trustwave - segurança 360
DESCRIPTION
Apresentação realizada pela Trustwave no Ciab 2011 com foco no setor financeiro para Segurança 360TRANSCRIPT
© 2010
Como evitar notas Rosas no seu Caixa
Celso Hummel
Diretor de Canais
Junho de 2011
© 2010
Fundada em 1995
Mais de 600 funcionários em 23 paises, nos seis continentes
Sede mundial em Chicago; Escritórios Regionais em Londres, São Paulo - Brasil e Sydney
Tecnologia patenteada e vencedora de vários prêmios internacionais: NAC, DLP, Criptografia, UTM, IPS, IDS, Web Application Firewall (WAF), SIEM, Scanning de Vulnerabilidades, …
Mais de Um Milhão de clientes em todo o mundo
A Trustwave é uma compania global com uma base de clientes mundial e líder da indústria de meios de pagamentos
Forrester 9 out of 10 rating NAC solution
2011SC Magazine Europe
Best DLP Solution
SIEMBest Enterprise Security
Solution
5 Magic Quadrants YTD, 2 more in
process
DLP+ENC2010 Hot Security Product
© 2010Referência:https://www.trustwave.com/GSR
10 Maiores Riscos de Aplicações Web
1 Injeção de SQL
2 Falhas de Lógica
3 Bypass de Autorização
4 Cross-site Scripts (XSS)
5 Bypass de Autenticação
6 Software de 3º Vulnerável
7 Falhas de Sessão
8 Cross-site Request Forgery (CSRF)
9 Tratamento inapropriado de erros
10 Divulgação de Código Fonte
O Relatório de Segurança Global de 2011 da Trustwave, analisa dados coletados a partir de mais de 2.300 testes de penetração e mais de 200 incidentes de segurança e investigações de comprometimento conduzidas em 2010.
Vazamento de Informações !!!
© 2010
Evolução dos Ataques
• 1980s: Ataques Físicos
© 2010
Evolução dos Ataques
• 2000s: Aplicações
© 2010
Evolução dos Ataques
• 2010s: Client-Side
© 2010
Evolução dos Vetores de Ataque• 2010s: Tablets e SmartPhones
© 2010
Evolução dos Ataques
• 2010s: Redes Sociais, Games, …
© 2010
Segurança de Aplicações em 360º
PenTest Manager
WebDefend
© 2010
O Portal PenTest Manager
O Portal PenTest Manager• Gerenciamento de Projetos Online
• Evidências detalhadas dos problemas encontrados, com tracking das relativas remediações
• On-demand retesting
• Relatórios Customizados e capacidade de exportar dados
• Exportar dados para Virtual Patching
© 2010
O WebDefend: profundidade em Camada 7
Inspeção Bi-Direcional do Payload de Dados
Cabeçalho
1=1/../../Session ID =UX8serwderakv
Script%23%.asp
Hacker.exe123
Payload
Requisição
Visibilidade dos FW Tradicionais
Resposta 023-11-4342
VISA 01234-2342-7654$1,500,000.00
Patient Data404
PayloadCabeçalho
© 2010
Crescendo para Grandes Ambientes
PRIMARY SENSORPRIMARY SENSOR
ENTERPRISE MANAGER
BACK-UP SENSOR
H/A
BACK-UP SENSOR
H/AConsolidate
d Events
Datacenter A Datacenter B
• Alta Disponibilidade (H/A)• Eventos Consolidados• Visibilidade Enterprise• Administração por perfis
ADMINISTRATORS
H/A
BACKUP MANAGER
© 2010
O WAF WebDefend da TrustwaveFuncionalidades Benefícios
• Segurança de nível de Aplicação e conformidades
• Proteção em tempo real contra ataques “dia zero”
• Segurança mais robusta e menos falso positivos
• Visibilidade da saúde da aplicação
• Segurança de código em tempo real
• Rápida implementação: em-linha e fora-de-linha, relatórios, etc.
• Firewall de Aplicações Web
• Proteção Bi-direcional
• Aprendizado Automático / Perfis
• Defeitos da Aplicação
• Virtual Patching
• Fácil Gerenciamento
© 2010
Segurança de Caixa EletrônicoDesenvolvida pelo SpiderLabs da Trustwave, para previnir ataques específicos com alvo nos Caixas Eletrônicos (ATM), esta revisão completa de arquitura de segurança de ATMs, identifica vulnerabilidades e estabelece as recomendações para remediação.
O Teste inclui:
– Revisão de Arquitetura da Rede– Testes de Penetração internos– Testes específicos do ATM– Análise de Produção do ATM– Recomendações Táticas e Estatégicas
Como evitar notas Rosas no seu caixa ??
© 2010
Os Elementos de Compliance e SegurançaNossos Elementos são os blocos de construção para suas necessidades de segurança e compliance. A Trustwave pode ajudar a encontrar a Fórmula Correta para o seu Negócio.
Nossas soluções podem ser implementadas individualmente ou como um pacote para ajudar as empresas a atingirem seus objetivos de negócio.
© 2010
Muito Obrigado!!