10 minutos de eleven paths por leandro bennaton
DESCRIPTION
Eleven Paths é uma empresa do Grupo Telefonica especializada no desenvolvimento de produtos inovadores de segurança Leandro Bennaton Chief Security Ambassador do Brasil @ Eleven PathsTRANSCRIPT
1elevenpaths.com
10 minutos de Eleven PathsLeandro @bennaton
2elevenpaths.com
Leandro Bennaton
• Chief Security Officer responsável por Segurança e Conformidade de sistemas para LatAm, USA e Espanha na empresa TERRA• Chief Security Ambassador na ELEVEN PATHS
MBA: Gerenciamento de Segurança da Informação
Palestrante internacional de Segurança
Membro dos comitês de: AntiSpam, Qualidade da Banda Larga e IPv6 no Comitê Gestor Internet Brasil.
3elevenpaths.com
Eleven Paths
100% Telefonica Company
Criada em Abril/2013, atua no modelo de StartUps, especializada no desenvolvimento e inovação de produtos de segurança.
• Ethical Hackers• Experts de Segurança• Ph.D. em Ciência da Computação
4elevenpaths.com
Product
APP(Advanced Persistent
Pentesting)
Service 24x7x365
Metadata clean up software to avoid
DLP
(WebServers, FS, SPS Desktop, Forensics)
2F Authorization
based on Open Digital Latches
platform
11Paths Products
Todos os produtos foram desenvolvidos pensando em:• Modelo auto-gerenciado• Cloud.
5elevenpaths.com
Análise de ameaças e vulnerabilidades
Software para de forma automática limpar os metadados
· Exploração de vulnerabilidades com atualização diária.· Usa OpenSourceINTelligence
Shodan WhoisArchive.org PasteDNS Social Network
Testa de segurança para toda infraestrutura.
Faast: Persistent Penetration Test
6elevenpaths.com
Prevenção de vazamento de informaçãoSoftware para de forma automática limpar os metadados
· Sem interação de usuário· Webserver IIS · Servidores de Arquivos· SharePoint
Apoiar conformidade:PCI-DSS, HIPAA, SOX, etc.
MetaShield Protector
7elevenpaths.com
https://latch.elevenpaths.com
Ninguém utiliza os serviços digitais 24h por dia então por que deixar as identidades eletrônicas disponíveis 24x7 e expostas a ataques?
Se reduzirmos a disponibilidade, reduzimos a exposição e consequentemente o risco.
LATCH é uma nova proposta de segurança que se enquadra a todos os tamanhos de mercado.
9elevenpaths.com
ALTERNATIVASAs senhas não são suficiente
SMS TOKEN8762134
10elevenpaths.com
DEFINE:LATCH
11elevenpaths.com
CONFIGURAÇÕES - Latch
• Bloquear/Desbloquear as operações• Programar bloqueio automático
• definição por tempo
• Segundo Fator de autenticação (2FA)
As senhas não são suficiente
12elevenpaths.com
Latch O controle remoto de sua vida digital
13elevenpaths.com
DIFERENCIAIS - Latch
• Nível de proteção extra aos serviços online• Bloqueio do acesso quando não está sendo utilizado• Proteção contra o risco de uso indesejado dos serviços internet• Nível extra de segurança de forma independente, com
integração rápida e simples• Gerenciado pelo usuário através de app do smartphone• Hacking Proof – Completa PRIVACIDADE – mesmo que os
servidores Latch forem hackeados a segurança permanece intacta, informações sensíveis não são armazenadas.
As senhas não são suficiente
14elevenpaths.com
CASOS DE USO - Latch
• Proteção de acesso a aplicação web• Granularidade por operação• Proteção corporativa: VPN, Active Directory e Intranet• Cartão de crédito:
• ativar no momento da compra ou transferência• habilitar uso em viagem internacional
• Controle Parental• Autorização conjunta (dupla custódia)• Segundo Fator de autenticação
As senhas não são suficiente
15elevenpaths.com
USANDO - LatchAs senhas não são suficiente
16elevenpaths.com
PROCESSO - Latch
1. Usuário autentica no site (usuário/senha)2. Aplicação validas as credenciais de acesso3. Validação do status Latch – (servidores 11Paths)
① Latch OFF – erro no Login② Latch ON – autorizado
4. Mensagem aplicativo
Alguém tentou acessar sua conta!!!
As senhas não são suficiente
17elevenpaths.com
APLICATIVOS e PLATAFORMASAs senhas não são suficiente
• Firefox OS
• On development:· Blackberry & BlackBerry z10
18elevenpaths.com
Usuários Desenvolvedores Corporativo
Controlar todas as identidades digitais de forma centralizada.
ON/OFF
Plug-ins integrados e soluções de desenvolvimento SDKs para adaptar a tecnologia desejada.
SDKs:PHP, Java, .NET, C, Ruby, Python
& WebService API
Plugins:WordPress, PrestaShop,
RedMine, Cpanel, Moodle, OpenVPN, SSH, Drupal,
DotNetNuke, Joomla!, …
• 2 Fator de Autenticação• Opcional ou mandatório• Detectar roubo de identidade• Granularidade• Redução de Fraudes• Parental Control• Autorização dupla.
Ferramentas• Painel de Controle• Estatística de Uso• Appliance interno (beta)
19elevenpaths.com
Switch on Latch
21elevenpaths.com
LatchServer
Latch app
Add Service
2.- Temporary Pariring token
My BankUser
Settings:Login: XXXXPass: YYYYLatch:
3.- User in
troduces
Temp Pairing token
4.-AppID+Temp pairing Token
5.- OK+Unique Latch
6.-ID Latch appers in app
1.- Generate pairing code
Annex A. Pairing process
22elevenpaths.com
Annex B. Authentication process
LatchServer
Latch appLatch1:
OFFLatch2:ONLatch3:OT
PLatch4:OFF
….
My BankUsers DB:
Login: XXXXPass: YYYY
Latch: Latch1
Login Page:
Login:AAAAPasss:BBBB
1.- Client sendsLogin/password
2.- Web checksCredentials withIts users DB
3.- asks about Latch1 status
4.- Latch 1 is OFF
5.- Login Error
6.- Someone try to getAccess to Latch 1 id.
23elevenpaths.com
Annex C. Authentication process with OTP
LatchServer
Latch appLatch1:
OFFLatch2:ONLatch3:OT
PLatch4:OFF
….
My BankUsers DB:
Login: XXXXPass: YYYY
Latch: Latch1
Login Page:
Login:AAAAPasss:BBBB
1.- Client sendsLogin/password
2.- Web checksCredentials withIts users DB
3.- asks about Latch1 status
5.- Latch 1 is ON(OTP)
6.- OTP?
7.- Use this (OTP).
4.- LatchServerGeneratesOTP
8.- User introduces OTP)
24elevenpaths.com
Annex D. Granular operation process
LatchServer
Latch appLatch1: ON
Op1:OFFOp2:ONOP3:OTPLatch 2:
OFF
My BankLogin: XXXXPass: YYYY
Latch: Latch1Int_Trnas:
Op1
Online Banking
Send Money:
1231124343
1.- Client ordersInternational Transactions
2.- asks Latch1:Op1 status
3.- Latch 1:Op1 is OFF
5.- Denied
4.- Someone try to do a Latch 1:Op1Operation