Vale Security Conference - 2011 Sábado - 5ª Palestra Palestrante : Luiz Eduardo Palestra : Global Security Report - Trustwave Twitter (Luiz Eduardo) : https://twitter.com/#!/effffn Vídeo da Palestra (You Tube) : http://www.youtube.com/watch?v=g89XPBdk-Ik Slide (SlideShare) : http://www.slideshare.net/valesecconf/le-9665649

1. Relatório de Segurança Global 2011
Luiz Eduardo Dos Santos
Diretor, SpiderLabs LAC
© 2011

2. Agenda
 Introdução
 Investigações de Respostas a Incidentes
 Estatísticas de Malware
 Evolução dos Vetores de Ataque
 Iniciativas Estratégicas
 Conclusões
 Perguntas?
© 2011

3. Introduction
Sobre o Relatório de Segurança Global da
Trustwave:
 Publicado Anualmente
 Com base nas descobertas e evidências
pelos trabalhos do SpiderLabs da
Trustwave em 2010
 Ferramenta para educar e ajudar no
planejamento de estratégicas das
iniciativas de segurança nas empresas
 Mais de 200 investigações e resultados
de 2.000 testes de penetração
contribuiram para a análise e conclusões
– Dados coletados dos 20 países de maior
PIB
 Baixe o relatório em:
https://www.trustwave.com/GSR
© 2011

4. Investigações de Respostas a Incidentes
 Países Representados
Australia, Brasil, Canadá, China, República Dominicana, Alemanha, Gana,
Israel, Japão, Malásia, México, Nepal, Filipinas, Reino Unido, Estados Unitos
© 2011

5. Investigações de Respostas a Incidentes
 Setores Representados
− 75% dos casos – Alimentos
e Bebidas e Varejo
− Menos foco em Hotelaria
comparado ao ano
passado
− Maior grupo aumentou
ainda mais a sua
representação
© 2011

6. Investigações de Respostas a Incidentes
 Dados em Risco
− Dados de cartões de
pagamos são simples de
negociar
− Dados Sensíveis
 Atividades de
Aquisição e Fusão
 Anotações da
Diretoria
 Inteligência
 Dados Proprietários
 Segredos de
Negócios
© 2011

7. Investigações de Respostas a Incidentes
 Alvos
− Sistemas de PDV
continuam no caminho de
menos resistência
− A maioria confiou na
integração terceirizada
− Paísesque usam EMV
continuam sendo alvos
 Focado em
ambientes com
presença de cartões
 PDV de leitores
magnéticos ainda
em uso
© 2011

8. Investigações de Respostas a Incidentes
 Métodos de Detecção vs. Tempo
− Conforme esperado, aqueles com equpes internas, reagem mais rápido
− Falta de equipes internas, 5x mais tempo de exposição
− Investigações mostram:
 Treinamento em segurança baseado em atribuições = melhor capacidade de
detecção
 Programas e Monitoramento de Segurança da Informação amadurecidos ajudam
© 2011

9. Investigações de Respostas a Incidentes
 Responsabilidade de Administração
− Acordo de implementação e
manutenção dos sistemas?
− Construídos com base em
requerimentos de segurança
“não-funcionais”
© 2011

10. Investigações de Respostas a Incidentes
 Janela de Exposícão de Dados
− Realidade reflete intuição
− Dados armazenados aumentam o impacto
do ataque
− Média de transações “comprometidas”
− Dados em Trânsito – 3 meses
− Dados Armazenados – 18 meses
© 2011

11. Investigações de Respostas a Incidentes
 Origem dos Ataques
© 2011

12. Investigações de Respostas a Incidentes
 Regulamentação PCI
− 97% políticas de
firewalls
insuficientes
− 83% senhas padrão/
fáceis de advinhar
− 48% não está
utilizando
aplicações PA-DSS
© 2011

13. Trilogia das Brechas de Segurança – Infiltrando,
Agregando, Extraindo
 Infiltrando
© 2011

14. Trilogia das Brechas de Segurança
Infiltrando, Agregando, Extraindo
 Agregando
− Deixando de lado a técnica de
“smash & grab” para dados
armazenados
− Porque?
1. Menos dados inseguros
sendo armazenados
 PCI DSS,
PA-DSS, OWASP
2. Dados vencidos de
cartões
 Mais difícil de
buscar
 Dados novos
 Compensa para os
criminosos
− Correlação de ataques de
dados em trânsito e malwares © 2011

15. Trilogia das Brechas de Segurança
Infiltrando, Agregando, Extraindo
 Extraindo
© 2011

16. Estatísticas de Malware
 Pontos de Interesse: Classificação
− Desenvolvimentos de novos
malwares
 Malware específico para
PDVs
 Requer conhecimento
específico dos PDVs
− Caso de destaque de Malware
em PDVs
 Algorítimo e chave de
criptografia
identidicados
 Dados “abertos” e
extraídos
© 2011

17. Estatísticas de Malware
 Pontos de Interesse: Capacidade Anti-Forense
− Temas Principais
 Mais características anti-
forense
 Primariamente para evitar
DLP/ IDS
 Dados guardados em
memória
 Técnicas de Ofuscação
− Capacidade de análise de
Maware é uma necessidade para
os investigadores
© 2011

18. Evolução dos Vetores de Ataque
Vetores de Ataque x Tempo
9
8
7 Social Networking
6 Mobile
Client-Side
5
Wireless
4
Application
3 E-mail
2 Network
1 Physical
0
1950 1960 1970 1980 1990 2000 2010
© 2011

19. Evolução dos Vetores de Ataque
 1980s: Ataques Físicos
© 2011

20. Evolução dos Vetores de Ataque
 2010: Ataques Físicos
1. Dados Sensíveis “visíveis”
2. Sistemas/ Computadores não bloqueados
3. Infra de Cabeamento em áreas públicas
© 2011

21. Evolução dos Vetores de Ataque
 1990s: Redes
© 2011

22. Evolução dos Vetores de Ataque
 2010: Redes
1. Senhas em branco ou “fracas”
2. Acesso à Servidores de Bases de Dados
3. ARP Cache Poisoning
© 2011

23. Evolução dos Vetores de Ataque
 2000s: E-mail
© 2011

24. Evolução dos Vetores de Ataque
 2010: E-mail
© 2011

25. Evolução dos Vetores de Ataque
 2000s: Aplicações
© 2011

26. Evolução dos Vetores de Ataque
 2010: Aplicações
1. Injeção de SQL
2. Falhas Lógicas
3. Bypass de Autorização
© 2011

27. Evolução dos Vetores de Ataque
 2000s: Wireless
© 2011

28. Evolução dos Vetores de Ataque
 2010: Wireless
1. Rede sem-fio e cabeada simultâneas
2. Computadores configurados para associar com redes
“conhecidas”
3. Chaves WPA/WPA2 fáceis de advinhar
© 2011

29. Evolução dos Vetores de Ataque
 2010s: Client-Side
© 2011

30. Evolução dos Vetores de Ataque
 2010: Client Side (Malware)
1. Ataques à Alvos
2. Infecção “drive-by”
3. Instalação Manual
© 2011

31. Evolução dos Vetores de Ataque
 2010s: Dispositivos Móveis
© 2011

32. Evolução dos Vetores de Ataque
 2010: Dispositivos Móveis
1. Ataques de Phishing em dispositivos móveis
2. Ransomware em dispositivos móveis
3. Firmware e Jailbreaks falsos
© 2011

33. Evolução dos Vetores de Ataque
 2010s: Redes Sociais
© 2011

34. Evolução dos Vetores de Ataque
 2010: Social Networking
1. Propagação de Malware
2. Exposição de Dados Pessoais
3. Data Mining
© 2011

35. Iniciativas Estratégicas
1. Avaliar, Reduzier e Monitorar a superfície de ataque do lado do
cliente
2. Adotar Redes Sociais, mas, educar os funcionários
3. Desenvolver um programa de segurança móvel
4. Autenticação de Múltiplos Fatores
5. Erradicar o tráfego de texto não-criptografado
6. Usar Patch Virtual de Aplicações Web até consertar os problemas
7. Capacitar equipes de segurança a incidentes
8. Reforçar a segurança com relacionamento com terceiros
9. Implementar Controle de Acesso à Redes
10. Analisar todos os eventos
11. Implementar um programa de conscientização de Segurança em
toda a organização
© 2011

36. Conclusões
Em 2010, o panorama da segurança mudou:
 Alvos mudaram para endpoints e usuários
 Indivíduos se tornaram fácilmente identificados aos atacantes
 Ferramentas maliciosas se tornaram mais sofisticadas
 Novos ventores de ataque foram introduzidos com a inovação da
tecnologia; vetores antigos nunca morrem
Em 2011, organizações que são conscientes e dedicadas à segurança
estão:
 Resistentes à ataques
 Reduzir o risco de comprometimento de dados
 Proteger dados sensíveis e sua manipulação
© 2011

37. Perguntas?
© 2011

38. Obrigado!
Luiz Eduardo Dos Santos
le (arroba) trustwave.com
@effffn
https://www.trustwave.com/GSR
https://www.trustwave.com/spiderlabs
Twitter: @SpiderLabs / @Trustwave
© 2011