4. Sobre a GlobalSign
Boston
London
Helsinki
IAM Center
Brussels & Paris
CA Infrastructure
Singapore
CA Infrastructure
Tokyo
Philippines
Offshore services
India
Offshore services
300 funcionários >5,000 parceiros globais > 30,000 clientes
>10m identidades,
2.5M live SSL Certs
8. O Brasil é um Mercado Único
• Segundo maior mercado consumidor de
tecnologias no mundo
• Grande processo de Inclusão Digital
• Ausência de campanhas de Educação Digial
• Público vulnerável
• Aumento constante em ataques
cibernéticosCrimes cibernéticos no Brasil
representam cerca de $8 bilhões ao ano
• Crimes de Internet representam a maior
perda para o país
• A região latino-americana registra um
crescimento anual de 7% no número de
ciberataques
9. Alguns Fatos sobre a Segurança Digital no Brasil
• De acordo com a Febraban: 52% de todas as transações bancárias
são digitais; e os crimes cibernéticos são a causa de 95% das
perdas dos Bancos Brasileiros.
• Em 2014 o Brasil sofreu o maior número de ataques cibernéticos
em toda a América Latina, cerca de 43% de todos os ataques.
• Ataques mais comuns: phishing, malware e interceptação de
conexão para o roubo de dados de indivíduos e empresas.
• Apenas durante a Copa do Mundo, 10.9 milhões de ataques de
malware foram registrados.
15. Caso de Estudo: Target
• Hackers roubaram 40 milhões de dados
de cartões de crédito.
• 110 milhões de pessoas tiveram seus
dados pessoais roubados.
• Target Corp. teve $ 148M em perdas.
• Consequências negativas para a
empresa.
• O lucro da empresa caiu em 46% no
quartil.
• A Target concordou em pagar $10
milhões para fechar ações contra eles
devido à quebra de segurança.
16. Problemas Identificados
• Ausência de Criptografia no trânsito interno dos dados e
armazenamento
• Uso de um método forte de autenticação porém sem controle de
acessos
17. Como solucionar?
Uso do protocolo SSL/TLS para criptografia dos dados internamente
• Centralização da Gestão
• Uso de ACs Internacionais com experiência e expertise
• Atualização de padrões internos
• Assegurar a configuração dos servidores
Uso de métodos robustos de autenticação e gestão e controle de acessos
• Permissão de Acessos por role
• Implementação de uma plataforma de gestão que permita logar quem
acessou quais aplicações
• Implementação de lógica de uso
• Implementação de autenticação step-up
19. Benefícios no Uso dos Certificados SSL/TLS
• Proporciona a criptografia dos dados e comunicações
• Protege a informação contra hackers, evitando que a
informação caia nas mãos erradas no caso de interceptação.
• Autenticação. Verificação das identidades para prover maior
nível de Segurança.
• Confiança para os usuários.
• Proteção contra phishing.
20. Riscos de uma AC Interna
• Altos Investimentos em infraestrutura e pessoal
• Descentralização da gestão
• Falta de experiência e investimento nas normas de Segurança
• Ausência de um sistema eficaz de controle
• Certificados sem confiança pública
• Uso de Algoritmos fracos e obsoletos
• Tipos limitados de Certificados
21. Benefícios no Uso de uma AC Internacional
• Experiência em Segurança Digital
• Cumprimento com os padrões de segurança da Indústria
• Programa de Raiz Confiada Hospedada
• Nos anticipamos às mudanças da industria provendo a informação com antecedência a nossos clientes:
• Raiz de 1024 a 2048
• SHA-1 a SHA-256
• ECC
• Uso de Nomes de Domínios Internos
• Plataforma centralizada de gestão dos certificados:
• Registro de usuários
• Gestão do ciclo de vida
• Reemissão sem custo
• Licença ilimitada para servidores
• Emissão de relatórios detalhados
• Inventário de certificados
• Centralização de todos os certificados independente da AC emisora
• Configuração de políticas de segurança
• Notificação de Renovação
• Verificador de Configuração de Servidor SSL
https://globalsign.ssllabs.com/
23. Ø https://globalsign.ssllabs.com/
Ø Verifica a instalação do certificado SSL e a configuração do servidor
Ø Suporte a protocolos fracos
Ø Falta de suporte a protocolos fortes
Ø Compatibilidade com Navegadores
Ø Entre outros
Verificador de Configuração de Servidor SSL
25. Autenticaçãode usuários
• Nome de Usuário e Senha continua sendo o
método de autenticação mais utilizado
• Nome de Usuário e Senha não é um método
confiável
Anotam suas senhas
de acesso corporativo
Dividem suas senhas
Com alguém
Invasões de redes devido
A credenciais fracas
29. Foque em uma solução de IAM bimodal
Segurança e Controle de Acessos são essenciais
para serviços online
Identidades Internas Identidades Externas
• Produtividade
• Cumprimento com políticas de
segurança da empresa
• Eficiência interna
• Cumprimento com Auditorias
• Informação de seus funcionários
• Quem acessa, quando, quais
aplicações, que horas e o que
visualizaram
• Controle de acessos
• Conveniência
• Eficiência
• Mobilidade
• Cumprimento com regulações
• Conhecimento do consumidor
• Gestão externa
• Auto-atendimento
• Gestão de Acessos
• Confiança
• Segurança
• Auditorias
30. Problemas:
• Uso de métodos fracos de autenticação para
sistemas críticos
• Usuários (parceiros, indivíduos, etc) têm
vários dados de login (contas e senhas) para
acessar os serviços da empresa.
• Necessidade de uma força de trabalho grande
para suprir as necessidades de suporte:
• Usuários sempre esquecem seus dados de login
• Ausência de auto-atendimento
• Múltiplos repositórios de Identidades
• Usuários tendem a deixar de usar serviços
pela complexidade. Não indicam a outros
usuários.
• Múltiplos repositórios de identidades.
• Os serviços não estão centralizados no
usuário.
31. Benefícios do IAM
• Unificação das Credenciais de Acesso
• Repositório de Identidades Unificado
• Controle de Acessos Centralizado
• Integração com CRM
• Diminuição dos custos de infraestrutura e suporte
• Aumento da Segurança
• Aumento das vendas
32. “Não planeje uma customizaçãomassiva
da infraestrutura de IAM. Foque em
soluções que permitam uma rápida
configuração, aumentando a velocidade
da migração…”
-Gartner 2015 Planning Guide for Identity and Access Management
Novo foco de IAM
33. CustomerID
Registro de usuário e
cliente corporativo
SSO
SSO e gestão de acessos
TRUST
Identidadese Acessos
Federados
CONFIRM
Confirmação de transação
de negócios
•Verificação inteligente de
identidade
•Melhoria dos dados da
identidade
•Gestão de cargos
•Autorização
•Auto registro e
autoatendimento
•Autenticação
Eficiente
•Controle de Acesso
Centralizado
•Forte Sistema de
controle de
autorizações
•Suporte a
autenticação baseada
em extranet via CRM
•Serviços e Redes em
Nuvem Federadas
•Centralização de
políticas de gestão e
autorização
•Suporte a gestão
multi-federada
•Suporte Out-of-the-
box para federações
internacionais líderes
•Confirmação
Inteligente de
transações de
negócios
•Acordos e
transações 24/7
•Trilhas de auditoria
Soluções IAM GlobalSign
37. Reforço de Autenticação (Step up Verification)
• Reforço de autenticação para transações
críticas. Reforçando políticas de anti-
lavagem de dinheiro e evitando fraudes
eletrônicas.
• Exemplo:
• Usuário e Senha (para as operações de
nível baixo).
• SMS OTP, (para as operações de nível
médio).
• OTP impresso (para as operações de
nível médio / alto).
• PKI móvel (para transações de nível alto).
39. OAuth Servidor de Autorização – GlobalSign SSO
GlobalSign SSOApp Móvil
Servidor de Recursos
My Device
Autentícate
OTP Bank PKI
OTP Bank PKI
Seguro
Control
View Data
API
20+ métodos de autenticação suportados
Aplicações Móveis Log-In com OAuth 2.0
42. API IdP
Discovery
GlobalSign SSO:
Servidor de
Autorización
Novo Padrão de Conexão Móvel
Usuario
Servidor / Portal
Provedor de
Serviços
Provedor
TELECOM
SMS OTP
Wireless PKI
Outros…
Servidores de Autenticação Gestão do ciclo de
vida dos clientes
1. Usuário entra o número de telefonepara
acessar um serviço
2. API IdP envia uma solicitação à GSMA
3. GSMA respondecom o provedor de Telecom
4. A aplicaçãosolicita ao provedor de Telecom a
autenticaçãodo usuário
5. O proveedor de Telecom realiza a autenticação
do usuário usando um dos mais de 20 métodos
de autenticaçãoprovidos pela GlobalSign
6. O Servidor de Autenticação envia uma resposta
positiva ou negativa à aplicação. Sem expôr
nenhum dado pessoal.
1 2
3
4
5
6
43. Caso de Éxito DNA: Motivos
• Altos custos com suporte e
atendimento ao consumidor
• Alta rotatividadede clientes
• Longo tempo de registro
• Dificuldade na venda de novos
serviços
DNA é Líder
Finlandês em
serviços de
telecomunicações
(TV, mobilidade,
telefone e Internet).
44. DNA B2C DNA B2B Novos Serviços
Usuários Consumidores e Corporativos
DNA Serkku – Serviçosde Cloud brokering
Responsabilidades do Suporte
Gestão de
Múltiplos
Repositórios
Emitir Documentos e
relatóriospara o Cliente
Gestão de Permissõese Mudanças
Múltiplas Identidades e Repositórios
Estrutura da DNA Antes do GlobalSign CID & SSO
45. UMA ÚNICA IDENTIDADE PARA DIFERENTES SERVIÇOS
DNA B2C DNA B2B Novos Serviços
SSO
Usuários: Consumidores e Corporativos
DNA Serkku – Serviçosde Cloud brokering
CRM
ServiçosIAM de Auto-atendimento
Delegação de Gestão
IAM Auto-Atendimento:
ID
Registros
Estrutura da DNA depois do GlobalSign CID & SSO
46. Benefícios Quantificáveis
Solução de IAM Centralizada
Economia de mais de 1 M de Euros no primeiro ano além do aumentodas vendas
• IAM totalmente centralizado, focado na gestão de usuários e acessos
• Unificação dos repositórios de identidades, gerando economia da Gestão e
Infraestruturade TI.
• Os clientes da DNA têm um ID unificado, baseado em direitos de acesso e funções.
Possibilitandoaos clientes adquirir novosserviços de maneira rápida e eficiente,
aumentandoas vendas.
• Delegação da gestãode identidades e autorização para os clientes empresariais
gerando uma grande economia no serviço ao consumidor.
• Implementação de serviços de auto-atendimento, diminuendo oscustos com
Suporte.
• O tempo de registro de novas organizações e usuários foi reduzido em 95%
• Ciclo de Trabalho baseado em auto-atendimento 24/7
• Automação da migração de usuáriosà nova plataforma usandoAPI REST
48. Funcionários querem usar
dispositivos e máquinas
pessoais no trabalho
Ameaça
Interna
Ameaça
Externa
Ameaça Crescente de
máquinas forjadas
Hackers buscando
uma porta de entrada
Não se pode confiar nas
Máquinas ou Dispositivos
?
50. Autenticaçãode Usuários – Substitua as Senhas
• Senhas e usuários não são confiáveis
• Certificados digitais provêm uma camada extra de segurança e
balanceamento de custos
• Não há necessidade de hardware adicional
• Não há impacto no usuário final
• Compatibilidade Nativa com aplicações e redes
• Provisão e gestão do ciclo de vida dos certificados pode ser
automatizada via AD
51. Identidade & Autenticação de dispositivos móveis –
Usuários Internos
• Suporte a BYOD e assegura dispositivos coporativos com PKI móvel
• Fácil de implementar e com custo efetivo para ambos: dispositivos de
funcionários, dispositivos da corporação
• Integração MDM Airwatch
• Simplifica o provisionamento de certificados em dispositivos
• Não há necessidade de instalar manualmente os certificados em cada
dispositivo
Certificados Digitais podem ser usados para:
Email encryption
and signing
Email authentication
VPN and Wi-Fi
authentication
Assegurar a privacidade de informaçõessensíveis,
provando a autoria do autor e origem da mensagem
Garantir que apenas dispositivos autorizados sejam
capazes de acessar os servidores de e-mail
corporativo
Garantir que apenas dispositivos autorizados sejam
capazes de acessar conexões corporativas
52. GlobalSign Webinar
Entre os custos de segurança e a
usabilidade para os usuários. Baixos
custos de implementação.
EQUILÍBRIO
Não é necessário nenhum hardware
adicional
Não há uma carga extra nos usuários
finais
Gestão simples do ciclo de vida
Os Certificados São a Solução
Os Certificados podem ser usados para
autenticar usuários, máquinas e
dispositivos
COBREM TODOS OS ENDPOINTS
Autenticação Mútua
Fácil implementação, com a opção de
Instalação e renovação automáticas
Compatibilidade nativa com
Aplicações e redes
54. Ashley Madison Hack
• Julho 2015
• 27 milhões de informações de usuários
comprometidas
• O arquivo comprimido de 9.7 GB possui
nomes, emails, informações de login e
de pagamento.
• Os Hackers liberaram mapas do sistema
de servidores interno, informações da
rede de contas dos funionários,
informações bancárias da empresa.
• Blackmail
• O foco dos ataques foram os dados, não
o dinheiro
• Emails corporativos usados em diversos
acessos: .mil, .gov, entre outros
55. Ataque aos correios eletrônicos da Sony
• Novembro de 2014
• Spear Phishing
• Um funcionário abriu um email e clicou em um link malicioso
• Os hackers se instalaram nas redes da Sony por meses, mapeando a infraestrutura e
tendo acesso à dados sensíveis.
• Os hackers fizeram demandas para mantener as informações privadas “Sequestro de
Dados”.
• Afetaram a reputação da Sony gerando a perda de milhões de dólares.
• Os Data Centers foram afetados.
• Lançamento do filme “A Entrevista” foiafetado.
• Tensão internacional entre EUA e Coréia do Norte.
• Dados afetados: contratos, salários, orçamentos, informação de projetos
futuros, seguro social Americano
• Perda de mais de US$35M
56. Dados
• O Brasil é o maior alvo mundial de ataques de Phishing (18%).
• No primeiro trimestre de 2015 o Brazil sofreu mais de 50 milhões de ataques de phishing.
• 53% dos funcionários já receberam informações corporativas de risco não criptografadas via
email ou anexos.
• 21% dos funcionários confiam no envio de informações sem criptografia.
• 22% das empresas sofrem com a perda de informações através de e-mails todos os anos.
• US$3.5M é o custo médio que a perda de dados custa à empresa.
• 33% dos executivos da Fortuna 500 já foram vítimas de ataques de phishing.
58. S/MIME
• Assinaturas Digitais
• Criptografia
• O que eu preciso para assinar
digitalmente & criptografar e-mails:
• Um certificado digital de uma
Autoridade Certificadora compatível
com S/MIME.
• Um serviço de email compatível com
S/MIME. A maioria dos principais
clientes de email suportam o S/MIME,
60. Como eu assino digitalmente um email?
• Para a maioria dos clientes de email, assinar digitalmente um
email é tão simples quanto clicar em um botão.
62. Benefícios do S/MIME
• Prevenção de manipulação de
conteúdo
• Provar a origem do email
• Prevenir exposição de conteúdo
• Comunicação Flexível e Segura
• Fácil Implementação
• Compatibilidade com dispositivos
móveis
• Plataforma centralizada de gestão
com opções de entrega (automação
via AD, solicitação massiva, página
pública, API)
64. PKI Para Autenticaçãoe Segurança de Emails
• Emissão Imediata
• Múltiplos Perfis
• Funções Completas de Relatório
• Configuração granular de usuários e
permissões
• Plataforma Unificada
• Página de Solicitação Pública
• Emissão Massiva
• APIs de Integração
• MDM
• AEG
68. AEG GCC
Cloud
AD
Estaçãode
trabalho Roteadores
Servidores
Usuários
ENDPOINTS
Configurados
com CEP
1
2
3
4 5
6
7
8
Paso 1
Os endpoints configurados
solicitam os certificados
mediante O Group Policy
(Política de Grupo) e se
conectam ao servidor AEG
através de uma conexão
HTTPS
Passo 2 & 3
O Servidor do AEG envia
uma solicitaçãoLDAP para
os controladores de
dominio, para obter uma
lista de modelos às quais o
endpoint pode se inscrever
Passo 4
A lista de modelos
disponíveis é enviada ao
endpoint, assim como uma
URI da AC, configurada para
emitir certificados
Passo 5 & 6
o endpoint se conecta ao
servidor do AEG usando
HTTPS e solicitará de
imediatoo certificado
através das APIs da
GlobalSign
Passo 7 & 8
Após o processo imediato
de solicitação, nossas APIs
respondem com um
certificado que é instalado
no endpoint de maneira
imediata
How it worksCOMO FUNCIONA O AEG
69. Servidor
de AEG
AD – Domínio # 1
Estações de
trabalho Roteadores
Servidores
Usuários
ENDPOINTS
AD – Domínio # 2
ENDPOINTS
TRUST
MÚLTIPLAS FLORESTAS – Múltiplos Domínios
Estações de
trabalho Roteadores
Servidores
Usuários
70. S/MIME: Assinaturae Criptografiade Emails.
Recuperação e Arquivo de Chaves
Cartões Inteligentes para Início de Sessão
Autenticação de Usuários
Autenticação de Máquinas
Autenticação de controladores de domínio
AssinaturaDigital para documentos Office de MS
Sistema de Criptografiade Arquivos (Encrypted File
System (EFS)).
Casos de Uso
73. Problemas que Solucionamos
• Aumento na segurança e confiança
online através da provisão de
identidades fortes.
• Redução dos custos e tempo de
migração de PKIs corporativas.
• Gestão de riscos relacionados a
certificados (criptografia fraca,
algoritmos obsoletos, expirações, auto-
assinados, inventário)
• Redução do tempo da migração de
Soluções IAM de meses à semanas.
• Automação e gestão da migração de
Identidades para a IoE em alto volume e
escala
74. Benefícios de
uma Associção
com um
Provedor de
Identidades
SaaS
Cumprimento com os padrões da
Indústria de segurança digital
Alta disponibilidade e uptime
Recuperação de Desastres
Fácil implementação e gestão do
ciclo de vida
Baixo Custo Final
Não há necessidade de experiência
Com PKI
76. Porquê a GlobalSign?
• GlobalSign é uma entidade de Segurança Digital
Internacional com mais de 20 anos de experiência no
Mercado.
• As Soluções GlobalSign ganharamdiversosprêmios
desde 2015:
• Info Security products Guide – solução de
segurança de IAM com características robustas
• Security Products Govies 2015 – melhor solução
de IAM para governosnos EUA
• European Identity Coud – com o desenvolvimento
de IAM da empresa DNA que economizou 1M de
Euros no primeiro ano.
• Info Security Products Guide 2016 – solução de
segurança mais inovadoracom o AEG.
• Arquitetura, sistemas de alto volume, escalabilidade e
disponibilidade para a gestão de milhões de
identidades.
• Entendemos as Necesidades do Mercado Brasileiro. EIC Best B2B Identity Project