View
46
Download
2
Category
Preview:
Citation preview
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Falhas Persistentes10 anos depois elas continuam sendo exploradasHP Security Day | São Paulo, 20 de março de 2014
Eduardo Vianna de Camargo Neves, CISSP
Fortify Sales Specialist, Southern Latin America
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.2
O NVD registra 60.000 diferentes vulnerabilidades que afetam mais de 20.000 produtos.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.3
Cenário da Segurança de Software
Software Security
56% Exposição de informações do Sistema
Falhas no tratamento de erros31%
Mobile Application Security
52% Vulnerabilidades em Client-Side
Permissões desnecessárias74%
84% dos ataques bem sucedidos ocorrem na camada de software
Vulnerabilidades
Fontes: Gartner, HP Cyber Risk Report 2012 e HP Cyber Risk Report 2013
80%das aplicações testadas estão vulneráveis a ataques
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.4
Cenário da Segurança de Software
Fonte: HP Ponemon Cost of Cyber Crime 2013
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
per.sis.ten.te
adj. m+f.
1. que não desiste facilmente
2. que dura, não acaba
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.6
Falhas Persistentes podem ser parte de uma Advanced Persistent Threat (APT)
Definição do AlvoPesquisa para
AtaqueInvasão do
SistemaEscalonamento
de PrivilégiosFurto de Dados
Manutenção da APT
• Mapeamento do Sistema• Identificação de Vulnerabilidades• Definição do Tipo de Ataque
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.7
Características comuns das Falhas Persistentes
• Antigas
• Muito conhecidas
• Simples resolução
• Extremamente perigosas
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.8
Distribuição de vulnerabilidades reportadas ao OSVDB em 2012
Cross-site scripting: 1990
SQL Injection: 1995
Cross-site request forgery: 2001
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.9
Falhas Persistentes no OWASP Top 10
Falha Persistente 2004 2007 2010 2013
Cross-site scripting (1990) 4º Posição 1º Posição 2º Posição 3º Posição
Injection (1995) 6º Posição 2º Posição 1º Posição 1º Posição
Cross-site request forgery (2001) NA 5º Posição 5º Posição 8º Posição
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.10
Como as vulnerabilidades são analisadas?
Threat Agents
Attack Vectors
Attack
Attack
Security Weakness
Weakness
Weakness
Weakness
Security Controls
Control
Control
Technical Impacts
Asset
Asset
Business Impacts
Impact
Impact
Attack
Weakness
Control
Function
Impact
Fonte: OWASP Top 10 2013
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.11
Classificação de Risco pela OWASP Risk Rating Methodology
Attack Vector Weakness Prevalence
Weakness Detectability
Technical Impact
Easy Widespread Easy Severe
Average Common Average Moderate
Difficult Uncommon Dificult Minor
Fonte: OWASP Risk Rating Methodology
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.12
Classificação de Risco das Falhas Persistentes
Falha Attack Vector Weakness Prevalence
Weakness Detectability
TechnicalImpact
Cross-sitescripting
Average Very Widespread
Easy Moderate
Injection Easy Common Average Severe
Cross-site request forgery
Average Widespread Easy Moderate
Fonte: OWASP Top 10 2013
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.13
Basta que uma única vulnerabilidade seja explorada.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
The Italian Job The Slavic Job
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
130 milhões de números de cartões de crédito e débito comprometidos.
Perdas estimadas em mais de US$ 92 milhões pelos executivos das empresas afetadas.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.17© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Como podemos encerrar esta persistência?
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.18
Por que as falhas persistentes .... persistem?
0.40
Design Build Test Deploy
1.752.25
Definição da Arquitetura
Construção do Software
Escopodos Testes
Integraçãodo Sistema
Fonte: Jones, Casper. “Software Defect Origins and Removal Methods”. Dezembro de 2012
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.19
Software Security Assurance
Análises Estáticas de Segurança
Análises Dinâmicas de Segurança
Design Build Test Deploy
Movimentação adequada
Capacitação ContínuaCritérios realistas
Governança do Processo
Desenvolvimento Seguro
Monitoramento e Proteção da Aplicação
Design adequado
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.20
Software Security Assurance com HP Fortify
HP Fortify SCA HP WebInspect
Design Build Test Deploy
HP Fortify RTA
HP ApplicationView
HP Fortify Software Security Center
HP Fortify on Demand
HP FortifyIDE Plug-Ins
Training Sessions
Professional Services
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.21
Nossa visão para a segurança de software
Find
Identificação de Vulnerabilidades
Fortify
Proteçãodo Software
Fix
Software Security Assurance
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.22© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Não é um Sprint. É uma maratona. Prepare-se.
Recommended