Gestão De Riscos Com Base No Monitoramento De Ameaças É necessário ter consciência de que os crimes no mundo digital estão, invariavelmente, a um clique de distância e não respeitam leis e fronteiras. Por isso, a segurança tecnológica é fundamental para proteção das empresas, frente aos avanços do cibercrime. Não é tarefa simples estruturar um plano de trabalho que contemple da gestão das análises de vulnerabilidades até o gerenciamento e monitoração de ameaças na grande rede, especialmente frente aos novos desafios, como a implementação do IPv6, o Bring yout own Disaster (BYOD) e a Internet das Coisas (IoT). Para conseguir alcançar sucesso neste universo desafiador, além dos conhecimentos técnicos, é necessário trabalhar uma habilidade não tão natural aos colaboradores de tecnologia: a comunicação. É necessário elevar o nível da comunicação, ao invés de se resumir à linguagem técnica, distante e difícil de ser compreendida pelos executivos. O motivador na escolha do tema “Riscos Tecnológicos e Monitoramento de Ameaças" é a oportunidade de compartilhar com os colegas e profissionais de Segurança da Informação as experiências práticas e desafios vivenciados na condução, estruturação e desenvolvimento de um Security Officer em uma das maiores empresa do segmento de Mídia Digital & Comunicação do mundo.

1. GESTÃO DE RISCOS com base no MONITORAMENTO DE AMEAÇAS
Leandro Bennaton
CNASI 2014

2. Leandro Bennaton
Executivo de Segurança do Grupo Telefónica:
• Chief Security Officer responsável Global por
Segurança e Conformidade no TERRA
• Chief Security Ambassador na ELEVEN PATHS
• Security Mentor na WAYRA
• Professor Pós Graduação na FIAP
Pós graduado, com MBA em Gerenciamento de
Segurança da Informação e certificações
internacionais. Participa do Information Security
Forum e ativamente no Comitê Gestor da Internet.
Premiado em 2013 como o melhor executivo de
Segurança pela organização Security Leaders.
@bennaton

3. Atuação
Equipe GLOBAL com sede em SP, responsável por Argentina, Brasil, Chile,
Colômbia, Estados Unidos, Espanha, México e Peru

4. Atividades
 Requerimentos Legais
 Controle de Acesso
 Auditoria e Conformidade
 Segurança Física
 Gestão de Incidentes
 Fraudes
 Segurança Tecnológica
 Politicas & Normas
 Conscientização
 Proteção da Marca

5. Segurança corporativa

6. Como foi ...
Forma tradicional para se cometer um Crime

7. ... e como é!
Nova forma para se cometer um Crime

8. Controles
Controles são Necessários

9. Ameaças
Para manter o ambiente e os usuários seguros

10. Desafios

11. Transmissões ao Vivo

12. IPV6

13. Como se proteger?

14. O que fazer?
For better security, think like a bad guy

15. Superfície de Ataque
Contas de E-mails (spammers)
E-commerce (cartões de créditos)
Base de Clientes (informações cadastrais)
Visibilidade e Abrangência (volume de acesso)
Hospedagem (fake pages)

16. Ambiente
 268.000 endereços IPs válidos
(Internet)
 101.000 endereços internos
(backnet e ambiente corporativo)
 280 aplicações web (próprias e de
parceiros de conteúdo)
 3 datacenters/ 10 escritórios
(Global)

17. Planejamento

18. Metodologia - Infra
GreyBox
Utilização de credenciais legitimas, visando a validação das
permissões de acesso e autorização estão em conformidade
com as necessidades de negócio.
FASES
Discovering Scanning Enumeration Gaining Access
• Destaque para as fases de Scanning e Enumeration;
• No geral, a fase de Gaining Access, é realizada em aplicações onde há a
necessidade de comprovar o impacto de vulnerabilidades críticas.

19. Metodologia - Aplicação
 Testes realizados com base nos 66
controles apresentados pelo OWASP
TESTING GUIDE (v3.0):
 Information Gathering
 Configuration Management Testing
 Business Logic Testing
 Authentication Testing
 Authorization testing
 Session Management Testing
 Data Validation Testing
 Denial of Service Testing
 Web Services Testing
 Ajax Testing

20. Metodologia - Criticidade

21. Projeto  Processo
 Projeto em fases
(Externo, Interno e Aplicações)
 Cronograma e Comunicação
 Reporte executivos com
informações relevantes
 Plataforma Web, em real time

22. Projeto  Processo

23. Projeto  Processo

24. Melhoria Continua

25. Gestão de Riscos
 Transformar o “tecniques” em
linguagem de negócio
 Apoio do CEO, CTO, direção
 Maior envolvimento de áreas de
Tecnologia
 Métricas, Indicadores do PLR
 Mapa de Riscos Tecnológicos
(atualização Trimestral/ reunião Semestral)

26. Gestão de Riscos

27. Gestão de Riscos
 +11.000 vulnerabilidades tratadas
 Melhor nível de proteção
 Não há defacement desde mar/12
 Percepção dos executivos da
importância de SI e Governança
 Aumento da maturidade e cultura
da Segurança da Informação

28. Por onde começar ?

29. OSINT
http://sinfonier-project.net

30. Monitoramento
Defacements

31. Monitoramento
Malware

32. Monitoramento
CSIRT - ABUSE

33. Monitoramento
Brand Protection

34. Monitoramento
Brand Protection

35. Estratégia

36. Capital Intelectual
Pessoas possuem
informações importantes

37. Para pensar ...

38. Não esqueça da Penny

39. Perguntas ???

40. GESTÃO DE RISCOS
com base no
MONITORAMENTO DE AMEAÇAS
Leandro Bennaton
@bennaton