Dias 20 e 21 de novembro estive num evento voltado
para segurança da informação em Florianópolis: a segunda edição do SC
Experience. Foram 2 dias com muuuuuito conteúdo voltado à segurança da
informação e como sempre faço, foi deixar um resumo do que vi lá durante estes
2 dias. 😍
Para começar, havia 2 trilhas de conteúdo para o
primeiro dia e 3 trilhas para o seguindo dia. Eu escolhi ir nas trilhas de
CyberSecurity (1º dia) e Gestão de Segurança da Informação (2º dia). Vamos ao
resumo 😀:
1º dia –
Trilha de CyberSecurity
KeyNote –
Patrícia Peck
Pensa numa mulher com muito conhecimento em TI e
Direito! A palestra dela foi muito TOP!
Ela falou de tendências para o mercado que envolve
dados e segurança digital: 5G, Cloud e inteligência artificial.
Recomentou algumas leituras, como: O risco de TI,
Dominados pelos números, Dataclima, A era das máquinas espirituais e ler o
Manual IBGS que é um manual de boas
práticas de riscos cibernéticos.
Uma frase bem bacana foi “Só problemas de crianças
acessando apps se o problema for mitigado desde cedo.”, ou seja, na concepção.
Nesse sentido o problema é não ter feito a pergunta: o celular será usado por
uma criança.? Isso eh privacy by design.
Deu um enfoque bem interessante ao risco de não
descartar ou higienizar os HDs de PCs antes de doar PCs antigos. Porque? Pois é
possível recuperar informações de HDs velhos. Já pensou uma planilha com o
salários de seus funcionários sendo recuperada num HD velho que foi doado à um
terceiro? Por causa disso, muitas empresas não estão mais doando HDs junto a
PCs antigos.
Uma coisa que já ouço muito, mas muitas pessoas
ainda não dão valor é que “Os dados são a riqueza da sociedade digital”. São o
novo petróleo.
Falou muito de LGPD e GDPR e disse que as maiores
denúncias com relação a este assunto foram telemarketing, e-mail marketing,
behavior mkt e video vigilância.
Envio de SMS de cobrança errado.
Envio de mala direta para menor de idade.
Novos
paradigmas para Blue Team com a adoção de Cloud - Rodrigo Montoro
Essa palestra foi um pouco mais técnica, mais o que
anotei de mais interessante foi:
Olhar com carinho para frameworks de Segurança da Informação,
como o CIS e seus 20 controles (basic, foundational, organizational).
Segmentar acessos da cloud, assim como já ocorre
nas redes internas segmentar garante que pessoas não tenham acesso a coisas que
não deveriam.
Estudar IAM/cloudtrail
Lições
aprendidas com o ataque massivo - Flavio Gonçalves
Essa palestra mostrou um caso real, de uma empresa
que opera com servidores de telemarketing e que sofre um ataque massivo aos
servidores, com o propósito de fazer ligações para outros países que as empresas
receberem uma conta de telefonia caótica. O problema foi de ter uma porta
indevidamente aberta. O que se descobriu é que os sistemas até podem ser bem
implantados, mas a maioria começa a sofre com as customizações e a falta de
avaliação de impacto para alterações novas em sistemas. Utilizaram ferramentas
como o Kali Linux e o MySQL Scanner para descobrir o problema.
Implantaram um módulo de segurança de forma
gratuita para todos os clientes exatamente por ter havido o ataque. O cliente
pensava que o servidor era de responsabilidade do fornecedor, sendo que no
contrato dizia que é de responsabilidade do cliente. Ponto de atenção aqui: eu
vejo muito disso. E quando dá um problema, o cliente vem chorando. Alguma
comunicação aqui deixou muito a desejar.
Temos 2
lições aprendidas da palestra:
- Dinheiro
para segurança da informação fica mais fácil depois que ocorre algum incidente;
- Como
comunicar para cliente? Quando menos claro é mais demorar, pior é. Por e-mail,
quando acontece um incidente, é terrível.
A conclusão da palestra foi: sempre verificar se as
regras de segurança permanecem em segura.
Privacidade
e Investigação Corporativa. O que devo saber? - Marcelo Lau
Essa é uma daquelas palestras legais para dar um
tapa na cara do povo. Eu já tinha visto ela, então vou resumir bem rapidamente
o que vi:
Teremos 3 grandes áreas em crescimento no mercado:
Segurança da informação, inteligência artificial e
cientista de dados.
Fez uma provocação bem legal: Você dá o seu CPF de
graça na farmácia sem que haja alguma promoção? Se é de graça, desconfia que o
produto é você e não o remédio.
Disse que as próximas eleições estarão cheias de
Deep Fakes
Crimes
cibernéticos e forense digital (o dia-a-dia de um perito) - Wilson Leite
Outra palestra TOP, agona na visão de uma pessoa
que lida diretamente com crimes digitais.
Crimes de informática impróprios: usam PCs para
praticar ou deixam rastros lá;
Crimes de informática próprio: visam sistemas
informáticos.
Falou um pouco sobre uma técnica utilizada por
alguns criminosos, que ocultam mensagens, senhas e etc em imagens de alta
resolução, que pegam uma parte da imagem e alteram para conter partes de senhas
e mensagens.
Falou do serviço “No more ramsonware” para tentar
fazer decriptografia de discos. Nem sempre funcionam.
Falou uma coisa bem interessante: que a seleção dos
novos agentes de polícia possui um enfoque maior com uma prova de TI. Super me
animei! 😍 Mas obviamente ainda precisa saber do básico de direito.
Sugeriu para ver um documentário no Netflix
“Mercado livre das drogas”.
Que um agente precisa aprender a ler LOGs de
Sistemas Operacionais.
Também mencionou algumas ferramentas utilizadas:
Caine Linux, deft, kali Linux, autopsy (recuperar arquivo avagado, etc), iped
(busca de HD indexador e processador de evidências digitais) e o Cellebrite (extração de dados de
celular).
Não vou falar aqui das técnicas que dificultam a
vida de um perito, pois as considero super importantes em termos de manter sigilo
de dados de empresas. 😉
Ainda anotei para me aprofundar em assuntos como
“cloud forense” e sobre a “comunidade científica de forense”.
PCI-DSS,
como implementar a “LGPD dos Dados de Cartão” - Thomas Ranzi
Falou de padrões de segurança da informação, como
PCI, BACEN e GDPR/LGPD e como ele aplicou o PCI para implantar a LGPD nos dados
de cartões da Nexera.
Www.immuniweb.com Para análise de vulnerabilidades
em sites.
Também falou da importância de campanhas internas
de conscientização.
2º dia –
Trilha de Gestão de Segurança da Informação
Cases de
“Insucessos” em Segurança e GRC - Jairo Willian Pereira
Mais uma palestra muito TOP. Eu recebi,
praticamente, uma pós inteira de segurança de informação num tempo de 1,5
horas. Então super recomendo para entusiastas da área.
Falou de erros que acontecem diariamente.
ICS-SCADA É ESTRATÉGIA NACIONAL DE SEGURANÇA
CIBERNETICA E-CIBER, sugeriu que todos da área lêssemos.
Praticamente todos os problemas acontecem baseados
em:
A transformação digital e o IOT esquecem de tratar
a segurança da informação. Logo teremos uma série de problemas por causa de
casas e outros locais super automatizados.
Cultura de SI se trata na base!
Antes de fazer um pentest, garanta que o básico
esta feito!
Tem ISO pra praticamente tudo relacionado em
segurança da informação. Então não saia procurando indicadores de SegInfo na
internet quando tem uma ISO (que é um padrão mundial) falando sobre o assunto.
O Gartner tem um modelo governança segurança da
informação: chama-se DSG. Leiam!
Gestão de incidentes com tipificação bem feita: Se
preocupe com comunicação
Escolha a ferramenta para te ajudar com as
vulnerabilidades de acordo com a maturidade do seu negócio.
Cuide da segurança de informação para atender a
estrategia da empresa, não somente para atender um rótulo (PCI, BACEN, LGPD,
etc.).
Utilizando
segurança orgânica inteligente para proteger informações corporativas - Eugênio
Moretzsohn
Essa palestra também foi bem diferente do que eu
estava acostumada: era um militar com toda uma carreira (invejável por sinal)
em segurança de informação. Ele falou muito sobre estratégias de combate. De
que a inteligência de informação não começou com a 2ª guerra mundial, mas sim
na guerra do fogo, por tribos para garantir suas sobrevivência.
Falou da estratégia do reforço territorial: mostre
quem está no comando! Mantenha sempre o local externo sempre limpo e arrumado.
Se alguém pixa, pinta o mais rápido possível por cima.
Melhor forma de se proteger é educando. (Estão
percebendo como educação de pessoas está aparecendo recorrentemente? 😉).
Check-list de segurança orgânica da família de ISO
27000.
Eleja um comitê de Segurança da Informação
multidisciplinar. Acredite, você vai descobrir o inimaginável.
Trate segurança dentro de casa, pois o compliance
pega na mão, já aauditoria pega no pé.
Investir fortemente em educação de segurança
interna. (Sim, ele enfatizou isso 2 vezes em pontos diferentes 😉).
As bases da prevenção são a educação e a
fiscalização. (errei, foram 3 😉).
Engenharia
Social: A Fisiognomonia como técnica avançada de Human Hacking - Davis Alves,
Ph.D
Já assisti várias aulas e webinars do Davis no site
da TI Exames, mas nunca sobre esse tema. Sabe aquele livro “O corpo fala”? A
palestra foi basicamente isso, mas sobre características físicas. Exemplo:
Pessoas de olhos cláros são mais frias e focadas. Isso se chama: Fisiognomonia.
Técnica essa utilizada muito pela polícia americana.
Temos uma
espiã entre nós! Contos e casos de uma Engenheira Social. - Marina Ciavatta
Esta foi a palestra de uma espiã contratada pelas
próprias empresas para que ela invada as mesmas e prove que seus sistemas
físicos não são tão seguros como parecem. Ela falou para ler o Manifesto Hacker
e fez uma palestra basicamente voltada a roubo de informações e equipamentos
baseados em engenharia social, muito parecida com a palestra do Eugênio
Moretzsohn.
Sempre preste atenção nas informações valiosas com
as quais lidamos todos os dias.
Não confie em desconhecidos. Deu um enfoque muito
grande sobre termos cuidado do que divulgamos nas redes sociais relacionado à
empresa. E isso não é só para aquela foro do seu computador contendo a senha
num post-it. Falou de um caso que ela fez para entrar disfarçada numa empresa,
copiando um crachá de um funcionário que postou foto dele na internet. Ela usou
a desculpa de “O meu crachá não está passando aqui, você pode passar para mim?”
para a recepcionista. Basicamente, o jeito mais fácil é invadir locais utilizando
gentileza, pressa e “um jeito desastrado” para conseguir acesso a locais.
E problemas comuns continuam sendo:
- armários
trancados com a chave dentro.
Como conscientizar sua empresa de que segurança da
informação é importante?
- crie
campanhas;
- faça
treinamentos para a equipe;
- realize
testes constantes;
- compartilhe
suas preocupações;
- confronte
pessoas entranhas, reporte.
A conclusão foi: treine seus funcionários! Não
deixe que a gentileza faça com que você passe o crachá no lugar de outra
pessoa.
Para tempos
de privacidade de dados: Gestão do Conhecimento - Dr. Maurício Rotta
Teoria da escassez: os desejos humanos são praticamente
infinitos em um mundo de recursos limitados.
Economia do conhecimento: segue a teoria da
abundancia, quanto mais compartilho, mas ganho.
As pessoas precisam ter consciência do que
compartilham com as empresas.
Lembra que eu falei que no 2º dia tinham 3 trilhas?
A última palestra foi extremamente difícil de escolher em qual eu iria! Tinha
as seguintes palestras:
- Case: Liberando software seguro.
Vulnerabilidade se trata em casa! - Heber da Silva e Eric Castoldi na
trilha de Dev Security;
- Elo mais fraco: Cases práticos da proteção
humana - Dr. Paulo Silva na trilha de Gestão de segurança da informação;
- Convergência de redes de acesso e segurança
aliados a automação, como a Fortinet pode ajudar? - Fortinet – Alessandro
Nobre na trilha de soluções.
Eu queria ir nas 3! Mas não tinha como. 😐
Escolhi ir na trilha de Dev Security, e ver meus colegas de trabalho falando como eles
implantaram o SAST na cadeia produtiva de desenvolvimento da empresa,
considerando produtos novos e legado de quase 30 anos. Sim, eles trabalham na
mesma empresa que eu, e acabei respondendo pergunta sobre como estamos
implantando a LGPD no desenvolvimento. Hahaha! Frase de conclusão da palestra
foi:
"Qualidade e segurança não são negociáveis."
Caramba, trabalhei 6 anos na qualidade de produtos
e agora estou na segurança, não tinha como terminar melhor!
Espero que tenham gostado do resumo. Até mais! 😉
”, do André
Campos. Como o próprio subtítulo já fala, ele é voltado a riscos, mas isso não
quer dizer que não aborda outros temas.
