os 10 erros mais comuns de segurança na operação de um ecommerce
DESCRIPTION
Wibinar E-commerce Brasil.Este webinar tem o objetivo de compartilhar os principais pontos de segurança que um ecommerce deve considerar no momento do startup e na operação continuada do negócio na Internet.TRANSCRIPT
Os 10 erros mais comuns de segurança na operação de um ecommerce
Gustavo F. de Souza Diretor
O Histórico do Ecommerce
1979: Criação do primeiro shopping Online; 1984: Eletronic Mall foi criado pela CompuServe; 1994: O primeiro banco online foi inaugurado; 1995: Lançamento da Amazon.com; 2000: Bolha .com; 2011: O Ecommerce no Brasil movimentou mais de R$18 Bilhões de reais. Nos EUA passou de US$197 Bilhões.
Dados relacionados a Segurança no Ecommerce – SiteBlindado
51%
25%
16%
8%
Problemas na 1a. Certificação de Segurança
Falhas Segurança AplicaçãoSem SSL
Problemas de DNS
Infectados Malware
Problemas de Segurança mais comuns SoPware desatualizados; Vulnerabilidade de Cross Script InjecUon; Serviços Desnecessários disponíveis; SQL InjecUon; Página de administração disponível para qualquer pessoa acessar; Página de login sem criptografia.
En;dades relacionadas ao ecommerce
Hacker
Webite B2C
Software Ecommerce
Usuários
Usuário: Comprador Website B2C: Vendedor; Hacker: enUdade que tenta explorar fragilidades no sistema; SoPware Ecommerce: Plataforma ou soPware desenvolvido para negócios online.
Vetores de ataques ao ecommerce
Hacker
Website B2C
Software Ecommerce
Usuários
Ataque Phishing Malware para estação
Interceptação dos dados da transação Website - Usuário
Ataque de Aplicação Problemas conhecidos DDoS
Malwares Programas Infectados
Conceito do que Proteger
1-‐ Banco de dados
2-‐ Aplicação
3-‐ Interface para o cliente
4-‐ Firewalls, Proxies, IPSs, WAF, DNSs
Gestão de Riscos – Conceito Clássico 1-‐ Confidencialidade 2-‐ Integridade 3-‐ Disponibilidade 4-‐ IdenUficação / AutenUcação / Autorização 5-‐ Auditoria e rastreabilidade 6-‐Não Repúdio
Gestão de Riscos – Domínio de Infra estrutura Protação isica dos aUvos Gerenciamento de Rede Controle de conteúdo de email Segurança de Rede Criptografia Firewalls ICP Gerenciamento de Incidentes SoPware de AnUvírus CerUficado digital AutenUcação segura Controle de Acesso Backup e outros
Gestão de Riscos -‐ Matriz
Impacto
Probabilida de Ocorrência
Baixa Alta
Baixo Saber da existência. Controlar / Monitorar.
Alto GaranUr que exista um plano de conUngência.
FOCO – Previnir usando gestão de riscos, corrigir.
Os Erros mais comuns
1-‐ Armazenar dados de clientes e cartão de crédito em claro.
Recomendação: Armazenar dados de clientes criptografados. Não armazenar dados de cartão de crédito de clientes (uUlizar
gateways). 2-‐ Não avaliar recorrentemente a segurança da aplicação.
Recomendação: Realizar análise automaUzada / Testes de invasão de
vulnerabilidades sob a óUca do usuário.
Os Erros mais comuns
3-‐ Não ter criptografia em páginas críUcas e selo de credibilidade.
Recomendação: Implantar criptografia forte em páginas críUcas. Implantar métodos de troca de chaves seguros. Ter selo de credibilidade em todas as URLs.
4-‐ Não uUlizar autenUcação forte para usuários do sistema.
Recomendação: GaranUr que o usuário é o autorizado para transação. Restringir e implantar autenUcação de 2 fatores admins.
Os Erros mais comuns
5-‐ Não estar protegido contra ataques de Negação de Serviços (Dos e DDos).
Recomendação: Implantar mecanismo de proteção de ataques de DDos no DNS e
Portal (Interface). 6-‐ Não uUlizar Web applicaUon Firewalls, Firewalls, Proxies e IPSs.
Recomendação: Implantar mecanismos externos de proteção de aplicação – WAF. Implantar mecanismos de proteção de perímetros.
Os Erros mais comuns
7-‐ Usar soPwares desatualizados.
Recomendação: Implantar mecanismo de verificação de versão de soPware. Atualizar periodicamente os soPwares/plataformas.
8-‐ Não ter um controle de disponibilidade / plano de conUnuidade / backup.
Recomendação: Implantar monitoração de performance e roUnas de conUngência
dos serviços críUcos. Preservar backups atualizados e testes regulares.
Os Erros mais comuns
9-‐ Arquitetura Segregada e proteção de dados.
Recomendação: Implantar segregação de ambientes como: Proxy ou WAF de
entrada, banco de dados apenas para leitura de dados, banco de dados restrito para escrita.
Implantar soPware de controle de vírus, navegação e malware para colaboradores do portal (funcionários).
10 – Não analisar logs da aplicação, banco de dados e perímetros.
Recomendação: Analisar diariamente logs dos servidores Web, aplicação e banco. Analisar mecanismos de defesa no mínimo diariamente.