As lendas em segurança da informação

AS LENDAS EM SEGURANÇA DA INFORMAÇÃOPorque algumas verdades podem não ser exatamente o que você espera

Eduardo V. C. Neves, [email protected]@evcneves

09/04/2023 As Lendas em Segurança da Informação 2

“Lenda é uma narrativa fantasiosa transmitida pela tradição oral através dos tempos.De caráter fantástico e/ou fictício, as lendas combinam fatos reais e históricos com fatos irreais que são meramente produto da imaginação aventuresca humana.”

Fonte: Wikipedia


As Lendas na Segurança da Informação

Existem narrativas fantasiosas em Segurança da Informação que devem ser questionadas e entendidas para garantir o uso destes recursos de forma adequada• Alguns tipos de negócio nunca serão um alvo• O firewall oferece proteção contra ameaças externas• Um penetration test identifica todas as falhas no perímetro• Segurança em software pode ser adiada para o próximo

release• As pessoas são o elo mais fraco


Alguns tipos de negócio nunca serão um alvo


Qualquer negócio pode ser um alvo

O crime virtual funciona como qualquer tipo de delito, a relação entre o risco envolvido e a recompensa esperada determina como um alvo será definido• O aumento da proteção em negócios tradicionalmente

atacados mudou a estratégia dos criminosos• 61% das fraudes no Brasil são realizadas por funcionários• As fraudes pela Internet somaram R$ 1,34 bilhões em 18

meses


O firewall oferece proteção contra ameaças externas


O firewall cumpre um papel específico

Apesar de ter agregado diversas funcionalidades ao longo dos anos, o firewall ainda é uma das muitas ferramentas de proteção necessárias em uma empresa• Um firewall permite o trafego web por ele ser menos

perigoso que as demais conexões• 75% das vulnerabilidades na Internet estão na camada de

aplicação• 84% dos vetores em ataques são remotos


Um penetration test identificatodas as falhas no perímetro


O penetration test é somente umdentre vários tipos de testes de segurança

Utilizado como teste máximo de eficiência das defesas do perímetro, o penetration test tem uma função que muitas vezes não é entendida em sua plenitude• O resultado depende do cenário e escopo.• O objetivo pode ser estabelecido de forma inadequada.• As necessidades de correção propostas muitas vezes não

são priorizadas. Ou mesmo realizadas.• Um penetration test mostra falhas no perímetro em um

momento temporal específico.


Segurança em software pode ser adiada para o próximo release


Falhas em software são fáceis de serem exploradas

A enorme quantidade de vulnerabilidades em software criou um cenário onde a exploração pode ser automatizada, aumentando exponencialmente a superfície de ataque• 66% do software comercial tem um nível inaceitável de

segurança• 70% das empresas não investem o suficiente para proteger o

software que utilizam• 34% das vulnerabilidades classificadas como de alto impacto não

são corrigidas• Adiar a segurança em software pode custar muito mais do que o

investimento inicial


As pessoas são o elo mais fraco


Os processos são o elo mais fraco

As empresas ainda tratam a Segurança da Informação como um ponto secundário em suas estratégias• 33% dos ataques ocorridos em 2010 exploraram ocorrências

de Cross Site Scripting e SQL Injection• 75% das empresas acreditam que serão vitimadas por

vazamentos de dados nos próximos 12 meses• 92% dos ataques ocorridos exploram vulnerabilidades

simples


Avalie o cenário de formaholística e pense um pouco


O comportamento corporativo em relação a segurança ainda é inadequado


Como não ser vítima das crendices em Segurança da Informação?


Tudo é um questão de gerenciamento dos riscos

A Segurança da Informação deve ser entendida como uma das ferramentas que as empresas tem para manter os riscos aos negócios em níveis aceitáveis• Entender os problemas antes de buscar soluções• Aceitar que o ótimo pode ser inimigo do bom, mas nem

sempre• Abordar a proteção de forma ampla, observando

vulnerabilidades que vão muito além da tecnologia


Referências

As referências apresentadas foram acessadas pela Internet entre os dias 15 e 19 de novembro de 2011• Ambulance service disrupted by computer virus

infection: http://nakedsecurity.sophos.com/2011/11/14/ambulance-service-disrupted-by-computer-virus-infection

• Feds investigating whether Illinois "pump failure" was cyber attack: http://security.blogs.cnn.com/2011/11/18/feds-investigating-whether-illinois-pump-failure-was-cyber-attack/

• Hacker targets S. Houston sewer system, mayor says no harm done: http://www.chron.com/news/houston-texas/article/Hacker-targets-S-Houston-sewer-system-mayor-2277795.php

• Pequena empresa vira alvo preferido de hackers nos EUA: http://blogs.estadao.com.br/radar-economico/2011/07/21/pequena-empresa-vira-alvo-preferido-de-hackers-nos-eua/

• 2011 Data Breach Investigations Report, Verizon: http://securityblog.verizonbusiness.com/2011/04/19/2011-data-breach-investigations-report-released/

• State of Software Security Report: The Intractable Problem of Insecure Software, Veracode

• Client-side threats: anatomy of Reverse Trojan attacks, Frédéric Bourla

• IOUG Data Security 2009: Budget Pressures Lead to Increase Risks, Independent Oracle Users Group


Uso de Imagens

Todas as imagens utilizadas nesta apresentação foram licenciadas pelos seus autores em Creative Commons:• Slide 1: http://www.flickr.com/photos/franciscoferreira/3779942366 • Slide 2:

http://www.jangadabrasil.com.br/revista/galeria/ca75002f.asp • Slide 4: http://www.flickr.com/photos/anonymous9000/4280254856

• Slide 7: http://www.flickr.com/photos/chrishuggins/4736995818 • Slide 10: http://www.flickr.com/photos/dalegillard/2385320696 • Slide 12: http://www.flickr.com/photos/hvc/2682679414 • Slide 15: http://www.flickr.com/photos/sundazed/2715354529 • Slide 18: http://www.flickr.com/photos/aztlek• Slide 19:

http://www.flickr.com/photos/16339684@N00/2784622731

As lendas em segurança da informação

Technology

Transcript of As lendas em segurança da informação