Seguran

1
Segurança Corporativa em Projetos de E-Commerce
Leonardo Scudere Presidente - ISS Mercosul
lscudere_at_iss.net Agosto, 1.999
2
Maiores Projetos de IT 1.999 - 2.001
E-Business/Internet Security Year 2000 Desktop
Op. Syst. Intranet NT Migration Help Desk Data
Warehousing IT Asset Mgt. Enterprise Appl.
Sol. Integrated Messaging Extranet Electronic
Commerce Collaborative computing Call
Center Knowledge Mgt. Supply Chain
Mgt. EMU Server Op. Syst.
Fonte Gartner Group, Julho.99 - Lista das
Empresas Fortune 500
3
E-Commerce Modelo Empresa x Empresa

• Apesar das compras on-line pelo consumidor final
  ter o maior espaço de mídia hoje, os analistas
  prevêem que o grande volume financeiro do
  e-commerce será no modelo empresa - empresa. O
  Forrester Research estima que em 2.003, as
  compras on-line serão de US 108 bilhões de
  dólares enquanto as transações entre empresas
  atingirão o número de US 1,3 bilhões de dólares.

4
Investimentos em E-Business

• Os investimentos das Empresas em tecnologias Web
  continuarão a crescer tanto nos EUA quanto em
  todo o mundo. O IDC acaba de realizar uma
  pesquisa que mostra que serão investidos US 174
  bilhões de dólares em 1.999 por empresas
  americanas, sendo superado por US 305 bilhões do
  resto do mundo. Em 2.003 as Empresas irão
  investir US 2.2 trilhões de dólares em
  tecnologias e infra-estrutura Web mundialmente.

5
Alguns dos vários Dilemas ...

• Proteger aquilo que você precisa compartilhar
• Implementar controles rígidos que sejam
  transparentes e simples para o usuário final
• Nível de complexidade operacional exigido aumenta
  muito
• Redução de custos
• Lidar com rápidas e freqüentes mudanças nas
  tecnologias da infra-estrutura de comunicação
• Estar atualizado com todas as novas tecnologias
  de segurança que surgem

6
Objetivos de Segurança Corporativa
7
Necessidades do e-Business
Expand Markets
Fundamental e-Business Drivers
Improve Efficiencies
Retain Customers
8
Você será o próximo ? Quando ? Como ?
9
Os 20 maiores setores que irão mudar

• Viagens . Mercado de Varejo U 126
  bilhões . Vendas em E-Commerce U 2.1 bilhões
  1.999 . Previsão para 2003 U 29.6 bilhões.
  Em 2.002, as companhias áreas irão
  realizar 62 de todo o movimento de vendas
  pela Web on-line booking -
  (Business 2.0, March, 99)
• Cadeia de Distribuição . Mercado Atual U
  15 bilhões . Vendas em E-Commerce Menos de
  5 . Previsão para 2.003 U 7.5 bilhões,
  através dos novos integrantes chamados de
  Infomediaries - (Business 2.0, March, 99)

10
Os 20 maiores setores que irão mudar

• Seguros . Mercado de Varejo U 670
  bilhões nos EUA . Previsão para 2.003 U 4.1
  bilhões on-line insurance - (Business 2.0
  - March.99)
• Automobilístico . Retail Market 508
  bilhões . E-Commerce share 19 bilhões .
  Forecast share (2003) 136 bilhões 10,000 of
  the 23,000 car dealerships will close in the
  next decade - (Business 2.0 - March.99)
• Lazer Internet via Cabo - 250 de cresc. ate
  2.003 . Brasil Atual 21.811 quilômetros de
  cabos cobrindo 4.478 domicílios e 925 mil
  assinantes - Classes A e B (70 com PC em
  casa). Penetração (99) de 21

11
Os 20 maiores setores que irão mudar

• i-banking . Irá triplicar nos EUA em 5
  anos, de 7,0 milhões de usuários (99) para
  24,2 em 2.004. Deste grupo 57 pagarão suas
  contas pela Web. Acesso continuo 86
  principal razão dos usuários - (Gartner -
  Ago.99)
• i-publicity . U 33 bilhões em 2.004 com
  crescimento de 51 próximos 5 anos. EUA cresce
  de U 2,8 (99) para 22,0 bilhões (2.004).
  Fora dos EUA U 502 (99) para 10,8 bilhões
  (2.004). América Latina US 1,6 bilhões -
  (Forrester Research, Ago.99)

12
eBusiness na América Latina

• Brasil liderança vendas on-line (99) de U 403.7
  milhões, México U 27.5 e Argentina U 9.2.
• 33 dos brasileiros on-line são das classes A e
  B, México 12 e Argentina 14
• U 8 bilhões em negócios em 2.003. U 6.3 bilhões
  no modelo empresa a empresa e U 1.7 bilhões
  empresa para consumidor final. O Brasil terá
  cerca de 40 deste volume
• O número de PCs será de 12 milhões em 2.001
• 1.5 milhão de brasileiros executam transações via
  sistemas de Internet Banking
• Telefonia fixa atingirá no Brasil 20.1 em 2.003

13
eBusiness no Brasil - Efeitos Inicias

• 15 de índice de lojas vagas em Shoppings, três
  (03) vezes superior a média histórica
• 30 nos shoppings novos e menores
• 860 de lojas fechadas em São Paulo e 615 no
  interior do estado nos últimos 90 dias
• 292 em Brasília
• 15 de índice de inadimplência dos lojistas
• 30 de queda nos preços de ocupação
• 18 do movimento de todo o varejo em 98
• Falência das redes Mappin, Mesbla, Arapuá, Lojas
  Brasileiras, Lojas Americanas

14
A Realidade dos Negócios

• Objetivos de negócios exigem que aplicações
  corporativas
• operem em diversos tipos de sistemas e ambientes
• utilizem tecnologias Internet
• tendam interoperabilidade
• sejam interconectadas
• evoluam rapidamente
• sejam re-utilizáveis
• tornem-se directory-enabled

• Resultados
• Dados e sistemas estarão cada vez mais sujeitos a
  riscos de serem . roubados .
  Vandalismo . mau uso intencional

15
Os Riscos aos Negócios estão crescendo
Fabricação
Vendas Marketing
RD
Os Alvos dos Invasores
OPERAÇÕES VENDAS
Administração
Distribuição
Planejamento
REDE SUPORTE AOS PROCESSOS
Os Pontos de Suporte aos Invasores
SISTEMAS PESSOAL
COMPONENTES SOFTWARE
16
Exemplo dos Riscos aos Negócios
Bancos e Instituições Financeiras
17
As várias possibilidades de ataque
Etapa 1 Hacking na sessão aberta do cliente.
Afeta a privacidade e legalidade
da relação Perda de Receita para a
Instituição Step 2 Captura do processamento da
solicitação (geração de documentos
falsos). Fraudes e Ameaças a nível do
cliente Step 3a Captura do processamento do
empréstimo (falsificação das
aprovações internas). Fraudes e Ameaças a nível
da instituição Step 3b Captura dos dados de
solicitação do empréstimo. Negativa
prematura da solicitação Perda de Receita a
Instituição Step 4a Captura do processamento do
empréstimo (cliente tem o pedido
negado) Impacto em futuros negócios e perda de
receita Step 5 Base de dados capturada ou
corrompida (dados do cliente) Step 6 Base de
dados capturada (conclusão prematura do pagamento
do empréstimo) Perda de Receita
a Instituição
18
Outras Conseqüências ?

• Exposição para questões legais e passivos .
  Queda drástica de confiabilidade
• Perda imediata de valor de mercado e reação
  imediata dos acionistas a exposição pública . 30
  segundos mais caros da história . TV, Mídia em
  geral e competidores
• Decréscimo de auto-estima pelos funcionários e
  desgaste junto a cadeia de relacionamentos
• Perda de propriedade intelectual e ativos
  financeiros
• Uso ineficiente dos recursos

19
A partir de uma perspectiva de Ataque
Step 3. Invasor explora a vulnerabilidade do
NetBus e passa a controlar o Terminal do Gerente
de Empréstimos
Step 2. Invasor obtém as senhas dos arquivos e
agora controla a rede e as aplicações
NT
UNIX
Web Server
NT
UNIX
UNIX
Firewall
Router
Network
E-Mail
Clients Workstations
Server
Step 1. Invasor explora a fragilidade no IMAP
para passar pelo Firewall
20
As Ameaças estão Aumentando
Fonte 1998 Computer Security Institute/ FBI
Computer Crime and Security Survey
21
Segurança Corporativa das Redes

• O hacker senta a dois cubículos do seu ? Nova
  pesquisa da PricewaterhouseCoopers e Information
  Week descobriu que em 73 das empresas que
  sofreram ataques em 98, os empregados com
  autorização foram responsáveis por 58 das
  invasões.

22
Segurança Corporativa das Redes

• O analista da Forraste Ted Julian explica o custo
  total dos ataques, onde os demais fatores
  derivados do ataque elevam em ate 100 vezes a
  perda inicial em ativos financeiros

23
Segurança Corporativa das Redes

• Pesquisa do Instituto de Segurança de
  Computadores e do FBI estima que o custo do cyber
  crime subiu para U 136 milhões em 98,
  considerando que apenas 15 dos ataques são
  reportados

24
Segurança Corporativa das Redes

• Qual sua melhor defesa ? Conscientização dos
  riscos. Um ambiente seguro começa com uma
  política sólida, diz Chris Christiansen, diretor
  dos serviços de segurança do IDC. Documentação da
  forma correta de acesso, fluxo de tráfego e
  manutenção de senhas irão tornar sua rede um alvo
  menos atrativo.

25
Primeiros casos públicos no Brasil

• Folha de São Paulo, 05 Agosto 1999
• Blumenau, SC R 1.5 milhões de recursos foram
  transferidos para várias contas temporárias
  háspedes, a partir dos clientes ativos numa perda
  média de R 6.500 to 7.500 por conta
• 5 grandes Bancos envolvidos
• Os recursos foram transferidos para 4 agências
  bancárias em 4 diferentes Estados
• Policia Civil de Blumenau demonstrou duas (2)
  principais fontes dos crackers dados pessoais
  das contas disponíveis no lixo e empregados
  internos coniventes/envolvidos com o grupo

26
Primeiros casos públicos no Brasil

• Jornal da Tarde, Estado de SP e Folha de SP,
  08-09 Setembro 1.999
• 03 Distritos Policiais de SP . 43 casos de
  estelionato eletrônico
• Clientes de Internet Banking Ausência súbita dos
  recursos pelos clientes. Desconhecimento dos
  fatos por parte das instituições financeiras
• Transferências em valores médios de R 25k para
  contas novas em estados distantes como
  Amazonas, Goiás, Maranhão e Ceara retirada
  final dos recursos
• Grandes dificuldades legais para investigações
  fatores tempo tecnologia a favor dos crackers

27
Associacao dos Bancos Americanos

• Infra-estrutura de segurança comum Objetivo
  Criação um sistema imune a ataques
• Participação das 100 maiores instituições
  financeiras americanas
• Avaliação ativa on-line 24x7 dos riscos de
  segurança de informação, exposição e ameaça
• Produção das políticas e normas de segurança da
  ABA para I-banking e comercio eletrônico
• Geração de confiança do publico nos sistemas
• Participação direta da Casa Branca Americana

28
Projeções Mundiais de Mercado
29
Mercado Softwares de Segurança IDC,99

• 1.998 U 3,2 bilhões (43 de crescimento sobre
  1.997)
• 1,999 U 4,4 bilhões (39 de crescimento sobre
  1.998)
• 2,003 U 8,3 bilhões. (Fonte IDC, Ago. 99)
• Pesquisa FBI (520 Top companies, 1,998) . 170
  companhias Ataques Internos, (32,70) . 345
  companhias Ataques Externos, (66,67)
• Em 1.998 foram reportados U 100 milhões em
  prejuízos
• Apenas 15 das empresas americanas reportam
  ataques e/ou incidentes de segurança

30
Mercados de Seguranca para ISS

• Intrusion Detection Market . 1.998 U 136
  milhões . 1,999 U 262 milhões .
  2,003 U 980 milhões.
• Security Decision Support . 2,000 U 350
  milhões . 2,003 U 1,25 bilhões.
• Manage Services Market . 1,999 U 250
  milhões . 2,003 U 1,30 bilhão.
  (Fonte IDC, Ago. 99)

31
Liderança Mundial da ISS - IDC, 99

• ISS é a companhia que mais cresce em segurança
• 48 do Network-based Vulnerability Assessment
  Market, que o dobro do competidor mais próximo
• 52 do Network-based Intrusion Detection
  Solutions mais que o dobro do competidor mais
  próximo
• 43 do mercado mundial - softwares de segurança
• Líder destacada no mercado emergente de Security
  Decision-Support Solutions
• 167 de taxa de crescimento anualizada com 16
  quarters seguidos de recordes de performance
• 39 do mercado Europeu de Detecção de Invasores

32
Intenção de compra de tecnologia de segurança nos
próximos 12 meses
33
Métodos de Ataque

• Denial of Service
• syn flood, ping of death, teardrop, etc.
• Unauthorized Access
• BackOrifice, Netbus, DNS Overflow, Crack
• Pre-attack Probes
• Port Scan, SATAN
• Suspicious Activity
• IP Unknown Protocol
• Protocol Decodes
• NetBIOS Session Request, IRC

34
O que e Vulnerável ?
Aplicações
E-Commerce Web Server
Peoplesoft
SAP
Firewall
Router
E-Mail Server
Web Browsers
35
O que e Vulnerável ?
Bases de Dados
Microsoft SQL Server
Sybase
Oracle
Firewall
Router
36
O que e Vulnerável ?
Sistemas Operacionais
Solaris
Windows NT
HP-UX
Firewall
Router
Network
AIX
Windows 95 NT
37
O que e Vulnerável ?
Redes
Web Server
Servers
Firewall
Router
TCP/IP
Netware
E-Mail Server
38
Segurança da Infra-estrutura Tecnologia para
Aplicações de E-Commerce

• Metodologia de Implementação das Soluções

39
Metodologia da Solução ISS
Levantamentos
Projeto
Implementação
Gerenciamento
Norma BS 7799
A abordagem e baseada no gerenciamento de
segurança das informações através das normas BS
7799
40
ISS domina o Processo

• Metodologia da Solução ISS
• Direcionada a Negócios
• Baseada em Standards
• Baseada em Best-of-Practices
• Recomendações contra Incidentes e Riscos a Empresa

Levantamentos
Projeto
Implementação
Gerenciamento
Processo Baleado na Norma Inglesa BS-7799
41
Ciclo de Implementação
Apresentação/ Demonstração
Levantamentos (British Standard 7799)
Projeto (British Standard 7799)

• Standards de Segurança
• Revisão das Políticas
• Analise de Vulnerabilidade
• Estudos,Testes Penetração

Padrões de Segurança Security Best Practices
Auditoria de Riscos
Integração Gerenciamento do Processo
Segurança
Infra-estrutura Gerenciamento de Riscos de
Segurança
Estudo de Casos e Negócios
Treinamentos e Educação Continua
42
Ciclo de Implementação
Implementação
Definição do Escopo
Apresentação do Projeto
Plano de Implementação
Estratégia de Implementação da Segurança
Gerenciamento - Vulnerabilidade
Gerenciamento - Ameaças
Gerenciamento - Riscos as Informações
43
Ciclo de Implementação
Gerenciamento
Operação Continua
Serviços de Emergência
Auditorias das novas vulnerabilidade
Estudo de Casos associado ao Negócio e Setor
Serviços on-Site
44
Componentes de Segurança

• Controle Acesso
• Autenticação

• Criptografia
• Vírus e Conteúdos

INFRA-ESTRUTURA DE SEGURANCA
45
Componentes de Segurança
46
Infra-Estrutura de Segurança
Autenticação
ID
Johnsmith

Admin
47
Infra-Estrutura de Segurança
memo
85urtiowjeuqp08239574i9476ljbmvnx
8573urtiowjeuqp082
85urtiowjeuqp08239574i9476ljbmvnxkdkbmg
48
Infra-Estrutura de Informática
49
Gerenciamento Riscos de Informações
50
Gerenciamento Vulnerabilidade
IRM
51
Gerenciamento Ameaças
IRM
Manager
EMAIL ALERT/ LOG
Engine
Agent
SECCAO TERMINADA
REGISTRO DA SECCAO
DETECTAR ATAQUE
RECONFIGURAR FIREWALL
DETECCAO DO ATAQUE
REGISTROS DA SECCAO
52
Gerenciamento Riscos de Informações
53
A Equipe de Defesa X-Force

• Conscientização, apoio e defesa
• Equipe dedicada de engenheiros e especialistas em
  segurança digital - X-Force
• Maior base on-line de conhecimento e know-how em
  segurança mundial corporativa
• Atualização dos produtos ISS e criação continua
  de patchs de segurança contra novos ataques
• Defesa contra crimes eletrônicos
• Seviços de Análise Forensics

54
Parceiros Estratégicos da ISS
55
Princípios de Controle de Qualidade - Certificação
56
Resumo Geral

• Segurança é um problema de negócios
• O problema pode ser gerenciado
• A solução depende da agilidade da organização
  para entender, projetar e implementar programas e
  processos contínuos de segurança
• Os processos precisam atender necessidades de
  proteção dos conteúdos e ativos digitais
• As tecnologias de proteção precisam permitir a
  operação eficaz dos ambientes operacionais
• Um programa de segurança necessita ser medido
  continuamente e propiciar análises de retorno de
  investimento (ROI) em relação aos ativos e
  conteúdos envolvidos

57
A Missão da ISS
58
Venha para a ISS !Obrigado !
issbr_at_iss.net Download/Questions/etc
www.iss.net