SlideShare una empresa de Scribd logo

Mantendo o queijo-suíco seguro dos ratos através de virtual patching.

Alexandro Silva
Alexandro Silva

Apresentação realizada dia 15/09, no Software Freedom Day 2012 em Salvador na FTC

1 de 13
Mantendo o queijo-suíco seguro dos ratos através de virtual patching. Alexandro Silva http://alexos.org
● Analista de segurança da informação; ● Professor na pós em Seginfo da Area1 e Unijorge.
● Virtual Patching ✔ Camada de segurança capaz de proteger as aplicações web da exploração de falhas "conhecidas". ● A falta de gestão das vulnerabilidades colabora com o crescimento dos ataques: ● Vulnerabilidades de infraestrutura: ✔ Serviços desatualizados e/ou mal configurados ( Web, DNS, FTP ); ✔ Sistemas operacionais desatualizados; ✔ Administração baseada em práticas inseguras. ● Vulnerabilidades de aplicação: ✔ Desenvolvimento baseado em práticas inseguras; ✔ CMSs e plugins desatualizados.
● Técnicas de exploração e divulgação das falhas cada vez mais difundidas: ✔ SQL Injection ( SQLi ) ✔ Cross site-scripting ( XSS ) ✔ Phishing ✔ DoS ✔ SecurityTube ✔ Full-disclosure ✔ ExploitDB
● Custo de tempo/pessoas na manutenção é alto: ✔ Alocação e capacitação de pessoas; ✔ Priorizar tarefas; ✔ Testes de correção, etc. ● Faltam profissionais capacitados: ✔ Monitoramento; ✔ Análise de log; ✔ Conhecimento dos protocolos; ✔ Profundo conhecimento dos serviços; ✔ Atualização constante; ✔ Funcionamento do ataques; ✔ Desenvolvimento seguro.
Como proteger nosso queijo-suíco?
NÃO EXISTE MILAGRE!
● Ferramentas Opensource disponíveis:
● Prós: ✔ Prevenção pró-ativa; ✔ Mapear e entender as ameaças; ✔ Mitigar riscos e impacto; ✔ Correlacionar um incidente. ● Contras: ✔ Grande esforço técnico na implementação e tunning; ✔ Normalmente as vulnerabilidades não são corrigidas; ✔ Com a redução do incidentes o monitoramento da solução tende a ser esquecido.
✔ A segurança da informação não deve ser baseada só em ferramentas e produtos; ✔ Concientização, capacitação, processos e prevenção devem fundamentar a gestão de segurança da informação; ✔ Ferramentas e produtos devem ser utilizados com coerência e como facilitadores na prevenção contra as ameaças.
Obrigado a todos! =) http://alexos.org @alexandrosilva alexos@alexos.org
Links: ➔ Nginx - http://nginx.org/en/ ➔ Naxsi - https://code.google.com/p/naxsi/ ➔ Modsecurity - http://www.modsecurity.org ➔ Ironbee - https://www.ironbee.com/ ➔ Ossec HIDS - http://www.ossec.net ➔ Virtual Patching Best Practies - https://www.owasp.org/index.php/Virtual_Patchin g_Best_Practices

Recomendados

Segurança em Redes Corporativas
Segurança em Redes CorporativasSegurança em Redes Corporativas
Segurança em Redes CorporativasHigor Diego
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Thiago Dieb
 
API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.Thomás Capiotti
 
Segurança do WordPress
Segurança do WordPressSegurança do WordPress
Segurança do WordPressJaqueline Arruda
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?iBLISS Segurança & Inteligência
 
Ameaças de Junho 2016
Ameaças de Junho 2016 Ameaças de Junho 2016
Ameaças de Junho 2016 Symantec Brasil
 
Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Alcyon Ferreira de Souza Junior, MSc
 
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUPREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUibliss-seguranca
 

Recomendados

Segurança em Redes Corporativas
Segurança em Redes CorporativasSegurança em Redes Corporativas
Segurança em Redes CorporativasHigor Diego
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Thiago Dieb
 
API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.API - Security and speed at layer 7 integrated in zabbix.
API - Security and speed at layer 7 integrated in zabbix.Thomás Capiotti
 
Segurança do WordPress
Segurança do WordPressSegurança do WordPress
Segurança do WordPressJaqueline Arruda
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?iBLISS Segurança & Inteligência
 
Ameaças de Junho 2016
Ameaças de Junho 2016 Ameaças de Junho 2016
Ameaças de Junho 2016 Symantec Brasil
 
Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Alcyon Ferreira de Souza Junior, MSc
 
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUPREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOU
PREVENÇAO VS RESPOSTA A INCIDENTES: O FOCO MUDOUibliss-seguranca
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Paulo Renato Lopes Seixas
 
Como Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de SegurançaComo Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de SegurançaLeandro Bennaton
 
Automatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus GuizolfiAutomatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus GuizolfiTchelinux
 
Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009Mauro Risonho de Paula Assumpcao
 
Segurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação CorporativaSegurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação CorporativaLeonardo Lacerda
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Renato Groff
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos
WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos
WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos Grupo Treinar
 
Ransomware
RansomwareRansomware
RansomwareMarcelo Lau
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisMarcelo Lau
 
Desafios de segurança em arquitetura de microsserviços
Desafios de segurança em arquitetura de microsserviçosDesafios de segurança em arquitetura de microsserviços
Desafios de segurança em arquitetura de microsserviçosThaiane Braga
 
Segurança para Agências: Proteja seus Clientes
Segurança para Agências: Proteja seus ClientesSegurança para Agências: Proteja seus Clientes
Segurança para Agências: Proteja seus ClientesSucuri
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digitalMarcelo Lau
 
Seguranca na web
Seguranca na webSeguranca na web
Seguranca na webMarcelo Lau
 
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017Renato Groff
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...
Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...
Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...Bravo Tecnologia
 
Proxy Reverso com Web Application Proxy
Proxy Reverso com Web Application ProxyProxy Reverso com Web Application Proxy
Proxy Reverso com Web Application ProxyUilson Souza
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP Brasília
 

Más contenido relacionado

La actualidad más candente

Como Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de SegurançaComo Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de SegurançaLeandro Bennaton
 
Automatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus GuizolfiAutomatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus GuizolfiTchelinux
 
Segurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação CorporativaSegurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação CorporativaLeonardo Lacerda
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Renato Groff
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos
WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos
WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos Grupo Treinar
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisMarcelo Lau
 
Desafios de segurança em arquitetura de microsserviços
Desafios de segurança em arquitetura de microsserviçosDesafios de segurança em arquitetura de microsserviços
Desafios de segurança em arquitetura de microsserviçosThaiane Braga
 
Segurança para Agências: Proteja seus Clientes
Segurança para Agências: Proteja seus ClientesSegurança para Agências: Proteja seus Clientes
Segurança para Agências: Proteja seus ClientesSucuri
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digitalMarcelo Lau
 
Seguranca na web
Seguranca na webSeguranca na web
Seguranca na webMarcelo Lau
 
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017Renato Groff
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 

La actualidad más candente (19)

Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
 
Como Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de SegurançaComo Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de Segurança
 
Automatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus GuizolfiAutomatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus Guizolfi
 
Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009
 
Segurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação CorporativaSegurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação Corporativa
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem
 
WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos
WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos
WorkShop Seguranca da Informacao - Desenvolvimento de Aplicativos
 
Ransomware
RansomwareRansomware
Ransomware
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados Digitais
 
Desafios de segurança em arquitetura de microsserviços
Desafios de segurança em arquitetura de microsserviçosDesafios de segurança em arquitetura de microsserviços
Desafios de segurança em arquitetura de microsserviços
 
Segurança para Agências: Proteja seus Clientes
Segurança para Agências: Proteja seus ClientesSegurança para Agências: Proteja seus Clientes
Segurança para Agências: Proteja seus Clientes
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digital
 
Seguranca na web
Seguranca na webSeguranca na web
Seguranca na web
 
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 

Destacado

Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...
Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...
Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...Bravo Tecnologia
 
Proxy Reverso com Web Application Proxy
Proxy Reverso com Web Application ProxyProxy Reverso com Web Application Proxy
Proxy Reverso com Web Application ProxyUilson Souza
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP Brasília
 
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações WebTecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações WebAlexandro Silva
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Jeronimo Zucco
 
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian MayanTIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian MayaniBLISS Segurança & Inteligência
 
TOR - Navegando na internet sem ser rastreado
TOR - Navegando na internet sem ser rastreadoTOR - Navegando na internet sem ser rastreado
TOR - Navegando na internet sem ser rastreadoAlexandro Silva
 
Web Seminário sobre Varnish+Nginx+Apache
Web Seminário sobre Varnish+Nginx+ApacheWeb Seminário sobre Varnish+Nginx+Apache
Web Seminário sobre Varnish+Nginx+ApacheDell Technologies
 
Curso de Performance and Tuning - Linux
Curso de Performance and Tuning - LinuxCurso de Performance and Tuning - Linux
Curso de Performance and Tuning - LinuxDell Technologies
 
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...Kemp
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPKemp
 
Do You Struggle With Employee Recognition?
Do You Struggle With Employee Recognition?Do You Struggle With Employee Recognition?
Do You Struggle With Employee Recognition?Elodie A.
 

Destacado (12)

Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...
Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...
Backup Barracuda: proteção Completa Integrada em Nuvem para Ambientes Físicos...
 
Proxy Reverso com Web Application Proxy
Proxy Reverso com Web Application ProxyProxy Reverso com Web Application Proxy
Proxy Reverso com Web Application Proxy
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
 
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações WebTecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
 
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian MayanTIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
 
TOR - Navegando na internet sem ser rastreado
TOR - Navegando na internet sem ser rastreadoTOR - Navegando na internet sem ser rastreado
TOR - Navegando na internet sem ser rastreado
 
Web Seminário sobre Varnish+Nginx+Apache
Web Seminário sobre Varnish+Nginx+ApacheWeb Seminário sobre Varnish+Nginx+Apache
Web Seminário sobre Varnish+Nginx+Apache
 
Curso de Performance and Tuning - Linux
Curso de Performance and Tuning - LinuxCurso de Performance and Tuning - Linux
Curso de Performance and Tuning - Linux
 
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
 
Do You Struggle With Employee Recognition?
Do You Struggle With Employee Recognition?Do You Struggle With Employee Recognition?
Do You Struggle With Employee Recognition?
 

Similar a Mantendo o queijo-suíco seguro dos ratos através de virtual patching.

Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...Alexandro Silva
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasSegInfo
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...LeandroTrindade19
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisRubens Guimarães - MTAC MVP
 
Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Grupo Treinar
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
ISO17799 2005
ISO17799 2005ISO17799 2005
ISO17799 2005ceife
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013GVTech
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
 
Tornando se um DevOps sem perder a cabeça #SE7I2016
Tornando se um DevOps sem perder a cabeça #SE7I2016Tornando se um DevOps sem perder a cabeça #SE7I2016
Tornando se um DevOps sem perder a cabeça #SE7I2016Camilla Gomes
 
Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Julio Cesar Stefanutto
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Hardening Linux
Hardening LinuxHardening Linux
Hardening Linuxhdoria
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 

Similar a Mantendo o queijo-suíco seguro dos ratos através de virtual patching. (20)

Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas Profissionais
 
Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
ISO17799 2005
ISO17799 2005ISO17799 2005
ISO17799 2005
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
 
Tornando se um DevOps sem perder a cabeça #SE7I2016
Tornando se um DevOps sem perder a cabeça #SE7I2016Tornando se um DevOps sem perder a cabeça #SE7I2016
Tornando se um DevOps sem perder a cabeça #SE7I2016
 
Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Hardening Linux
Hardening LinuxHardening Linux
Hardening Linux
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 

Más de Alexandro Silva

Usando Ansible para Orquestração de Segurança e Conformidade
Usando Ansible para Orquestração de Segurança e ConformidadeUsando Ansible para Orquestração de Segurança e Conformidade
Usando Ansible para Orquestração de Segurança e ConformidadeAlexandro Silva
 
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...Alexandro Silva
 
De volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
De volta as origens... Um overview sobre a relação entre o Debian e o UbuntuDe volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
De volta as origens... Um overview sobre a relação entre o Debian e o UbuntuAlexandro Silva
 
Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudAlexandro Silva
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasAlexandro Silva
 

Más de Alexandro Silva (6)

Usando Ansible para Orquestração de Segurança e Conformidade
Usando Ansible para Orquestração de Segurança e ConformidadeUsando Ansible para Orquestração de Segurança e Conformidade
Usando Ansible para Orquestração de Segurança e Conformidade
 
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
Criando um appliance Open Source para mitigar vulnerabilidades de serviços e ...
 
De volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
De volta as origens... Um overview sobre a relação entre o Debian e o UbuntuDe volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
De volta as origens... Um overview sobre a relação entre o Debian e o Ubuntu
 
F*cking JBoss Pwned
F*cking JBoss PwnedF*cking JBoss Pwned
F*cking JBoss Pwned
 
Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the Cloud
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 

Mantendo o queijo-suíco seguro dos ratos através de virtual patching.

  • 1. Mantendo o queijo-suíco seguro dos ratos através de virtual patching. Alexandro Silva http://alexos.org
  • 2. Analista de segurança da informação; ● Professor na pós em Seginfo da Area1 e Unijorge.
  • 3. Virtual Patching ✔ Camada de segurança capaz de proteger as aplicações web da exploração de falhas "conhecidas". ● A falta de gestão das vulnerabilidades colabora com o crescimento dos ataques: ● Vulnerabilidades de infraestrutura: ✔ Serviços desatualizados e/ou mal configurados ( Web, DNS, FTP ); ✔ Sistemas operacionais desatualizados; ✔ Administração baseada em práticas inseguras. ● Vulnerabilidades de aplicação: ✔ Desenvolvimento baseado em práticas inseguras; ✔ CMSs e plugins desatualizados.
  • 4. Técnicas de exploração e divulgação das falhas cada vez mais difundidas: ✔ SQL Injection ( SQLi ) ✔ Cross site-scripting ( XSS ) ✔ Phishing ✔ DoS ✔ SecurityTube ✔ Full-disclosure ✔ ExploitDB
  • 5. Custo de tempo/pessoas na manutenção é alto: ✔ Alocação e capacitação de pessoas; ✔ Priorizar tarefas; ✔ Testes de correção, etc. ● Faltam profissionais capacitados: ✔ Monitoramento; ✔ Análise de log; ✔ Conhecimento dos protocolos; ✔ Profundo conhecimento dos serviços; ✔ Atualização constante; ✔ Funcionamento do ataques; ✔ Desenvolvimento seguro.
  • 6. Como proteger nosso queijo-suíco?
  • 8. Ferramentas Opensource disponíveis:
  • 9.
  • 10. Prós: ✔ Prevenção pró-ativa; ✔ Mapear e entender as ameaças; ✔ Mitigar riscos e impacto; ✔ Correlacionar um incidente. ● Contras: ✔ Grande esforço técnico na implementação e tunning; ✔ Normalmente as vulnerabilidades não são corrigidas; ✔ Com a redução do incidentes o monitoramento da solução tende a ser esquecido.
  • 11. A segurança da informação não deve ser baseada só em ferramentas e produtos; ✔ Concientização, capacitação, processos e prevenção devem fundamentar a gestão de segurança da informação; ✔ Ferramentas e produtos devem ser utilizados com coerência e como facilitadores na prevenção contra as ameaças.
  • 12. Obrigado a todos! =) http://alexos.org @alexandrosilva alexos@alexos.org
  • 13. Links: ➔ Nginx - http://nginx.org/en/ ➔ Naxsi - https://code.google.com/p/naxsi/ ➔ Modsecurity - http://www.modsecurity.org ➔ Ironbee - https://www.ironbee.com/ ➔ Ossec HIDS - http://www.ossec.net ➔ Virtual Patching Best Practies - https://www.owasp.org/index.php/Virtual_Patchin g_Best_Practices