Estabelecendo um modelo efetivo para a Segurança de SoftwareEduardo Vianna de Camargo Neves, CISSP, CISM Regional Product Marketing Manager, LAC Region

A profissionalizaçãodo Crime Digital

2007: Operation Get Rich or Die Tryin’

Ao longo de 2007, uma fraude coordenada por um grupo de hackers de alto nível, trabalhou na captura e venda de dados privados armazenados nos sistemas de grandes empresas nos EUA.• Captura estimada de 45 milhões de números

de cartões de crédito e débito• Análise posterior identificou a captura de 180

milhões de números de cartões de crédito e débito, e dados pessoais dos clientes

Pesquisa

Infiltração

Descoberta

Captura

Exfiltração

Venda

Acesso por redes wireless

1

Autenticação válida

2

Acesso a dados históricos

3

Instalação de malware

4

Download de dados ativos

5

Venda no mercado negro

6

2016: Ataques digitais contra o Banco Central de Bangladesh e Standard Bank

Em abril, uma contaminação por malware nos sistemas do Banco Central de Bangladesh resultou na transferência de U$ 81 milhões para contas de terceiros através da rede SWIFT1.

Em maio, um ataque coordenado permitiu o saque simultâneo de U$ 12,7 milhões em contas autênticas por mais de 1400 ATMs distribuídos pelo Japão ao longo de duas horas2.

1

23

4

(1) Corkery, Michael. Hackers’ $81 Million Sneak Attack on World Banking.The New York Times. 30/04/16. (2) Lumb, David. ATM Hacking Spree Nets Thieves $12.7 Million in Two Hours. Engadget. 23/05/16.

1

2

O Crime Digital movimenta sua própria economia, com impactos estimados em até U$ 445 milhões ao ano1

Como em qualquer negócio, o Crime Digital procura oportunidades que resultem na melhor relação custo-benefício com riscos controlados e aceitáveis:

• Especialização por segmento, geografia e idioma.

• Funções específicas nas organizações criminosas, com especialistas dedicados por disciplina.

• Variação dos valores de compra e venda em perfeito alinhamento com a relação de oferta e procura.

(1) Storm, Darlene. $445 Billion: Bloated BS or the True Cost of Cybercrime? Computerworld. 09/06/14.

Nossos negócios se sobrepõe de tantas maneiras, que podemos enxergar os criminosos como concorrentes

Conhecimento técnico avançado com especialização em produtos e serviços

Conhecimento técnico variado

Conhecimento técnico variado

Pouco ou nenhum conhecimento técnico

Gestores

Especialistas

Intermediários e Vendedores

Script-kiddies e Mulas

Membros

• Pesquisadores de segurança• Desenvolvedores de ferramentas• Desenvolvedores de malware• Coleta de credenciais e informações• Vulnerabilidades Zero Day• Exploração de novas tecnologias

• Operadores de ferramentas• Mulas para suporte ao crime• Compradores• Observadores

• Provedores de serviços especializados• Serviços de avalista• Verificação de antecedentes• Serviços de terceiro depositário• Recrutamento• Lavagem de dinheiro

Por que nossas defesas digitais não funcionam como esperado?

Nossas fragilidades são conhecidas e estão sendo muito bem exploradas1

(1) HPE Cyber Risk Report 2016

80%Software Open Source com

vulnerabilidades identificadas

+153%Crescimento anual deVulnerabilidades em

Android OS

+14%Aumento no uso de

componentes Open Source

75%Aplicações móveis

vulneráveis

8/10Vulnerabilidades exploradas

com 3 anos ou mais

100KTrojan Horses

Bancários detectados

Nossas defesas não são utilizadas de maneira efetiva1, 2

(1)HPE Cyber Risk Report 2016(2)Tecnologias e práticas de segurança mais eficazes, UBM, HPE Security, Maio de 2016(3)Gartner Maverick Research: Stop Protecting Your Apps; It’s Time for Apps to Protect Themselves (2014)

Patch Management• 60% contam com processos

estabelecidos.

• 20% consideram que isso dificulta o trabalho dos adversários.

• 44% dos incidentes aproveitam falhas de segurança conhecidas.

• 29% dos exploits descobertos usam um vetor de infecção do Stuxnet, que já foi corrigido duas vezes.

Segurança em Software• 84% dos incidentes de segurança

exploram vulnerabilidades em software como porta de entrada.3

• 100% das dez vulnerabilidades mais comuns em aplicações web podem ser exploradas através de ferramentas automatizadas

• 35% do software testado apresentava, ao menos, uma vulnerabilidade crítica.

Investimentos em Segurança• 23-1 é a diferença média entre

os investimentos em segurança perimetral e de software.3

• Os investimentos em segurança de borda e rede de dados superam em até cinco vezes os direcionados para segurança de software.

Estabelecendo um modeloefetivo para Segurança de Software

A construção, entrega e consumo do software são processos cada vez mais complexos e distribuídos

2010 2015 2020

4 releases por aplicação ao ano

36 releases por aplicação ao ano

120 releases por aplicação ao ano

Estabelecer um modelo de segurança neste cenário é um desafio que cresce diariamente

CloudNovos

ReleasesRequisições do

Negócio

Software em Produção

Segurança de Software

Sistemas Legados

Ambiente Interno

Novas aquisições

Sistemas Fantasmas

Web

Móvel

Web

API

O modelo reativo é ineficiente e tem um custo inaceitável

Software inseguro é colocado em

produção

A falha de segurança é explorada

As correções são realizadas com um

custo adicional

Software inseguro é desenvolvido

13

7

15

30

0

5

10

15

20

25

30

35

Requerimentos Design Desenvolvimento Testes Produção

Custo de Correção do Software por Fase do SDLC1

(1)The Economic Impacts of Inadequate Infrastructure for Software Testing. NIST.

Runtime Application Self-ProtectionMonitoramento e proteção do software em ambiente de produção

Software Security AssuranceInserir testes e correções da segurança de software como parte comum do SDLC

Um modelo efetivo para segurança de software deve ser sistemático, proativo e integrado ao SDLC

Software Security AssessmentTestes de segurança para identificar vulnerabilidades em software e prover informações para a correção

Métricas de DesempenhoVulnerabilidades por aplicação: 100s para 10sTempo médio para correção de uma vulnerabilidade: 1-2 semanas para 1-2 horasPercentual de vulnerabilidades repetidas: 80% para 0%Esforço para compliance e testes de invasão: Redução média no custo de 50%Atrasos na entrega dos produtos finais: 4 incidentes anuais para nenhum

Implementando o Modelo

Uma abordagem bem sucedida para a Segurança de Software é composta por quatro elementos complementares que interagem continuamente

Design Build Test Deploy

Modelo Tradicional• A estrutura de segurança é

criada após a conclusão do processo

• O código-fonte é desenvolvido com foco na usabilidade e desempenho

• Testes de invasão são empregados como análises de segurança de software

• Aplicação vulnerável é movida para o Ambiente de Produção

Modelo Seguro• Adequação racional da

segurança no ciclo de desenvolvimento de software

• Inclusão das práticas de segurança no processo de desenvolvimento

• Testes de segurança amplos e adaptáveis para diversas plataformas

• Proteção adequada sem impactar o modelo adotado

Conclusões

O sucesso de um modelo para segurança de software está na composição de uma solução adaptável a qualquer ambiente que proveja testes de segurança amplos e medidas corretivas efetivas, garantindo que os riscos são gerenciados de forma adequada e a relação custo/benefício mantida dentro das expectativas das áreas envolvidas. Software Security Assessment• Identificação efetiva de vulnerabilidades com ampla cobertura

• Correlacionamento das causas

• Geração e compartilhamento de conhecimentoSoftware Security Assurance• Integração com o modelo existente e instrumentos utilizados

• Correção on the go com atividades por competência

• Redução de custosRuntime Application Self-Protection• Proteção para aplicações vulneráveis

• Continuidade do processo de homologação