cloud security - marcos ferreira
TRANSCRIPT
Cloud Security
Marcos Ferreira
• +13 anos de experiência na área de SI
– Consultoria de segurança
– Análise de vulnerabilidade e Pentest
– Engenharia Social
– Incident Response
• Voluntário no SANS Institute
• Qualys Guard Certified
Apresentação
Informações – Dados Atuais
Infosecbuddy.com - http://www.infosecbuddy.com/wp-content/uploads/2015/03/Cloud-Security-Spotlight-Report-2015.pdf
InformaçõesInformações – Dados Atuais
InformaçõesInformações – Dados Atuais
InformaçõesInformações – Dados Atuais
InformaçõesInformações – Dados Atuais
RiscosSegurança
• Unauthorized acccess
– Interno ou Externo
– Autenticação e controles de acessos fracos
• Malicious insiders– Vazamento de informações
– Comprometimento da Integridade, Disponibilidade e Confidencialidade
RiscosSegurança
• Hijacking
– Roubo de credenciais
– Monitoramento das transações
– Manipulação de dados
– Direcionado a fraudes
RiscosSegurança
• Insecure interfaces / APIs
– Roubo de dados e Espionagem
– Crime organizado
– Perda de clientes
– Problemas legais
– Ex.: SQLi, XSS, CSRF, etc.
RiscosSegurança
• DDoS e DoS
– Indisponibilidade do serviço
– Perda financeira
– Risco a imagem
– Perda de clientes
– Riscos legais
MedidasSegurança
• Definir a segurança desde o início do projeto
– Firewall, IPS, Antivírus, WAF
• Monitoramento e log
– Correlação e retenção de log de sistemas e Apps
MedidasSegurança
• Autenticação forte
– Multi-factor authentication (MFA)
• Gerenciamento de vulnerabilidades e Pentest
– Identificação constante de problemas
MedidasSegurança
• Política de segurança
– Controles de acessos, responsabilidades e auditoria
• Backup e Disponibilidade
– Recuperação de dados, redundância, continuidade
Labs
• Blog – labs.siteblindado.com
• Bug Bounty
• Treinamentos e Meet ups
Melhores práticas
Marcos Ferreira
• Email – [email protected]
• Linkedin – https://br.linkedin.com/in/mferreira
• Blog – http://labs.siteblindado.com
• Fone – +55 11 3165-4000
Contatos
