estabelecendo um modelo efetivo para a segurança de software
TRANSCRIPT
Estabelecendo um modelo efetivo para a Segurança de SoftwareEduardo Vianna de Camargo Neves, CISSP, CISM Regional Product Marketing Manager, LAC Region
A profissionalizaçãodo Crime Digital
2007: Operation Get Rich or Die Tryin’
Ao longo de 2007, uma fraude coordenada por um grupo de hackers de alto nível, trabalhou na captura e venda de dados privados armazenados nos sistemas de grandes empresas nos EUA.• Captura estimada de 45 milhões de números
de cartões de crédito e débito• Análise posterior identificou a captura de 180
milhões de números de cartões de crédito e débito, e dados pessoais dos clientes
Pesquisa
Infiltração
Descoberta
Captura
Exfiltração
Venda
Acesso por redes wireless
1
Autenticação válida
2
Acesso a dados históricos
3
Instalação de malware
4
Download de dados ativos
5
Venda no mercado negro
6
2016: Ataques digitais contra o Banco Central de Bangladesh e Standard Bank
Em abril, uma contaminação por malware nos sistemas do Banco Central de Bangladesh resultou na transferência de U$ 81 milhões para contas de terceiros através da rede SWIFT1.
Em maio, um ataque coordenado permitiu o saque simultâneo de U$ 12,7 milhões em contas autênticas por mais de 1400 ATMs distribuídos pelo Japão ao longo de duas horas2.
1
23
4
(1) Corkery, Michael. Hackers’ $81 Million Sneak Attack on World Banking.The New York Times. 30/04/16. (2) Lumb, David. ATM Hacking Spree Nets Thieves $12.7 Million in Two Hours. Engadget. 23/05/16.
1
2
O Crime Digital movimenta sua própria economia, com impactos estimados em até U$ 445 milhões ao ano1
Como em qualquer negócio, o Crime Digital procura oportunidades que resultem na melhor relação custo-benefício com riscos controlados e aceitáveis:
• Especialização por segmento, geografia e idioma.
• Funções específicas nas organizações criminosas, com especialistas dedicados por disciplina.
• Variação dos valores de compra e venda em perfeito alinhamento com a relação de oferta e procura.
(1) Storm, Darlene. $445 Billion: Bloated BS or the True Cost of Cybercrime? Computerworld. 09/06/14.
Nossos negócios se sobrepõe de tantas maneiras, que podemos enxergar os criminosos como concorrentes
Conhecimento técnico avançado com especialização em produtos e serviços
Conhecimento técnico variado
Conhecimento técnico variado
Pouco ou nenhum conhecimento técnico
Gestores
Especialistas
Intermediários e Vendedores
Script-kiddies e Mulas
Membros
• Pesquisadores de segurança• Desenvolvedores de ferramentas• Desenvolvedores de malware• Coleta de credenciais e informações• Vulnerabilidades Zero Day• Exploração de novas tecnologias
• Operadores de ferramentas• Mulas para suporte ao crime• Compradores• Observadores
• Provedores de serviços especializados• Serviços de avalista• Verificação de antecedentes• Serviços de terceiro depositário• Recrutamento• Lavagem de dinheiro
Por que nossas defesas digitais não funcionam como esperado?
Nossas fragilidades são conhecidas e estão sendo muito bem exploradas1
(1) HPE Cyber Risk Report 2016
80%Software Open Source com
vulnerabilidades identificadas
+153%Crescimento anual deVulnerabilidades em
Android OS
+14%Aumento no uso de
componentes Open Source
75%Aplicações móveis
vulneráveis
8/10Vulnerabilidades exploradas
com 3 anos ou mais
100KTrojan Horses
Bancários detectados
Nossas defesas não são utilizadas de maneira efetiva1, 2
(1)HPE Cyber Risk Report 2016(2)Tecnologias e práticas de segurança mais eficazes, UBM, HPE Security, Maio de 2016(3)Gartner Maverick Research: Stop Protecting Your Apps; It’s Time for Apps to Protect Themselves (2014)
Patch Management• 60% contam com processos
estabelecidos.
• 20% consideram que isso dificulta o trabalho dos adversários.
• 44% dos incidentes aproveitam falhas de segurança conhecidas.
• 29% dos exploits descobertos usam um vetor de infecção do Stuxnet, que já foi corrigido duas vezes.
Segurança em Software• 84% dos incidentes de segurança
exploram vulnerabilidades em software como porta de entrada.3
• 100% das dez vulnerabilidades mais comuns em aplicações web podem ser exploradas através de ferramentas automatizadas
• 35% do software testado apresentava, ao menos, uma vulnerabilidade crítica.
Investimentos em Segurança• 23-1 é a diferença média entre
os investimentos em segurança perimetral e de software.3
• Os investimentos em segurança de borda e rede de dados superam em até cinco vezes os direcionados para segurança de software.
Estabelecendo um modeloefetivo para Segurança de Software
A construção, entrega e consumo do software são processos cada vez mais complexos e distribuídos
2010 2015 2020
4 releases por aplicação ao ano
36 releases por aplicação ao ano
120 releases por aplicação ao ano
Estabelecer um modelo de segurança neste cenário é um desafio que cresce diariamente
CloudNovos
ReleasesRequisições do
Negócio
Software em Produção
Segurança de Software
Sistemas Legados
Ambiente Interno
Novas aquisições
Sistemas Fantasmas
Web
Móvel
Web
API
O modelo reativo é ineficiente e tem um custo inaceitável
Software inseguro é colocado em
produção
A falha de segurança é explorada
As correções são realizadas com um
custo adicional
Software inseguro é desenvolvido
13
7
15
30
0
5
10
15
20
25
30
35
Requerimentos Design Desenvolvimento Testes Produção
Custo de Correção do Software por Fase do SDLC1
(1)The Economic Impacts of Inadequate Infrastructure for Software Testing. NIST.
Runtime Application Self-ProtectionMonitoramento e proteção do software em ambiente de produção
Software Security AssuranceInserir testes e correções da segurança de software como parte comum do SDLC
Um modelo efetivo para segurança de software deve ser sistemático, proativo e integrado ao SDLC
Software Security AssessmentTestes de segurança para identificar vulnerabilidades em software e prover informações para a correção
Métricas de DesempenhoVulnerabilidades por aplicação: 100s para 10sTempo médio para correção de uma vulnerabilidade: 1-2 semanas para 1-2 horasPercentual de vulnerabilidades repetidas: 80% para 0%Esforço para compliance e testes de invasão: Redução média no custo de 50%Atrasos na entrega dos produtos finais: 4 incidentes anuais para nenhum
Implementando o Modelo
Uma abordagem bem sucedida para a Segurança de Software é composta por quatro elementos complementares que interagem continuamente
Design Build Test Deploy
Modelo Tradicional• A estrutura de segurança é
criada após a conclusão do processo
• O código-fonte é desenvolvido com foco na usabilidade e desempenho
• Testes de invasão são empregados como análises de segurança de software
• Aplicação vulnerável é movida para o Ambiente de Produção
Modelo Seguro• Adequação racional da
segurança no ciclo de desenvolvimento de software
• Inclusão das práticas de segurança no processo de desenvolvimento
• Testes de segurança amplos e adaptáveis para diversas plataformas
• Proteção adequada sem impactar o modelo adotado
Conclusões
O sucesso de um modelo para segurança de software está na composição de uma solução adaptável a qualquer ambiente que proveja testes de segurança amplos e medidas corretivas efetivas, garantindo que os riscos são gerenciados de forma adequada e a relação custo/benefício mantida dentro das expectativas das áreas envolvidas. Software Security Assessment• Identificação efetiva de vulnerabilidades com ampla cobertura
• Correlacionamento das causas
• Geração e compartilhamento de conhecimentoSoftware Security Assurance• Integração com o modelo existente e instrumentos utilizados
• Correção on the go com atividades por competência
• Redução de custosRuntime Application Self-Protection• Proteção para aplicações vulneráveis
• Continuidade do processo de homologação