Mantenha a porta aberta para usuários e fechada para hackers

Transcrição

1 com Mantenha a porta aberta para usuários e fechada para hackers

2 Uma mudança na atividade Seu site serve como porta de entrada para sua empresa para muitos clientes, mas também se tornou uma porta dos fundos para fraudadores. Segundo relatórios recentes, os criminosos cibernéticos expandiram seu alcance para além dos alvos tradicionais de cartões de crédito e operações bancárias de consumidores. Agora, eles estão atrás dos dados valiosos que podem ser acessados pela internet ou por dispositivos móveis. Os cinco principais setores violados:¹ Saúde 37% com Varejo 11% Educação 10% Governamental e público 8% Financeiro 6% Este ano, o crime organizado marcou presença nos ataques a aplicativos da web.² 1 2 Symantec Internet Threat Report 2015 Verizon Data Breach Report 2015 < 2 >

3 Com a facilidade de seus dispositivos, os usuários costumam escolher senhas simples, das quais possam se lembrar sem grandes problemas. Isso significa que usam uma palavra, frase ou número que tenha um significado especial para eles. Mas um invasor que saiba algo sobre o usuário pode descobrir a senha sem muita dificuldade. Entretanto, mesmo as senhas s não são seguras. Ataques recentes, como phishing, MITM (Man-In-The-Middle), força bruta, spyware e engenharia social, mostram como as senhas s podem ser facilmente s. 95% dos incidentes (com aplicativos da web) envolvem o roubo de credenciais dos dispositivos do cliente e o uso dessas informações para efetuar logon no aplicativo.³ com 3 Verizon Data Breach Report 2015 < 3 >

4 Não apenas os usuários preferem senhas simples, mas eles querem também simplificar o processo de logon ao... Federado OAuth Consumidores Logon direto Mídia social Site com Federado Sites de parceiros SAML 53% dos entrevistados usam o logon de mídia social para evitar ter que preencher formulários de registro se conectarem a redes sociais, como Twitter, Facebook, LinkedIn, Instagram, etc., e fazerem a federação a partir de sites de parceiros que colocam os dados diante de um risco ainda maior. 4 Statista, Reasons for users in the United States to Use Social Login as of July < 4 >

5 E o perigo com o logon. Desde o início da entrega de aplicativos da web, tem havido uma oportunidade para os fraudadores interceptarem uma transação a fim de personificar o usuário legítimo. Como as credenciais usadas para essa fraude são válidas e "supostamente estão sob o controle do usuário", esse tipo de personificação tem sido difícil, senão impossível, de detectar e parar. Isso exige que as organizações implementem estratégias de autenticação com base no tipo de dados ou aplicativos sendo acessados. As medidas de segurança não devem ser aplicadas somente durante a autenticação inicial, mas continuamente ao longo da sessão do usuário para impedir ataques de reprodução de cookies. com < 5 >

6 E se a conta de um usuário for??????? Que tipo de dados o hacker poderia acessar? Quais tipos de ações poderiam ser executadas? Como saber que houve uma violação? Qual seria o impacto para o usuário final? com?????? Se tiver de usuários, 0,7% deles terão suas senhas s a cada ano 5, o que representa cerca de contas violadas por ano e custos anuais com violações de dados estimados em US$ 1,5 milhão. 6 5 Verizon Data Breach Report Cost of Data Breach Study by Ponemon Institute < 6 >

7 encontrando o equilíbrio adequado As futuras iniciativas de autenticação corporativa serão orientadas por três considerações: com Segurança apropriada Conveniência para o usuário Custo total de propriedade A combinação certa dos itens acima ajudará as organizações a bloquear dados confidenciais e também a oferecer aos usuários uma experiência sem atritos, não importa se eles estiverem interagindo pela internet no computador ou por um dispositivo móvel. < 7 >

8 Uma abordagem de segurança em Na autenticação, os fatores geralmente são classificados como: Algo que você sabe (exemplos: senha, PIN, perguntas e respostas) Algo que você tem (exemplos: certificado, dispositivo) Algo que faz parte de você (exemplos: impressão digital, reconhecimento de retina) com Também há uma série de métodos de autenticação emergentes, tais como: Onde você está? O dispositivo é confiável? Qual é o comportamento? (exemplos: IP, geolocalização) (exemplos: conhecido ou desconhecido) (exemplos: normal ou anormal) < 8 >

9 com A autenticação com também conhecida como "autenticação contextual" é uma iniciativa do lado do servidor que oferece aos usuários uma experiência mais simples e, ao mesmo tempo, aumenta a segurança. com Onde está o usuário? Ele já esteve lá antes? Esteve lá recentemente? O tipo de conexão é consistente? Que sistema ou dispositivo está sendo usado? Qual é o tipo de dispositivo? Este dispositivo já foi usado? O dispositivo mudou desde que foi usado pela última vez? O que o usuário está tentando fazer? Essa é uma ação típica do usuário? A ação é inerentemente arriscada? Ele já realizou ações semelhantes antes? O comportamento do usuário é consistente? Este é um horário normal do dia? A frequência do logon está anormal? O comportamento atual é consistente com o comportamento anterior? < 9 >

10 A autenticação inclui tanto a autenticação quanto a autenticação com. Por meio da combinação de autenticação e com base em risco, você tem uma solução de autenticação que pode: Fornecer aos usuários a credencial apropriada para uma determinada hora e local. Reduzir as chances de que ocorram violações de dados. Ajudar a manter a conformidade com as regulamentações do setor. Manter uma experiência de usuário positiva. Diminuir os custos administrativos e de suporte. Em um ambiente no qual o roubo de identidades, as violações de dados e a fraude estão aumentando na mesma proporção que a oferta do acesso em qualquer lugar e a qualquer momento para funcionários, parceiros e clientes, uma solução abrangente de autenticação e com é importante para a estratégia de segurança de todas as organizações. com Assista ao nosso webcast para aprender a proteger sua organização com métodos de autenticação que incluem tanto a autenticação quanto a autenticação com. < 10 >

11 com Estratégias para impedir o Com tantos pontos de acesso para proteger e nenhuma garantia de que os usuários ou os desenvolvedores web e de aplicativos estão preparados para fazer sua parte, a segurança da sessão pode parecer uma batalha penosa. Mas assim como os criminosos cibernéticos adotaram novas técnicas ao longo dos anos, você também tem novas tecnologias e estratégias que pode usar para proteger as sessões do usuário. Os dois métodos mais bem-sucedidos para reforçar a segurança da sessão são a verificação contínua de dispositivos e a autorização com. A verificação contínua de dispositivos confirma repetidamente se o usuário que iniciou a sessão ainda está no controle. A autorização com aumenta o nível de segurança quando o usuário tenta acessar dados mais confidenciais, exigindo uma autenticação nova e mais robusta antes de abrir a próxima porta. Ambos os métodos podem ser extremamente úteis quando usados individualmente para ajudar a proteger as sessões do usuário. E quando usados em conjunto, eles podem ajudar a estabelecer um escudo praticamente impenetrável entre os usuários e os criminosos que tentam sequestrar as sessões. Dica para a segurança da sessão Uma sessão segura centralizada é uma opção muito melhor para garantir a segurança dos aplicativos do que o gerenciamento separado da segurança da sessão para cada aplicativo. < 11 >

12 com Technologies para impedir violações de segurança A CA tem soluções que podem oferecer à sua organização a segurança de que ela precisa para proteger seus sites contra o acesso indevido, violações de dados e fraude online. Entre elas: CA Advanced Authentication: pode implementar uma avaliação de risco transparente e para uma senha existente a fim de oferecer uma maior garantia de que o usuário é realmente quem ele diz ser. A solução avalia o risco com base na identificação do dispositivo, na geolocalização, no comportamento do usuário e na velocidade. Além disso, quando a pontuação de risco excede um limite definido, ela aciona automaticamente um processo de autenticação intensificado. O CA Advanced Authentication também pode fornecer duas credenciais de autenticação exclusivas de dois fatores e com base em software, as quais podem ser usadas para tratar da conformidade regulatória e dos requisitos de auditoria. CA Single Sign-On (CA SSO): oferece uma base centralizada de gerenciamento de segurança que permite o logon único na web em aplicativos internos, hospedados ou de parceiros para seus clientes e parceiros de negócios. A solução é compatível com registro e logon de mídia social e com federação de identidades. Além disso, ela integra o mecanismo de análise de risco do CA Advanced Authentication para oferecer uma maior garantia da sessão com o DeviceDNA. Esse recurso ajuda a impedir que usuários não autorizados sequestrem sessões legítimas com cookies roubados. Para saber mais, entre em contato com seu representante de vendas da CA Technologies ou visite nosso site: < 12 >

13 com A CA Technologies (NASDAQ: CA) cria software que acelera a transformação das empresas e permite que elas aproveitem as oportunidades da economia dos aplicativos. O software está no cerne de todas as empresas, em todos os setores. Do planejamento ao desenvolvimento e do gerenciamento à segurança, a CA está trabalhando com empresas do mundo todo para mudar a maneira como vivemos, fazemos negócios e nos comunicamos usando dispositivos móveis, as nuvens privada e pública e os ambientes distribuídos e de mainframe. Obtenha mais informações em ca.com/br. CA Todos os direitos reservados. Todas as marcas comerciais, os nomes de marcas, as marcas de serviço e os logotipos aqui mencionados pertencem a suas respectivas empresas. As economias anuais mostradas acima são estimativas derivadas de análises de contratos de clientes da CA Technologies. Esses valores não são uma garantia dos resultados que podem ser obtidos e variam de acordo com a infraestrutura, as pessoas e os processos atuais, além da implementação, adoção e uso adequados e efetivos da solução da CA Technologies. Algumas informações desta publicação têm como base as experiências da CA ou de clientes com o produto de software em referência em vários ambientes de desenvolvimento e de cliente. O desempenho passado dos produtos de software nesses ambientes de cliente e de desenvolvimento não é um indicativo do desempenho futuro desses produtos de software em ambientes idênticos, semelhantes ou diferentes. A CA não oferece nenhuma garantia de que o produto de software funcionará especificamente conforme estabelecido nesta publicação. A CA oferecerá suporte aos produtos mencionados apenas de acordo com (i) a documentação e as especificações fornecidas com o produto mencionado e (ii) a diretiva de suporte e manutenção da CA então vigente para os produtos mencionados. A CA não oferece consultoria jurídica. Este documento e qualquer produto de software da CA mencionado neste documento não devem servir como um substituto de sua conformidade com quaisquer leis (incluindo, mas não se limitando a, qualquer lei, estatuto, regulamentação, regra, diretiva, política, padrão, diretriz, medida, requisito, ordem administrativa, ordem executiva, etc.; coletivamente, "Leis ) mencionadas neste documento. Você deve consultar a assessoria jurídica competente sobre quaisquer Leis mencionadas neste documento. CS < 13