SlideShare une entreprise Scribd logo

Como (não) invadirem o seu banco de dados.

Lilian Barroso
Lilian Barroso

Apresentação de 5 minutos exibida no evento Women Teckmakers, no dia 08 de março de 2014, no escritório do Google em São Paulo. Tema: segurança em banco de dados.

Technologie
1  sur  28
Télécharger pour lire hors ligne
Como (não) invadirem seu banco de dados - Por Lílian Barroso 1
COMO (NÃO) INVADIREM SEU BANCO DE DADOS Um pouco sobre segurança em banco de dados para desenvolvedores. Por Lílian Barroso São Paulo, 08-03-2014 Como (não) invadirem seu banco de dados - Por Lílian Barroso
Um pouco sobre a Lílian ... • 12 anos na TI, sendo 7 anos como DBA • Especialista em Segurança da Informação • Casada – com um cara de TI *-* Como (não) invadirem seu banco de dados - Por Lílian Barroso 3
Como (não) invadirem seu banco de dados - Por Lílian Barroso 4
Quando se fala em segurança na TI... • Ih... vão bloquear toda a Internet ... • Token, biometria, senha de 16 caracteres ... Só falta o teste de DNA! • Criptografia? Depois não venham me cobrar performance... Como (não) invadirem seu banco de dados - Por Lílian Barroso 5
Atualmente, em uma corporação, o que é mais importante do que dinheiro? Como (não) invadirem seu banco de dados - Por Lílian Barroso 6 Quando se fala em segurança ...
Como (não) invadirem seu banco de dados - Por Lílian Barroso 7
Como (não) invadirem seu banco de dados - Por Lílian Barroso 8 O "ouro" das empresas são suas informações!!!
• Então, onde fica armazenado o pote de ouro da empresa? • E, como proteger o seu pote de ouro? Como (não) invadirem seu banco de dados - Por Lílian Barroso 9
Qual o motivo do ítem "SEGURANÇA DA INFORMAÇÃO" parar no perímetro do banco de dados??? Como (não) invadirem seu banco de dados - Por Lílian Barroso 10 ???
Segurança em Camadas • Tratar a segurança do banco de dados é colocar mais uma camada na segurança da TI! Como (não) invadirem seu banco de dados - Por Lílian Barroso 11
Alvos de Ataque! Servidor Perímetro Database Software Aplicação Cliente Contas (usuários) Dados Restritos Mudanças Criptografia Backup Auditoria Cliente Cliente Database Software Database Software Database Software Mudanças Contas (usuários) Contas (usuários) Contas (usuários) Aplicação Aplicação Aplicação Dados Restritos Dados Restritos Dados Restritos Backup Backup Backup Servidor Servidor Servidor Como (não) invadirem seu banco de dados - Por Lílian Barroso 12
Qual o motivo de pensarmos em segurança só depois do incêndio? Como (não) invadirem seu banco de dados - Por Lílian Barroso 13
Segredo: Desenvolva pensando no NEGÓCIO! • O desenvolvimento seguro deve ser feito pensando na manutenção do negócio. • A informação é o item de maior valor em uma empresa! Você sabe qual é o negócio, qual é a fonte de lucro da sua empresa? Você conhece a Política de Segurança da Informação da sua empresa? Como (não) invadirem seu banco de dados - Por Lílian Barroso 14
BBBWS... Como (não) invadirem seu banco de dados - Por Lílian Barroso 15
Como (não) permitir a invasão Pense em segurança desde o primeiro instante! Tenha MALDADE na sua cabeça! Tente pensar como um invasor. Como (não) invadirem seu banco de dados - Por Lílian Barroso 16
Dicas básicas • Tenha uma equipe "multidisciplinar": Traga o DBA e o Security Officer para sua equipe! Como (não) invadirem seu banco de dados - Por Lílian Barroso 17
Dicas básicas • Cuidado com senhas! Não manter senhas em texto puro no banco de dados. Se for necessário armazenar senhas, usar criptografia; • Use o princípio do menor privilégio!!! Como (não) invadirem seu banco de dados - Por Lílian Barroso 18
Dicas básicas • Valide os dados de entrada da sua aplicação. • nUNCa utilizar contas administrativas do banco de dados. SYS, SYSTEM, SA, ROOT! Como (não) invadirem seu banco de dados - Por Lílian Barroso 19
Dicas básicas • Aplique todos os patches de segurança disponibilizados pelo fabricante do SGDB; • Procure homologar sua aplicação para as novas versões de banco. Como (não) invadirem seu banco de dados - Por Lílian Barroso 20
Dicas básicas teste mais um pouco. Como (não) invadirem seu banco de dados - Por Lílian Barroso 21 • Teste, teste e, quando estiver cansado ...
Ops... peraí... repete?! Como (não) invadirem seu banco de dados - Por Lílian Barroso 22
Resumindo • O pote de ouro é o Banco de Dados! • Pense em segurança desde o início; • Esteja alinhado com o negócio da empresa; • Trabalhe em equipe – inclusive com as outras equipes! • Conheça tecnicamente as estratégias de segurança para DBs. Como (não) invadirem seu banco de dados - Por Lílian Barroso 23
E aí, seu pote de ouro está seguro??? Como (não) invadirem seu banco de dados - Por Lílian Barroso 24
Caso queira saber mais ... lilian.dba@gmail.com br.linkedin.com/in/lilianbarroso/ http://lilianbarroso.wordpress.com/ liliandba @liliandba Como (não) invadirem seu banco de dados - Por Lílian Barroso 25
Como (não) invadirem seu banco de dados - Por Lílian Barroso 26
Fontes de pesquisa: • https://www.owasp.org/index.php/Main_Page • http://g1.globo.com/tecnologia/noticia/2010/05/conheca-os-diferentes-tipos-de- vulnerabilidades-e-ataques-de-hackers.html • http://corporate.canaltech.com.br/noticia/ibm/Para-CEO-da-IBM-informacao-e-o-maior- recurso-natural-deste-seculo/ • http://en.wikipedia.org/wiki/Database_security • https://security.berkeley.edu/node/138?destination=node/138 • http://www.oracle.com/technetwork/topics/security/whatsnew/index.html • http://www.oracle.com/technetwork/articles/entarch/arch-approach-inf-sec-360705.pdf • http://pt.slideshare.net/artinfo/segurana-em-banco-de-dados Como (não) invadirem seu banco de dados - Por Lílian Barroso 27
Fontes (imagens) • http://pernaquebradarj.blogspot.com.br/2012/12/o-desespero-do-ator-e-falta-de-trabalho.html • http://aristizabalvegaseguros.com/site/ • www.accesssecurity.com • https://www.google.com.br/url?http://dearleticia.blogspot.com.br/2010/04/arco-iris-sonhos-e- chocolate-quente.html • http://technet.microsoft.com/en-us/library/cc767969.aspx • http://watchdogalarms.com.au/ • http://mariliabalbe.com/trabalho-em-equipe-quais-erros-voce-comete/ • http://makeitsafe.missouri.edu/topics/ • http://www.vectorstock.com/royalty-free-vector/pay-attention-handgesture-vector-692275 • http://security.iyogi.com/news/security-updates-microsoft-on-its-way-to-fix-patches.html • http://www.segurancadainformacao1.xpg.com.br/ameacaseataques.html Como (não) invadirem seu banco de dados - Por Lílian Barroso 28

Recommandé

Proteja-se de um Insider Threat
Proteja-se de um Insider ThreatProteja-se de um Insider Threat
Proteja-se de um Insider ThreatMarcos Silva
 
Palestra sobre Cybersecurity para o Evento NEXT 2019
Palestra sobre Cybersecurity para o Evento NEXT 2019Palestra sobre Cybersecurity para o Evento NEXT 2019
Palestra sobre Cybersecurity para o Evento NEXT 2019PhishX
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da InformaçãoJoão Carlos da Silva Junior
 
Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.GDGFoz
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Protegendo as informações e a base de dados
Protegendo as informações e a base de dadosProtegendo as informações e a base de dados
Protegendo as informações e a base de dadosZipCode
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação CorporativaMarcelo de Freitas Lopes
 

Recommandé

Proteja-se de um Insider Threat
Proteja-se de um Insider ThreatProteja-se de um Insider Threat
Proteja-se de um Insider ThreatMarcos Silva
 
Palestra sobre Cybersecurity para o Evento NEXT 2019
Palestra sobre Cybersecurity para o Evento NEXT 2019Palestra sobre Cybersecurity para o Evento NEXT 2019
Palestra sobre Cybersecurity para o Evento NEXT 2019PhishX
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da InformaçãoJoão Carlos da Silva Junior
 
Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.GDGFoz
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Protegendo as informações e a base de dados
Protegendo as informações e a base de dadosProtegendo as informações e a base de dados
Protegendo as informações e a base de dadosZipCode
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação CorporativaMarcelo de Freitas Lopes
 
Para quem você desenvolve?
Para quem você desenvolve?Para quem você desenvolve?
Para quem você desenvolve?Livia Gabos
 
A Open Web Platform em prol do seu app!
A Open Web Platform em prol do seu app!A Open Web Platform em prol do seu app!
A Open Web Platform em prol do seu app!Vanessa Me Tonini
 
O fantástico mundo de Android
O fantástico mundo de AndroidO fantástico mundo de Android
O fantástico mundo de AndroidSuelen Carvalho
 
Desenvolvimento de jogos com Corona SDK
Desenvolvimento de jogos com Corona SDKDesenvolvimento de jogos com Corona SDK
Desenvolvimento de jogos com Corona SDKLeticia Amaro
 
Palestra design digital
Palestra design digitalPalestra design digital
Palestra design digitalpopup_design
 
Como desenvolver sites utilizando Design Responsivo
Como desenvolver sites utilizando Design ResponsivoComo desenvolver sites utilizando Design Responsivo
Como desenvolver sites utilizando Design ResponsivoPopUp Design
 
Guia de estilos para a interface do usuário
Guia de estilos para a interface do usuárioGuia de estilos para a interface do usuário
Guia de estilos para a interface do usuárioPopUp Design
 
Design Patterns na Programação de Jogo
Design Patterns na Programação de JogoDesign Patterns na Programação de Jogo
Design Patterns na Programação de JogoBruno Cicanci
 
Programação de Jogos - Design Patterns
Programação de Jogos - Design PatternsProgramação de Jogos - Design Patterns
Programação de Jogos - Design PatternsBruno Cicanci
 
Grid Design in Web
Grid Design in WebGrid Design in Web
Grid Design in WebCristi Rus
 
Teoria do design aula 01 [conceitos basicos]
Teoria do design aula 01 [conceitos basicos]Teoria do design aula 01 [conceitos basicos]
Teoria do design aula 01 [conceitos basicos]Léo Dias
 
Atomic design
Atomic designAtomic design
Atomic designBrad Frost
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresRodrigo Jorge
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Fernando Dulinski
 
Unbroken Institutional
Unbroken Institutional Unbroken Institutional
Unbroken Institutional unbrokensecurity
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Alcyon Ferreira de Souza Junior, MSc
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
[In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos [In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos Daybson Bruno
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisRubens Guimarães - MTAC MVP
 
Ameaças de Junho 2016
Ameaças de Junho 2016 Ameaças de Junho 2016
Ameaças de Junho 2016 Symantec Brasil
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentationBravo Tecnologia
 

Contenu connexe

En vedette

Para quem você desenvolve?
Para quem você desenvolve?Para quem você desenvolve?
Para quem você desenvolve?Livia Gabos
 
A Open Web Platform em prol do seu app!
A Open Web Platform em prol do seu app!A Open Web Platform em prol do seu app!
A Open Web Platform em prol do seu app!Vanessa Me Tonini
 
O fantástico mundo de Android
O fantástico mundo de AndroidO fantástico mundo de Android
O fantástico mundo de AndroidSuelen Carvalho
 
Desenvolvimento de jogos com Corona SDK
Desenvolvimento de jogos com Corona SDKDesenvolvimento de jogos com Corona SDK
Desenvolvimento de jogos com Corona SDKLeticia Amaro
 
Palestra design digital
Palestra design digitalPalestra design digital
Palestra design digitalpopup_design
 
Como desenvolver sites utilizando Design Responsivo
Como desenvolver sites utilizando Design ResponsivoComo desenvolver sites utilizando Design Responsivo
Como desenvolver sites utilizando Design ResponsivoPopUp Design
 
Guia de estilos para a interface do usuário
Guia de estilos para a interface do usuárioGuia de estilos para a interface do usuário
Guia de estilos para a interface do usuárioPopUp Design
 
Design Patterns na Programação de Jogo
Design Patterns na Programação de JogoDesign Patterns na Programação de Jogo
Design Patterns na Programação de JogoBruno Cicanci
 
Programação de Jogos - Design Patterns
Programação de Jogos - Design PatternsProgramação de Jogos - Design Patterns
Programação de Jogos - Design PatternsBruno Cicanci
 
Grid Design in Web
Grid Design in WebGrid Design in Web
Grid Design in WebCristi Rus
 
Teoria do design aula 01 [conceitos basicos]
Teoria do design aula 01 [conceitos basicos]Teoria do design aula 01 [conceitos basicos]
Teoria do design aula 01 [conceitos basicos]Léo Dias
 

En vedette (12)

Para quem você desenvolve?
Para quem você desenvolve?Para quem você desenvolve?
Para quem você desenvolve?
 
A Open Web Platform em prol do seu app!
A Open Web Platform em prol do seu app!A Open Web Platform em prol do seu app!
A Open Web Platform em prol do seu app!
 
O fantástico mundo de Android
O fantástico mundo de AndroidO fantástico mundo de Android
O fantástico mundo de Android
 
Desenvolvimento de jogos com Corona SDK
Desenvolvimento de jogos com Corona SDKDesenvolvimento de jogos com Corona SDK
Desenvolvimento de jogos com Corona SDK
 
Palestra design digital
Palestra design digitalPalestra design digital
Palestra design digital
 
Como desenvolver sites utilizando Design Responsivo
Como desenvolver sites utilizando Design ResponsivoComo desenvolver sites utilizando Design Responsivo
Como desenvolver sites utilizando Design Responsivo
 
Guia de estilos para a interface do usuário
Guia de estilos para a interface do usuárioGuia de estilos para a interface do usuário
Guia de estilos para a interface do usuário
 
Design Patterns na Programação de Jogo
Design Patterns na Programação de JogoDesign Patterns na Programação de Jogo
Design Patterns na Programação de Jogo
 
Programação de Jogos - Design Patterns
Programação de Jogos - Design PatternsProgramação de Jogos - Design Patterns
Programação de Jogos - Design Patterns
 
Grid Design in Web
Grid Design in WebGrid Design in Web
Grid Design in Web
 
Teoria do design aula 01 [conceitos basicos]
Teoria do design aula 01 [conceitos basicos]Teoria do design aula 01 [conceitos basicos]
Teoria do design aula 01 [conceitos basicos]
 
Atomic design
Atomic designAtomic design
Atomic design
 

Similaire à Como (não) invadirem o seu banco de dados.

in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresRodrigo Jorge
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Fernando Dulinski
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
[In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos [In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos Daybson Bruno
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisRubens Guimarães - MTAC MVP
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentationBravo Tecnologia
 
TDC 2017 - Borg até o Prometheus: Site Reliability Engineering
TDC 2017 - Borg até o Prometheus: Site Reliability EngineeringTDC 2017 - Borg até o Prometheus: Site Reliability Engineering
TDC 2017 - Borg até o Prometheus: Site Reliability EngineeringFelipe Klerk Signorini
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Bruno Caseiro
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisMauro Risonho de Paula Assumpcao
 
Site blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite Blindado S.A.
 

Similaire à Como (não) invadirem o seu banco de dados. (20)

in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestores
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
 
Unbroken Institutional
Unbroken Institutional Unbroken Institutional
Unbroken Institutional
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
[In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos [In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas Profissionais
 
Ameaças de Junho 2016
Ameaças de Junho 2016 Ameaças de Junho 2016
Ameaças de Junho 2016
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentation
 
TDC 2017 - Borg até o Prometheus: Site Reliability Engineering
TDC 2017 - Borg até o Prometheus: Site Reliability EngineeringTDC 2017 - Borg até o Prometheus: Site Reliability Engineering
TDC 2017 - Borg até o Prometheus: Site Reliability Engineering
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
 
Segurança de Software
Segurança de SoftwareSegurança de Software
Segurança de Software
 
Evento Symantec DLP - 06.03
Evento Symantec DLP - 06.03Evento Symantec DLP - 06.03
Evento Symantec DLP - 06.03
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender mais
 
Site blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender mais
 

Como (não) invadirem o seu banco de dados.

  • 1. Como (não) invadirem seu banco de dados - Por Lílian Barroso 1
  • 2. COMO (NÃO) INVADIREM SEU BANCO DE DADOS Um pouco sobre segurança em banco de dados para desenvolvedores. Por Lílian Barroso São Paulo, 08-03-2014 Como (não) invadirem seu banco de dados - Por Lílian Barroso
  • 3. Um pouco sobre a Lílian ... • 12 anos na TI, sendo 7 anos como DBA • Especialista em Segurança da Informação • Casada – com um cara de TI *-* Como (não) invadirem seu banco de dados - Por Lílian Barroso 3
  • 4. Como (não) invadirem seu banco de dados - Por Lílian Barroso 4
  • 5. Quando se fala em segurança na TI... • Ih... vão bloquear toda a Internet ... • Token, biometria, senha de 16 caracteres ... Só falta o teste de DNA! • Criptografia? Depois não venham me cobrar performance... Como (não) invadirem seu banco de dados - Por Lílian Barroso 5
  • 6. Atualmente, em uma corporação, o que é mais importante do que dinheiro? Como (não) invadirem seu banco de dados - Por Lílian Barroso 6 Quando se fala em segurança ...
  • 7. Como (não) invadirem seu banco de dados - Por Lílian Barroso 7
  • 8. Como (não) invadirem seu banco de dados - Por Lílian Barroso 8 O "ouro" das empresas são suas informações!!!
  • 9. • Então, onde fica armazenado o pote de ouro da empresa? • E, como proteger o seu pote de ouro? Como (não) invadirem seu banco de dados - Por Lílian Barroso 9
  • 10. Qual o motivo do ítem "SEGURANÇA DA INFORMAÇÃO" parar no perímetro do banco de dados??? Como (não) invadirem seu banco de dados - Por Lílian Barroso 10 ???
  • 11. Segurança em Camadas • Tratar a segurança do banco de dados é colocar mais uma camada na segurança da TI! Como (não) invadirem seu banco de dados - Por Lílian Barroso 11
  • 12. Alvos de Ataque! Servidor Perímetro Database Software Aplicação Cliente Contas (usuários) Dados Restritos Mudanças Criptografia Backup Auditoria Cliente Cliente Database Software Database Software Database Software Mudanças Contas (usuários) Contas (usuários) Contas (usuários) Aplicação Aplicação Aplicação Dados Restritos Dados Restritos Dados Restritos Backup Backup Backup Servidor Servidor Servidor Como (não) invadirem seu banco de dados - Por Lílian Barroso 12
  • 13. Qual o motivo de pensarmos em segurança só depois do incêndio? Como (não) invadirem seu banco de dados - Por Lílian Barroso 13
  • 14. Segredo: Desenvolva pensando no NEGÓCIO! • O desenvolvimento seguro deve ser feito pensando na manutenção do negócio. • A informação é o item de maior valor em uma empresa! Você sabe qual é o negócio, qual é a fonte de lucro da sua empresa? Você conhece a Política de Segurança da Informação da sua empresa? Como (não) invadirem seu banco de dados - Por Lílian Barroso 14
  • 15. BBBWS... Como (não) invadirem seu banco de dados - Por Lílian Barroso 15
  • 16. Como (não) permitir a invasão Pense em segurança desde o primeiro instante! Tenha MALDADE na sua cabeça! Tente pensar como um invasor. Como (não) invadirem seu banco de dados - Por Lílian Barroso 16
  • 17. Dicas básicas • Tenha uma equipe "multidisciplinar": Traga o DBA e o Security Officer para sua equipe! Como (não) invadirem seu banco de dados - Por Lílian Barroso 17
  • 18. Dicas básicas • Cuidado com senhas! Não manter senhas em texto puro no banco de dados. Se for necessário armazenar senhas, usar criptografia; • Use o princípio do menor privilégio!!! Como (não) invadirem seu banco de dados - Por Lílian Barroso 18
  • 19. Dicas básicas • Valide os dados de entrada da sua aplicação. • nUNCa utilizar contas administrativas do banco de dados. SYS, SYSTEM, SA, ROOT! Como (não) invadirem seu banco de dados - Por Lílian Barroso 19
  • 20. Dicas básicas • Aplique todos os patches de segurança disponibilizados pelo fabricante do SGDB; • Procure homologar sua aplicação para as novas versões de banco. Como (não) invadirem seu banco de dados - Por Lílian Barroso 20
  • 21. Dicas básicas teste mais um pouco. Como (não) invadirem seu banco de dados - Por Lílian Barroso 21 • Teste, teste e, quando estiver cansado ...
  • 22. Ops... peraí... repete?! Como (não) invadirem seu banco de dados - Por Lílian Barroso 22
  • 23. Resumindo • O pote de ouro é o Banco de Dados! • Pense em segurança desde o início; • Esteja alinhado com o negócio da empresa; • Trabalhe em equipe – inclusive com as outras equipes! • Conheça tecnicamente as estratégias de segurança para DBs. Como (não) invadirem seu banco de dados - Por Lílian Barroso 23
  • 24. E aí, seu pote de ouro está seguro??? Como (não) invadirem seu banco de dados - Por Lílian Barroso 24
  • 25. Caso queira saber mais ... lilian.dba@gmail.com br.linkedin.com/in/lilianbarroso/ http://lilianbarroso.wordpress.com/ liliandba @liliandba Como (não) invadirem seu banco de dados - Por Lílian Barroso 25
  • 26. Como (não) invadirem seu banco de dados - Por Lílian Barroso 26
  • 27. Fontes de pesquisa: • https://www.owasp.org/index.php/Main_Page • http://g1.globo.com/tecnologia/noticia/2010/05/conheca-os-diferentes-tipos-de- vulnerabilidades-e-ataques-de-hackers.html • http://corporate.canaltech.com.br/noticia/ibm/Para-CEO-da-IBM-informacao-e-o-maior- recurso-natural-deste-seculo/ • http://en.wikipedia.org/wiki/Database_security • https://security.berkeley.edu/node/138?destination=node/138 • http://www.oracle.com/technetwork/topics/security/whatsnew/index.html • http://www.oracle.com/technetwork/articles/entarch/arch-approach-inf-sec-360705.pdf • http://pt.slideshare.net/artinfo/segurana-em-banco-de-dados Como (não) invadirem seu banco de dados - Por Lílian Barroso 27
  • 28. Fontes (imagens) • http://pernaquebradarj.blogspot.com.br/2012/12/o-desespero-do-ator-e-falta-de-trabalho.html • http://aristizabalvegaseguros.com/site/ • www.accesssecurity.com • https://www.google.com.br/url?http://dearleticia.blogspot.com.br/2010/04/arco-iris-sonhos-e- chocolate-quente.html • http://technet.microsoft.com/en-us/library/cc767969.aspx • http://watchdogalarms.com.au/ • http://mariliabalbe.com/trabalho-em-equipe-quais-erros-voce-comete/ • http://makeitsafe.missouri.edu/topics/ • http://www.vectorstock.com/royalty-free-vector/pay-attention-handgesture-vector-692275 • http://security.iyogi.com/news/security-updates-microsoft-on-its-way-to-fix-patches.html • http://www.segurancadainformacao1.xpg.com.br/ameacaseataques.html Como (não) invadirem seu banco de dados - Por Lílian Barroso 28