Upload
site-blindado-sa
View
270
Download
1
Embed Size (px)
DESCRIPTION
Webnar realizado pelo Diretor de Operações da Site Blindado Gustavo Souza
Citation preview
Os 10 erros mais comuns de segurança na operação de um ecommerce
Gustavo F. de SouzaDiretor
O Histórico do Ecommerce
1979: Criação do primeiro shopping Online;
1984: Eletronic Mall foi criado pela CompuServe;
1994: O primeiro banco online foi inaugurado;1995: Lançamento da Amazon.com;
2000: Bolha .com;
2011: O Ecommerce no Brasil movimentou mais de R$18 Bilhões de reais. Nos EUA passou de US$197 Bilhões.
Dados relacionados a Segurança no Ecommerce – SiteBlindado
51%
25%
16%
8%
Problemas na 1a. Certificação de Segurança
Falhas Segurança Aplicação
Sem SSL
Problemas de DNS
Infectados Malware
Problemas de Segurança mais comunsSoftware desatualizados;
Vulnerabilidade de Cross Script Injection;
Serviços Desnecessários disponíveis;
SQL Injection;
Página de administração disponível para qualquer pessoa acessar;
Página de login sem criptografia.
Entidades relacionadas ao ecommerce
Hacker
Webite B2C
SoftwareEcommerce
Usuários
Usuário: Comprador
Website B2C: Vendedor;
Hacker: entidade que tenta explorar fragilidades no sistema;
Software Ecommerce: Plataforma ou software desenvolvido para negócios online.
Vetores de ataques ao ecommerce
Hacker
Website B2C
SoftwareEcommerce
Usuários
Ataque PhishingMalware para estação
Interceptação dos dados da transação Website - Usuário
Ataque de AplicaçãoProblemas conhecidosDDoS
MalwaresProgramas Infectados
Conceito do que Proteger
Gestão de Riscos - Matriz
Os Erros mais comuns
1- Armazenar dados de clientes e cartão de crédito em claro.
Recomendação: Armazenar dados de clientes criptografados.Não armazenar dados de cartão de crédito de clientes (utilizar
gateways).
2- Não avaliar recorrentemente a segurança da aplicação.
Recomendação:Realizar análise automatizada / Testes de invasão de
vulnerabilidades sob a ótica do usuário.
Os Erros mais comuns
3- Não ter criptografia em páginas críticas e selo de credibilidade.
Recomendação: Implantar criptografia forte em páginas críticas.Implantar métodos de troca de chaves seguros. Ter selo de credibilidade em todas as URLs.
4- Não utilizar autenticação forte para usuários do sistema.
Recomendação:Garantir que o usuário é o autorizado para transação.Restringir e implantar autenticação de 2 fatores admins.
Os Erros mais comuns
5- Não estar protegido contra ataques de Negação de Serviços (Dos e DDos).
Recomendação: Implantar mecanismo de proteção de ataques de DDos no DNS e
Portal (Interface).
6- Não utilizar Web application Firewalls, Firewalls, Proxies e IPSs.
Recomendação:Implantar mecanismos externos de proteção de aplicação – WAF.Implantar mecanismos de proteção de perímetros.
Os Erros mais comuns
7- Usar softwares desatualizados.
Recomendação: Implantar mecanismo de verificação de versão de software.Atualizar periodicamente os softwares/plataformas.
8- Não ter um controle de disponibilidade / plano de continuidade / backup.
Recomendação:Implantar monitoração de performance e rotinas de contingência
dos serviços críticos.Preservar backups atualizados e testes regulares.
Os Erros mais comuns
9- Arquitetura Segregada e proteção de dados.
Recomendação: Implantar segregação de ambientes como: Proxy ou WAF de
entrada, banco de dados apenas para leitura de dados, banco de dados restrito para escrita.
Implantar software de controle de vírus, navegação e malware para colaboradores do portal (funcionários).
10 – Não analisar logs da aplicação, banco de dados e perímetros.
Recomendação:Analisar diariamente logs dos servidores Web, aplicação e banco.Analisar mecanismos de defesa no mínimo diariamente.