© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Falhas Persistentes10 anos depois elas continuam sendo exploradasHP Security Day | São Paulo, 20 de março de 2014

Eduardo Vianna de Camargo Neves, CISSP

Fortify Sales Specialist, Southern Latin America

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.2

O NVD registra 60.000 diferentes vulnerabilidades que afetam mais de 20.000 produtos.

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.3

Cenário da Segurança de Software

Software Security

56% Exposição de informações do Sistema

Falhas no tratamento de erros31%

Mobile Application Security

52% Vulnerabilidades em Client-Side

Permissões desnecessárias74%

84% dos ataques bem sucedidos ocorrem na camada de software

Vulnerabilidades

Fontes: Gartner, HP Cyber Risk Report 2012 e HP Cyber Risk Report 2013

80%das aplicações testadas estão vulneráveis a ataques

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.4

Cenário da Segurança de Software

Fonte: HP Ponemon Cost of Cyber Crime 2013

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

per.sis.ten.te

adj. m+f.

1. que não desiste facilmente

2. que dura, não acaba

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.6

Falhas Persistentes podem ser parte de uma Advanced Persistent Threat (APT)

Definição do AlvoPesquisa para

AtaqueInvasão do

SistemaEscalonamento

de PrivilégiosFurto de Dados

Manutenção da APT

• Mapeamento do Sistema• Identificação de Vulnerabilidades• Definição do Tipo de Ataque

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.7

Características comuns das Falhas Persistentes

• Antigas

• Muito conhecidas

• Simples resolução

• Extremamente perigosas

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.8

Distribuição de vulnerabilidades reportadas ao OSVDB em 2012

Cross-site scripting: 1990

SQL Injection: 1995

Cross-site request forgery: 2001

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.9

Falhas Persistentes no OWASP Top 10

Falha Persistente 2004 2007 2010 2013

Cross-site scripting (1990) 4º Posição 1º Posição 2º Posição 3º Posição

Injection (1995) 6º Posição 2º Posição 1º Posição 1º Posição

Cross-site request forgery (2001) NA 5º Posição 5º Posição 8º Posição

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.10

Como as vulnerabilidades são analisadas?

Threat Agents

Attack Vectors

Attack

Attack

Security Weakness

Weakness

Weakness

Weakness

Security Controls

Control

Control

Technical Impacts

Asset

Asset

Business Impacts

Impact

Impact

Attack

Weakness

Control

Function

Impact

Fonte: OWASP Top 10 2013

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.11

Classificação de Risco pela OWASP Risk Rating Methodology

Attack Vector Weakness Prevalence

Weakness Detectability

Technical Impact

Easy Widespread Easy Severe

Average Common Average Moderate

Difficult Uncommon Dificult Minor

Fonte: OWASP Risk Rating Methodology

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.12

Classificação de Risco das Falhas Persistentes

Falha Attack Vector Weakness Prevalence

Weakness Detectability

TechnicalImpact

Cross-sitescripting

Average Very Widespread

Easy Moderate

Injection Easy Common Average Severe

Cross-site request forgery

Average Widespread Easy Moderate

Fonte: OWASP Top 10 2013

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.13

Basta que uma única vulnerabilidade seja explorada.

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

The Italian Job The Slavic Job

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

130 milhões de números de cartões de crédito e débito comprometidos.

Perdas estimadas em mais de US$ 92 milhões pelos executivos das empresas afetadas.

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.17© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Como podemos encerrar esta persistência?

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.18

Por que as falhas persistentes .... persistem?

0.40

Design Build Test Deploy

1.752.25

Definição da Arquitetura

Construção do Software

Escopodos Testes

Integraçãodo Sistema

Fonte: Jones, Casper. “Software Defect Origins and Removal Methods”. Dezembro de 2012

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.19

Software Security Assurance

Análises Estáticas de Segurança

Análises Dinâmicas de Segurança

Design Build Test Deploy

Movimentação adequada

Capacitação ContínuaCritérios realistas

Governança do Processo

Desenvolvimento Seguro

Monitoramento e Proteção da Aplicação

Design adequado

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.20

Software Security Assurance com HP Fortify

HP Fortify SCA HP WebInspect

Design Build Test Deploy

HP Fortify RTA

HP ApplicationView

HP Fortify Software Security Center

HP Fortify on Demand

HP FortifyIDE Plug-Ins

Training Sessions

Professional Services

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.21

Nossa visão para a segurança de software

Find

Identificação de Vulnerabilidades

Fortify

Proteçãodo Software

Fix

Software Security Assurance

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.22© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Não é um Sprint. É uma maratona. Prepare-se.

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Obrigado.

Eduardo Vianna de Camargo Neves, CISSP

Fortify Sales Specialist, Southern Latin America