas
Membros
• Pesquisadores de segurança• Desenvolvedores de ferramentas• Desenvolvedores de malware• Coleta de credenciais e informações• Vulnerabilidades Zero Day• Exploração de novas tecnologias
• Operadores de ferramentas• Mulas para suporte ao crime• Compradores• Observadores
• Provedores de serviços especializados• Serviços de avalista• Verificação de antecedentes• Serviços de terceiro depositário• Recrutamento• Lavagem de dinheiro
![Page 7: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/7.jpg)
Por que nossas defesas digitais não funcionam como esperado?
![Page 8: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/8.jpg)
Nossas fragilidades são conhecidas e estão sendo muito bem exploradas1
(1) HPE Cyber Risk Report 2016
80%Software Open Source com
vulnerabilidades identificadas
+153%Crescimento anual deVulnerabilidades em
Android OS
+14%Aumento no uso de
componentes Open Source
75%Aplicações móveis
vulneráveis
8/10Vulnerabilidades exploradas
com 3 anos ou mais
100KTrojan Horses
Bancários detectados
![Page 9: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/9.jpg)
Nossas defesas não são utilizadas de maneira efetiva1, 2
(1)HPE Cyber Risk Report 2016(2)Tecnologias e práticas de segurança mais eficazes, UBM, HPE Security, Maio de 2016(3)Gartner Maverick Research: Stop Protecting Your Apps; It’s Time for Apps to Protect Themselves (2014)
Patch Management• 60% contam com processos
estabelecidos.
• 20% consideram que isso dificulta o trabalho dos adversários.
• 44% dos incidentes aproveitam falhas de segurança conhecidas.
• 29% dos exploits descobertos usam um vetor de infecção do Stuxnet, que já foi corrigido duas vezes.
Segurança em Software• 84% dos incidentes de segurança
exploram vulnerabilidades em software como porta de entrada.3
• 100% das dez vulnerabilidades mais comuns em aplicações web podem ser exploradas através de ferramentas automatizadas
• 35% do software testado apresentava, ao menos, uma vulnerabilidade crítica.
Investimentos em Segurança• 23-1 é a diferença média entre
os investimentos em segurança perimetral e de software.3
• Os investimentos em segurança de borda e rede de dados superam em até cinco vezes os direcionados para segurança de software.
![Page 10: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/10.jpg)
Estabelecendo um modeloefetivo para Segurança de Software
![Page 11: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/11.jpg)
A construção, entrega e consumo do software são processos cada vez mais complexos e distribuídos
2010 2015 2020
4 releases por aplicação ao ano
36 releases por aplicação ao ano
120 releases por aplicação ao ano
![Page 12: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/12.jpg)
Estabelecer um modelo de segurança neste cenário é um desafio que cresce diariamente
CloudNovos
ReleasesRequisições do
Negócio
Software em Produção
Segurança de Software
Sistemas Legados
Ambiente Interno
Novas aquisições
Sistemas Fantasmas
Web
Móvel
Web
API
![Page 13: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/13.jpg)
O modelo reativo é ineficiente e tem um custo inaceitável
Software inseguro é colocado em
produção
A falha de segurança é explorada
As correções são realizadas com um
custo adicional
Software inseguro é desenvolvido
13
7
15
30
0
5
10
15
20
25
30
35
Requerimentos Design Desenvolvimento Testes Produção
Custo de Correção do Software por Fase do SDLC1
(1)The Economic Impacts of Inadequate Infrastructure for Software Testing. NIST.
![Page 14: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/14.jpg)
Runtime Application Self-ProtectionMonitoramento e proteção do software em ambiente de produção
Software Security AssuranceInserir testes e correções da segurança de software como parte comum do SDLC
Um modelo efetivo para segurança de software deve ser sistemático, proativo e integrado ao SDLC
Software Security AssessmentTestes de segurança para identificar vulnerabilidades em software e prover informações para a correção
Métricas de DesempenhoVulnerabilidades por aplicação: 100s para 10sTempo médio para correção de uma vulnerabilidade: 1-2 semanas para 1-2 horasPercentual de vulnerabilidades repetidas: 80% para 0%Esforço para compliance e testes de invasão: Redução média no custo de 50%Atrasos na entrega dos produtos finais: 4 incidentes anuais para nenhum
![Page 15: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/15.jpg)
Implementando o Modelo
Uma abordagem bem sucedida para a Segurança de Software é composta por quatro elementos complementares que interagem continuamente
Design Build Test Deploy
Modelo Tradicional• A estrutura de segurança é
criada após a conclusão do processo
• O código-fonte é desenvolvido com foco na usabilidade e desempenho
• Testes de invasão são empregados como análises de segurança de software
• Aplicação vulnerável é movida para o Ambiente de Produção
Modelo Seguro• Adequação racional da
segurança no ciclo de desenvolvimento de software
• Inclusão das práticas de segurança no processo de desenvolvimento
• Testes de segurança amplos e adaptáveis para diversas plataformas
• Proteção adequada sem impactar o modelo adotado
![Page 16: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/16.jpg)
Conclusões
O sucesso de um modelo para segurança de software está na composição de uma solução adaptável a qualquer ambiente que proveja testes de segurança amplos e medidas corretivas efetivas, garantindo que os riscos são gerenciados de forma adequada e a relação custo/benefício mantida dentro das expectativas das áreas envolvidas. Software Security Assessment• Identificação efetiva de vulnerabilidades com ampla cobertura
• Correlacionamento das causas
• Geração e compartilhamento de conhecimentoSoftware Security Assurance• Integração com o modelo existente e instrumentos utilizados
• Correção on the go com atividades por competência
• Redução de custosRuntime Application Self-Protection• Proteção para aplicações vulneráveis
• Continuidade do processo de homologação
![Page 17: Estabelecendo um modelo efetivo para a Segurança de Software](https://reader031.vdocuments.net/reader031/viewer/2022021921/58f108bc1a28ab8f168b45eb/html5/thumbnails/17.jpg)