Estruturação de uma área de segurança da informação para que de forma centralizada adote o modelo de Security Officer. Apresentado como a empresa lida com as novas oportunidades de negócio e as ameaças e desafios para Segurança, de um ponto de vista multidisciplinar, como por exemplo: Legais – Privacidade vs Cyber Crime para atendimento as autoridades públicas, Marca – proteção da marca e desativação de phishing, Tecnológicas – análises de vulnerabilidade em um ambiente complexo e de alta disponibilidade, Gerenciamento-monitoração e segurança de rede, em especial aos desafios do IPv6 e atuação do CSIRTs na resposta a incidentes e ataques DDoS, Conscientização – trabalho junto aos recursos humanos visando para garantir que as boas práticas de segurança da informação estejam presentes na cultura da empresa. O objetivo é compartilhar as experiências práticas e desafios vivenciados na condução, estruturação e desenvolvimento de um Security Officer em uma das maiores empresa do segmento de Mídia Digital & Comunicação do mundo.
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
1. Riscos Tecnológicos e Monitoramento de Ameaças
Leandro Bennaton
21 e 22 de Agosto de 2014
São Paulo – Brasil
Hotel Pestana
@bennaton
2. Leandro Bennaton
Executivo de Segurança do Grupo Telefónica:
• Chief Security Officer responsável Global por
Segurança e Conformidade no TERRA
• Chief Security Ambassador na ELEVEN PATHS
• Security Mentor na WAYRA
• Professor Pós-graduação na FIAP
Pós graduado, com MBA em Gerenciamento de
Segurança da Informação e certificações
internacionais. Participa ativamente no Comitê
Gestor da Internet, CGI.
Premiado em 2013 como o melhor executivo de
Segurança pela organização Security Leaders.
@bennaton
3. Atuação
Equipe GLOBAL com sede em SP, responsável por Argentina, Brasil, Chile,
Colômbia, Estados Unidos, Espanha, México e Peru
4. Atividades
Requerimentos Legais
Controle de Acesso
Auditoria e Conformidade
Segurança Física
Gestão de Incidentes
Fraudes
Segurança Tecnológica
Politicas & Normas
Conscientização
Proteção da Marca
14. O que fazer?
For better security, think like a bad guy
15. Superfície de Ataque
Contas de E-mails (spammers)
E-commerce (cartões de créditos)
Base de Clientes (informações cadastrais)
Visibilidade e Abrangência (volume de acesso)
Hospedagem (fake pages)
16. Ambiente
268.000 endereços IPs válidos
(Internet)
101.000 endereços internos
(backnet e ambiente corporativo)
280 aplicações web (próprias e de
parceiros de conteúdo)
3 datacenters/ 10 escritórios
(Global)
18. Metodologia - Infra
GreyBox
Utilização de credenciais legitimas, visando a validação das
permissões de acesso e autorização estão em conformidade
com as necessidades de negócio.
FASES
Discovering Scanning Enumeration Gaining Access
• Destaque para as fases de Scanning e Enumeration;
• No geral, a fase de Gaining Access, é realizada em aplicações onde há a
necessidade de comprovar o impacto de vulnerabilidades críticas.
19. Metodologia - Aplicação
Testes realizados com base nos 66
controles apresentados pelo OWASP
TESTING GUIDE (v3.0):
Information Gathering
Configuration Management Testing
Business Logic Testing
Authentication Testing
Authorization testing
Session Management Testing
Data Validation Testing
Denial of Service Testing
Web Services Testing
Ajax Testing
21. Projeto Processo
Projeto em fases
(Externo, Interno e Aplicações)
Cronograma e Comunicação
Reporte executivos com
informações relevantes
Plataforma Web, em real time
25. Gestão de Riscos
Transformar o “tecniques” em
linguagem de negócio
Apoio do CEO, CTO, direção
Maior envolvimento de áreas de
Tecnologia
Métricas, Indicadores do PLR
Mapa de Riscos Tecnológicos
(atualização Trimestral/ reunião Semestral)
27. Gestão de Riscos
+11.000 vulnerabilidades tratadas
Melhor nível de proteção
Não há defacement desde mar/12
Percepção dos executivos da
importância de SI e Governança
Aumento da maturidade e cultura
da Segurança da Informação