Os 10 erros mais comuns de segurança na operação de um ecommerce

Gustavo F. de Souza Diretor

O  Histórico  do  Ecommerce  

1979:  Criação  do  primeiro  shopping  Online;    1984:  Eletronic  Mall  foi  criado  pela  CompuServe;    1994:  O  primeiro  banco  online  foi  inaugurado;  1995:  Lançamento  da  Amazon.com;    2000:  Bolha  .com;    2011:    O  Ecommerce  no  Brasil  movimentou  mais  de  R$18  Bilhões  de  reais.  Nos  EUA  passou  de  US$197  Bilhões.  

Dados  relacionados  a  Segurança  no  Ecommerce  –  SiteBlindado  

51%

25%

16%

8%

Problemas  na  1a.  Certificação  de  Segurança

Falhas  Segurança  AplicaçãoSem  SSL

Problemas  de  DNS

Infectados  Malware

Problemas  de  Segurança  mais  comuns  SoPware  desatualizados;    Vulnerabilidade  de  Cross  Script  InjecUon;    Serviços  Desnecessários  disponíveis;    SQL  InjecUon;    Página  de  administração  disponível  para  qualquer  pessoa  acessar;    Página  de  login  sem  criptografia.  

En;dades  relacionadas  ao  ecommerce  

Hacker

Webite B2C

Software Ecommerce

Usuários

Usuário:  Comprador    Website  B2C:  Vendedor;    Hacker:  enUdade  que  tenta  explorar  fragilidades  no  sistema;    SoPware  Ecommerce:  Plataforma  ou  soPware  desenvolvido  para  negócios  online.  

Vetores  de  ataques  ao  ecommerce  

Hacker

Website B2C

Software Ecommerce

Usuários

Ataque Phishing Malware para estação

Interceptação dos dados da transação Website - Usuário

Ataque de Aplicação Problemas conhecidos DDoS

Malwares Programas Infectados

Conceito  do  que  Proteger  

1-­‐  Banco  de  dados  

2-­‐  Aplicação  

3-­‐  Interface  para  o  cliente  

4-­‐  Firewalls,  Proxies,  IPSs,  WAF,  DNSs  

Gestão  de  Riscos  –  Conceito  Clássico  1-­‐  Confidencialidade    2-­‐  Integridade    3-­‐  Disponibilidade    4-­‐  IdenUficação  /  AutenUcação  /  Autorização    5-­‐  Auditoria  e  rastreabilidade    6-­‐Não  Repúdio  

Gestão  de  Riscos  –  Domínio  de  Infra  estrutura  Protação  isica  dos  aUvos  Gerenciamento  de  Rede  Controle  de  conteúdo  de  email  Segurança  de  Rede  Criptografia  Firewalls  ICP  Gerenciamento  de  Incidentes  SoPware  de  AnUvírus  CerUficado  digital  AutenUcação  segura  Controle  de  Acesso  Backup  e  outros  

Gestão  de  Riscos  -­‐  Matriz  

Impacto  

Probabilida  de  Ocorrência  

Baixa   Alta  

Baixo   Saber  da  existência.   Controlar  /  Monitorar.  

Alto   GaranUr  que  exista  um  plano  de  conUngência.  

FOCO  –  Previnir  usando  gestão  de  riscos,  corrigir.  

Os  Erros  mais  comuns  

1-­‐  Armazenar  dados  de  clientes  e  cartão  de  crédito  em  claro.    

 Recomendação:      Armazenar  dados  de  clientes  criptografados.    Não  armazenar  dados  de  cartão  de  crédito  de  clientes  (uUlizar  

gateways).      2-­‐  Não  avaliar  recorrentemente  a  segurança  da  aplicação.    

 Recomendação:    Realizar  análise  automaUzada  /  Testes  de  invasão  de  

vulnerabilidades  sob  a  óUca  do  usuário.      

Os  Erros  mais  comuns  

3-­‐  Não  ter  criptografia  em  páginas  críUcas  e  selo  de  credibilidade.    

 Recomendação:      Implantar  criptografia  forte  em  páginas  críUcas.    Implantar  métodos  de  troca  de  chaves  seguros.      Ter  selo  de  credibilidade  em  todas  as  URLs.  

 4-­‐  Não  uUlizar  autenUcação  forte  para  usuários  do  sistema.    

 Recomendação:    GaranUr  que  o  usuário  é  o  autorizado  para  transação.    Restringir  e  implantar  autenUcação  de  2  fatores  admins.  

   

Os  Erros  mais  comuns  

5-­‐  Não  estar  protegido  contra  ataques  de  Negação  de  Serviços  (Dos  e  DDos).    

 Recomendação:      Implantar  mecanismo  de  proteção  de  ataques  de  DDos  no  DNS  e  

Portal  (Interface).    6-­‐  Não  uUlizar  Web  applicaUon  Firewalls,  Firewalls,  Proxies  e  IPSs.    

 Recomendação:    Implantar  mecanismos  externos  de  proteção  de  aplicação  –  WAF.    Implantar  mecanismos  de  proteção  de  perímetros.  

   

Os  Erros  mais  comuns  

7-­‐  Usar  soPwares  desatualizados.      

 Recomendação:      Implantar  mecanismo  de  verificação  de  versão  de  soPware.    Atualizar  periodicamente  os  soPwares/plataformas.  

 8-­‐  Não  ter  um  controle  de  disponibilidade  /  plano  de  conUnuidade  /  backup.    

 Recomendação:    Implantar  monitoração  de  performance  e  roUnas  de  conUngência  

dos  serviços  críUcos.    Preservar  backups  atualizados  e  testes  regulares.  

   

Os  Erros  mais  comuns  

9-­‐  Arquitetura  Segregada  e  proteção  de  dados.    

 Recomendação:      Implantar  segregação  de  ambientes  como:  Proxy  ou  WAF  de  

entrada,  banco  de  dados  apenas  para  leitura  de  dados,  banco  de  dados  restrito  para  escrita.  

 Implantar  soPware  de  controle  de  vírus,  navegação  e  malware  para  colaboradores  do  portal  (funcionários).    

10  –  Não  analisar  logs  da  aplicação,  banco  de  dados  e  perímetros.    

 Recomendação:    Analisar  diariamente  logs  dos  servidores  Web,  aplicação  e  banco.    Analisar  mecanismos  de  defesa  no  mínimo  diariamente.  

   

Obrigado! o 

Gustavo Souza

gustavo@siteblindado.com.br (11) 3165-4000