Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
1
Picturesource:sxc.hu
Segurança em IoT é possível !
Desenvolvimento seguro de dispositivos IoT
Anchises Moraes
@anchisesb...
2
• Internet of Things
• Internet of Threats
• Segurança em IoT
Agenda
3
• “Internet dos Trecos”
• “Internet dos Trem”
IoT ?
Picture source: Wikimedia Commons
4
Fonte: http://www.businessinsider.com/how-the-internet-of-things-market-will-grow-2014-10
Dispositivos conetados na Inte...
5
Cloud e IoT
Fonte: http://www.businessinsider.com/internet-of-things-cloud-computing-2016-10
Coleta Aplicações
6
“Fazemos segurança em IoT
como fazíamos segurança na
Web nos anos 90”
Julio Cesar Fort
@juliocesarfort
Segurança em IoT?
7
Internet of Threats
Fonte:http://www.joyoftech.com/joyoftech/joyarchives/2340.html
8
• Proteger a privacidade dos consumidores e
limitar a exposição de dados pessoais
• Proteger dados empresariais e limita...
9
• Os produtos IoT podem ser implantados em ambientes
inseguros ou fisicamente expostos
• A segurança é nova para muitos ...
10
Picturesource:sxc.hu
COMO PROTEGER O SEU IOT
Dicas de segurança em IoT para usuários finais
11
• Altere as senhas padrão de seus dispositivos
conectados
• Desativar o recurso Universal Plug-and-Play
(UPnP)
• Revisa...
12
Online Scan
http://iotscanner.bullguard.com
13
Picturesource:sxc.hu
COMO FAZER SEGURANÇA EM IOT
Guia para segurança em IoT para desenvolvedores
14
"Future-proofing the
Connected World:
13 Steps to Developing
Secure IoT Products“
07/outubro/2016
https://cloudsecurity...
15
1. Metodologia de desenvolvimento seguro
2. Ambiente seguro de desenvolvimento
3. Recursos de segurança da plataforma
4...
16
1- Metodologia de
desenvolvimento seguro
Picture source: Giphy
• Modelagem de
ameaças
• Requisitos e processos
de Segur...
17
• Avaliar as linguagens de programação
• Ambientes de Desenvolvimento Integrado
– Plugins e ferramentas de teste de seg...
18
• Selecione o Framework de integração
3- Recursos de segurança da
plataforma e do Framework
19
• Avalie as funcionalidades de segurança da
plataforma
3- Recursos de segurança da
plataforma e do Framework (cont.)
20
4- Definir proteções de Privacidade
Picture source: Giphy
• Reduzir a coleta de
dados ao mínimo
necessário
• Suportar a...
21
5- Controles de segurança em
hardware
Picture source: Giphy
• Segurança do
Microcontrolador
• Trusted Platform Modules
...
22
6- Proteger os dados
Picture source: Giphy
• Escolha dos protocolos
de comunicação
– Varredura de redes
– Escuta de trá...
23
7. Proteger aplicativos e serviços
associados
Picture source: Giphy
• Pontos de integração,
apps e serviços
• Privilégi...
24
8- Proteger interfaces e APIs
Picture source: Giphy
• Validação de mensagens
• Tratamento de erros
• Proteção contra at...
25
9- Atualização segura
Picture source: Pinterest
• Updates de firmware e
de software
• Considerar todo o ciclo
de instal...
26
10- Autenticação, Autorização e
Controle de Acesso
Picture source: Giphy
• Comunicação entre
dispositivos
• Autenticaçã...
27
• Interação com PKI
• Provisionamento de
chaves
• Características das
chaves
• Armazenamento seguro
• Validação do cert...
28
12- Fornecer mecanismos de Log
Picture source: Giphy
• Visibilidade das ações que
ocorrem no dispositivo, ex:
– Solicit...
29
• Feedback contínuo
• Testes de Segurança
– Static Application
Security Testing (SAST)
– Dynamic Application
Security T...
30
Metodologia de
desenvolvimento
seguro
Ambiente seguro
de
desenvolvimento
Rrecursos de
segurança da
plataforma
Definir p...
31
Internet of Things Working Group
https://cloudsecurityalliance.org/group/internet-of-things/
“Security Guidance for Ear...
32
Cloud Security Alliance (CSA)
– Associação sem fins lucrativos
– Reúne pessoas físicas e Empresas
– Oficializada em Dez...
33
• Segundo Chapter oficial
da CSA
– Oficializado em 27 de
Maio de 2010
• Segue Missão e
Objetivos da CSA Global
– Promov...
35
Diversas iniciativas de pesquisa
https://cloudsecurityalliance.org/research
36
Dezenas de Papers
https://cloudsecurityalliance.org/research
37
• Certificação “Certificate
of Cloud Security
Knowledge (CCSK)”
– Exame online
• Treinamento
– CCSK training
(Basic / P...
38
• CSA Security, Trust & Assurance Registry
(STAR) Program
– Avaliação da segurança e maturidade dos
provedores de Cloud...
39
• Pessoa Física
– Participação no grupo do LinkedIn
– Participação na lista de discussões dos projetos
(http://br.group...
40
• Cloud Security Alliance
https://www.cloudsecurityalliance.org
http://www.linkedin.com/groups?gid=1864210
@cloudsa
• C...
41
Picturesource:sxc.hu
OBRIGADO
Anchises Moraes
@anchisesbr @CSAbr @RSASecurity @BSidesSP
42
LEI Nº 9.610, DE 19 DE FEVEREIRO DE 1998.
Altera, atualiza e consolida a legislação sobre direitos autorais e dá
outras...
Prochain SlideShare
Chargement dans…5
×

Segurança em IoT é possível ! Dicas de desenvolvimento seguro de dispositivos IoT

515 vues

Publié le

Na medida em que os dispositivos e aplicações para o mundo da Internet das Coisas (IoT) se proliferam, cresce exponencialmente a necessidade de discutir e implementar boas práticas de segurança neste ambiente. SmartTVs, carros e até dispositivos médicos tem sido alvos de ciber ataques, hospedando hosts de botnets, códigos malicioso e sendo vítimas de ransomware.
A Cloud Security Alliance (CSA) criou um guia de melhores práticas de segurança que podem ser adotadas por fabricantes e usuários de dispositivos IoT no desenvolvimento e uso destas tecnologias. Tais recomendações permitem identificar rapidamente minimizar os riscos de segurança em aplicações IoT.

Publié dans : Internet
  • Soyez le premier à commenter

Segurança em IoT é possível ! Dicas de desenvolvimento seguro de dispositivos IoT

  1. 1. 1 Picturesource:sxc.hu Segurança em IoT é possível ! Desenvolvimento seguro de dispositivos IoT Anchises Moraes @anchisesbr @CSAbr @RSASecurity @BSidesSP
  2. 2. 2 • Internet of Things • Internet of Threats • Segurança em IoT Agenda
  3. 3. 3 • “Internet dos Trecos” • “Internet dos Trem” IoT ? Picture source: Wikimedia Commons
  4. 4. 4 Fonte: http://www.businessinsider.com/how-the-internet-of-things-market-will-grow-2014-10 Dispositivos conetados na Internet em 2020
  5. 5. 5 Cloud e IoT Fonte: http://www.businessinsider.com/internet-of-things-cloud-computing-2016-10 Coleta Aplicações
  6. 6. 6 “Fazemos segurança em IoT como fazíamos segurança na Web nos anos 90” Julio Cesar Fort @juliocesarfort Segurança em IoT?
  7. 7. 7 Internet of Threats Fonte:http://www.joyoftech.com/joyoftech/joyarchives/2340.html
  8. 8. 8 • Proteger a privacidade dos consumidores e limitar a exposição de dados pessoais • Proteger dados empresariais e limitar a exposição de informações sensíveis • Evitar que soluções IoT sejam usadas por agentes maliciosos e tornem pontos de lançamento de ciber ataques • Proteger contra danos resultantes do comprometimento de sistemas físicos A necessidade de segurança em IoT
  9. 9. 9 • Os produtos IoT podem ser implantados em ambientes inseguros ou fisicamente expostos • A segurança é nova para muitos fabricantes de IoT e há um planejamento de segurança limitado nas metodologias de desenvolvimento • A segurança não é uma prioridade de negócios com apoio limitado da alta gestão • Falta de padrões definidos e arquiteturas de referência para o desenvolvimento seguro de IoT • Dificuldades em recrutar desenvolvedores de dispositivos IoT com habilidades de segurança, incluindo engenheiros de segurança de hardware Desafios de segurança em dispositivos IoT
  10. 10. 10 Picturesource:sxc.hu COMO PROTEGER O SEU IOT Dicas de segurança em IoT para usuários finais
  11. 11. 11 • Altere as senhas padrão de seus dispositivos conectados • Desativar o recurso Universal Plug-and-Play (UPnP) • Revisar as restrições de Gerenciamento Remoto • Verifique as atualizações de software Dicas rápidas Fonte: The Hacker News
  12. 12. 12 Online Scan http://iotscanner.bullguard.com
  13. 13. 13 Picturesource:sxc.hu COMO FAZER SEGURANÇA EM IOT Guia para segurança em IoT para desenvolvedores
  14. 14. 14 "Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products“ 07/outubro/2016 https://cloudsecurityalliance.org/download/ future-proofing-the-connected-world/ Guia para Segurança em IoT
  15. 15. 15 1. Metodologia de desenvolvimento seguro 2. Ambiente seguro de desenvolvimento 3. Recursos de segurança da plataforma 4. Definir proteções de Privacidade 5. Controles de segurança em hardware 6. Proteger dados 7. Proteger aplicativos e serviços associados 8. Proteger interfaces e APIs 9. Atualização segura 10. Autenticação, Autorização e Controle de Acesso 11. Gerenciamento seguro de chaves 12. Fornecer mecanismos de Log 13. Revisões de segurança 13 passos para segurança em IoT Picture source: http://www.freeimages.com
  16. 16. 16 1- Metodologia de desenvolvimento seguro Picture source: Giphy • Modelagem de ameaças • Requisitos e processos de Segurança nas metodologias de desenvolvimento • Avaliação de impacto de segurança
  17. 17. 17 • Avaliar as linguagens de programação • Ambientes de Desenvolvimento Integrado – Plugins e ferramentas de teste de segurança • Testes e Qualidade do código 2- Ambiente seguro de desenvolvimento e integração
  18. 18. 18 • Selecione o Framework de integração 3- Recursos de segurança da plataforma e do Framework
  19. 19. 19 • Avalie as funcionalidades de segurança da plataforma 3- Recursos de segurança da plataforma e do Framework (cont.)
  20. 20. 20 4- Definir proteções de Privacidade Picture source: Giphy • Reduzir a coleta de dados ao mínimo necessário • Suportar anonimato quando possível • Verificar regulamentações de proteções de dados
  21. 21. 21 5- Controles de segurança em hardware Picture source: Giphy • Segurança do Microcontrolador • Trusted Platform Modules • Proteção de Memória • Chips especializados em segurança • Módulos criptográficos • Proteção física • Supply chain (fornecedores)
  22. 22. 22 6- Proteger os dados Picture source: Giphy • Escolha dos protocolos de comunicação – Varredura de redes – Escuta de tráfego – Spoofing e masquerading – Negação de serviço e jamming – Pareamento de dispositivos
  23. 23. 23 7. Proteger aplicativos e serviços associados Picture source: Giphy • Pontos de integração, apps e serviços • Privilégios de acesso entre dispositivo e aplicações • Uso de serviços em nuvem
  24. 24. 24 8- Proteger interfaces e APIs Picture source: Giphy • Validação de mensagens • Tratamento de erros • Proteção contra ataques de replay • Proteja a comunicação via API – Criptografia, autenticação • Certificate Pinning
  25. 25. 25 9- Atualização segura Picture source: Pinterest • Updates de firmware e de software • Considerar todo o ciclo de instalação e atualização • Proteger contra modificações não autorizadas
  26. 26. 26 10- Autenticação, Autorização e Controle de Acesso Picture source: Giphy • Comunicação entre dispositivos • Autenticação fim-a-fim • Uso de TLS e de certificados para autenticação • OAuth 2.0 para autorização
  27. 27. 27 • Interação com PKI • Provisionamento de chaves • Características das chaves • Armazenamento seguro • Validação do certificado • Boot seguro Key Generation Key Derivation Key Establishment Key Agreement Key Transport Key Storage Key Lifetime Key Zeroization Accounting 11- Gerenciamento seguro de chaves criptográficas
  28. 28. 28 12- Fornecer mecanismos de Log Picture source: Giphy • Visibilidade das ações que ocorrem no dispositivo, ex: – Solicitação de Conexão – Autenticação (falha / sucesso) – Tentativas de abuso e elevação de privilégios – Mensagens malformadas – Atualizações de firmware e software – Tentativas de acesso – Mudanças de configuração – Acesso à memória protegida – Acesso físico indevido
  29. 29. 29 • Feedback contínuo • Testes de Segurança – Static Application Security Testing (SAST) – Dynamic Application Security Testing (DAST) – Interactive Application Security Testing (IAST) – Superfície de ataques – Bibliotecas de terceiros – Fuzzing – Testes Customizados 13- Revisões de segurança
  30. 30. 30 Metodologia de desenvolvimento seguro Ambiente seguro de desenvolvimento Rrecursos de segurança da plataforma Definir proteções de Privacidade Controles de segurança em hardware Proteger dados Proteger aplicativos e serviços associados Proteger interfaces e APIs Atualização segura Autenticação, Autorização e Controle de Acesso Gerenciamento seguro de chaves Fornecer mecanismos de Log Revisões de segurança Relembrando...
  31. 31. 31 Internet of Things Working Group https://cloudsecurityalliance.org/group/internet-of-things/ “Security Guidance for Early Adopters of the IoT” https://cloudsecurityalliance.org/download/new-security- guidance-for-early-adopters-of-the-iot/ Para saber mais
  32. 32. 32 Cloud Security Alliance (CSA) – Associação sem fins lucrativos – Reúne pessoas físicas e Empresas – Oficializada em Dezembro de 2008 – +65mil Membros, +190 membros corporativos – Presente em +40 países através de +70 Chapters locais Quem é a CSA?
  33. 33. 33 • Segundo Chapter oficial da CSA – Oficializado em 27 de Maio de 2010 • Segue Missão e Objetivos da CSA Global – Promover a Segurança em Cloud Computing – Promover pesquisas e iniciativas locais CSA Brasil
  34. 34. 35 Diversas iniciativas de pesquisa https://cloudsecurityalliance.org/research
  35. 35. 36 Dezenas de Papers https://cloudsecurityalliance.org/research
  36. 36. 37 • Certificação “Certificate of Cloud Security Knowledge (CCSK)” – Exame online • Treinamento – CCSK training (Basic / Plus) – PCI Cloud training – GRC Stack training Educação https://cloudsecurityalliance.org/education https://ccsk.cloudsecurityalliance.org
  37. 37. 38 • CSA Security, Trust & Assurance Registry (STAR) Program – Avaliação da segurança e maturidade dos provedores de Cloud Computing – Baseado nas melhores práticas da CSA – Registro e acesso público gratuitos Outras Iniciativas https://cloudsecurityalliance.org/star
  38. 38. 39 • Pessoa Física – Participação no grupo do LinkedIn – Participação na lista de discussões dos projetos (http://br.groups.yahoo.com/group/csabrasil) – Sem custo • Pessoa Jurídica – Contato diretamente com a CSA Internacional – Taxa anual Como se Associar
  39. 39. 40 • Cloud Security Alliance https://www.cloudsecurityalliance.org http://www.linkedin.com/groups?gid=1864210 @cloudsa • Cloud Security Alliance Brasil https://chapters.cloudsecurityalliance.org/brazil https://www.linkedin.com/groups?gid=3079437 @csabr Contato
  40. 40. 41 Picturesource:sxc.hu OBRIGADO Anchises Moraes @anchisesbr @CSAbr @RSASecurity @BSidesSP
  41. 41. 42 LEI Nº 9.610, DE 19 DE FEVEREIRO DE 1998. Altera, atualiza e consolida a legislação sobre direitos autorais e dá outras providências. https://www.planalto.gov.br/ccivil_03/leis/L9610.htm • Art. 44. O prazo de proteção aos direitos patrimoniais sobre obras audiovisuais e fotográficas será de setenta anos, a contar de 1° de janeiro do ano subseqüente ao de sua divulgação. • Art. 46. Não constitui ofensa aos direitos autorais: • VIII - a reprodução, em quaisquer obras, de pequenos trechos de obras preexistentes, de qualquer natureza, ou de obra integral, quando de artes plásticas, sempre que a reprodução em si não seja o objetivo principal da obra nova e que não prejudique a exploração normal da obra reproduzida nem cause um prejuízo injustificado aos legítimos interesses dos autores. Nota sobre o uso de imagens

×