10 problemas seguranca_ecommerce
DESCRIPTION
Webnar realizado pelo Diretor de Operações da Site Blindado Gustavo SouzaTRANSCRIPT
Os 10 erros mais comuns de segurança na operação de um ecommerce
Gustavo F. de SouzaDiretor
O Histórico do Ecommerce
1979: Criação do primeiro shopping Online;
1984: Eletronic Mall foi criado pela CompuServe;
1994: O primeiro banco online foi inaugurado;1995: Lançamento da Amazon.com;
2000: Bolha .com;
2011: O Ecommerce no Brasil movimentou mais de R$18 Bilhões de reais. Nos EUA passou de US$197 Bilhões.
Dados relacionados a Segurança no Ecommerce – SiteBlindado
51%
25%
16%
8%
Problemas na 1a. Certificação de Segurança
Falhas Segurança Aplicação
Sem SSL
Problemas de DNS
Infectados Malware
Problemas de Segurança mais comunsSoftware desatualizados;
Vulnerabilidade de Cross Script Injection;
Serviços Desnecessários disponíveis;
SQL Injection;
Página de administração disponível para qualquer pessoa acessar;
Página de login sem criptografia.
Entidades relacionadas ao ecommerce
Hacker
Webite B2C
SoftwareEcommerce
Usuários
Usuário: Comprador
Website B2C: Vendedor;
Hacker: entidade que tenta explorar fragilidades no sistema;
Software Ecommerce: Plataforma ou software desenvolvido para negócios online.
Vetores de ataques ao ecommerce
Hacker
Website B2C
SoftwareEcommerce
Usuários
Ataque PhishingMalware para estação
Interceptação dos dados da transação Website - Usuário
Ataque de AplicaçãoProblemas conhecidosDDoS
MalwaresProgramas Infectados
Conceito do que Proteger
Gestão de Riscos - Matriz
Os Erros mais comuns
1- Armazenar dados de clientes e cartão de crédito em claro.
Recomendação: Armazenar dados de clientes criptografados.Não armazenar dados de cartão de crédito de clientes (utilizar
gateways).
2- Não avaliar recorrentemente a segurança da aplicação.
Recomendação:Realizar análise automatizada / Testes de invasão de
vulnerabilidades sob a ótica do usuário.
Os Erros mais comuns
3- Não ter criptografia em páginas críticas e selo de credibilidade.
Recomendação: Implantar criptografia forte em páginas críticas.Implantar métodos de troca de chaves seguros. Ter selo de credibilidade em todas as URLs.
4- Não utilizar autenticação forte para usuários do sistema.
Recomendação:Garantir que o usuário é o autorizado para transação.Restringir e implantar autenticação de 2 fatores admins.
Os Erros mais comuns
5- Não estar protegido contra ataques de Negação de Serviços (Dos e DDos).
Recomendação: Implantar mecanismo de proteção de ataques de DDos no DNS e
Portal (Interface).
6- Não utilizar Web application Firewalls, Firewalls, Proxies e IPSs.
Recomendação:Implantar mecanismos externos de proteção de aplicação – WAF.Implantar mecanismos de proteção de perímetros.
Os Erros mais comuns
7- Usar softwares desatualizados.
Recomendação: Implantar mecanismo de verificação de versão de software.Atualizar periodicamente os softwares/plataformas.
8- Não ter um controle de disponibilidade / plano de continuidade / backup.
Recomendação:Implantar monitoração de performance e rotinas de contingência
dos serviços críticos.Preservar backups atualizados e testes regulares.
Os Erros mais comuns
9- Arquitetura Segregada e proteção de dados.
Recomendação: Implantar segregação de ambientes como: Proxy ou WAF de
entrada, banco de dados apenas para leitura de dados, banco de dados restrito para escrita.
Implantar software de controle de vírus, navegação e malware para colaboradores do portal (funcionários).
10 – Não analisar logs da aplicação, banco de dados e perímetros.
Recomendação:Analisar diariamente logs dos servidores Web, aplicação e banco.Analisar mecanismos de defesa no mínimo diariamente.
