Batalha contra phishing ganha novos inimigos que superam autenticação 2FA

Pesquisadores desenvolveram duas ferramentas que automatizam ataques de phishing capazes de ignorar a autenticação de dois fatores 2FA. A maioria dos mecanismos de defesa existente não é suficiente para impedir esse tipo de ataque. Uma vez que as ferramentas tornam esses ataques muito mais fáceis de serem implantados, as organizações devem adaptar suas defesas anti-phishing para barrar essa nova armadilha.

O novo toolkit foi apresentado no mês passado na conferência “Hack in the Box” em Amsterdã, na Holanda, e foi lançado no GitHub dias depois. Ele abrange dois componentes: um proxy reverso transparente chamado Muraena e um contêiner Docker para automatizar instâncias headless do Chrome conhecido como NecroBrowser.

Um tipo de ataque “man-in-the-middle”

Os ataques tradicionais de phishing, com os quais a maioria das pessoas está familiarizada, consistem em páginas de login falsas hospedadas em servidores da web controlados por invasores e atendidas por domínios personalizados cujos nomes são semelhantes aos dos sites segmentados. No entanto, esses ataques estáticos não são eficazes contra serviços online que usam autenticação de dois fatores, pois não há interação com os sites legítimos para acionar a geração de códigos de uso único. Sem esses códigos, os hackers não conseguem fazer login com as credenciais falsificadas.

Para derrubar a autenticação de dois fatores, os invasores precisam ter seus sites de phishing funcionando como proxies, encaminhando solicitações em nome das vítimas para os sites legítimos e entregando respostas em tempo real. O objetivo final não é obter apenas nomes de usuário e senhas, mas tokens de sessão ativos, conhecidos como cookies de sessão, que os sites reais associam a contas logadas. Esses cookies de sessão podem ser colocados dentro de um navegador para acessar diretamente as contas com as quais estão associados, sem a necessidade de autenticação.

Essa técnica baseada em proxy, contudo, já é conhecida há muito tempo. Mas a aplicação desse ataque exige conhecimento técnico e envolve a configuração de várias ferramentas independentes, como a utilização do servidor web NGINX para ser executado como proxy reverso. Em seguida, o invasor precisa capturar manualmente os cookies da sessão roubada antes que eles expirem. Além disso, alguns sites usam tecnologias como Subresource Integrity (SRI) e Content Security Policy (CSP) para impedir o proxy, e alguns até bloqueiam navegadores automatizados com base em cabeçalhos (os “headers”).

Muraena e NecroBrowser foram desenvolvidos para derrotar essas proteções e automatizar a maior parte do processo. Isso significa que o lançamento de ataques de phishing que podem derrotar o 2FA agora pode ser feito por um número maior de invasores. As ferramentas foram criadas pelos pesquisadores Michele Orru, ex-desenvolvedor do Projeto de Estrutura de Exploração do Navegador (BeEF), e Giuseppe Trotta, um membro do projeto Bettercap.

Como Muraena e NecroBrowser funcionam?

Muraena é escrito na linguagem de programação Go, o que significa que ele pode ser compilado e executado em qualquer plataforma onde Go esteja disponível. Depois de implantado, o invasor pode configurar seu domínio de phishing e obter um certificado legítimo para ele – por exemplo, usando a autoridade de certificação gratuita Let’s Encrypt, oferecida pela Internet Security Research Group (ISRG).

A ferramenta contém um servidor da web mínimo que atua como proxy reverso e um rastreador que determina automaticamente quais recursos do site legítimo serão executados. O proxy reescreve de forma transparente os pedidos recebidos da vítima antes de transmiti-los.

O rastreador gera automaticamente um arquivo de configuração JSON, que pode ser ajustado manualmente para contornar várias defesas em sites mais complexos. O pacote inclui exemplos de arquivos de configuração para Google, GitHub e Dropbox. Quando a vítima chega a um site de phishing com o suporte de Muraena, o processo de login funciona exatamente como no site real. O usuário é solicitado pelo código 2FA. Uma vez que essas informações são fornecidas, a autenticação é concluída e o proxy rouba o cookie da sessão.

O token de sessão é normalmente armazenado pelo navegador dentro de um arquivo e é exibido em solicitações subsequentes. Isso permite que o site forneça automaticamente a esse navegador acesso a uma conta por um determinado período de tempo (duração da sessão) sem solicitar a senha de login novamente. O Muraena pode passar automaticamente os cookies de sessão coletados para o segundo componente, o NecroBrowser, que imediatamente começa a utilizá-los.

O NecroBrowser é um microsserviço que pode ser controlado por meio de uma API e configurado para executar ações por meio de instâncias headless do Chrome em execução nos contêineres do Docker. Dependendo dos recursos disponíveis do servidor, um invasor pode gerar dezenas ou centenas desses contêineres simultaneamente, cada um com um cookie de sessão roubado de uma vítima.

As ações executadas pelas instâncias do “navegador zumbi” podem ser totalmente automatizadas. Por exemplo, dependendo do tipo de conta, isso pode permitir tirar screenshots de e-mails, redefinir senhas, fazer o upload de senhas não autorizadas para o GitHub ou adicionar endereços de encaminhamento desonestos às caixas de correio. As instâncias do navegador também podem ser usadas para coletar informações sobre contatos e amigos em redes sociais e até enviar mensagens de phishing para esses amigos em um ataque do tipo “worm”.

Como se proteger contra ataques phishing automatizados

Infelizmente, poucas soluções técnicas bloqueiam completamente esses ataques de phishing no lado do servidor. O Muraena foi desenvolvido para mostrar que técnicas como SRI e CSP têm um efeito limitado e podem ser contornadas de maneira automatizada. Além disso, a ferramenta mostra que o 2FA não é uma solução à prova de balas.

Porém, o phishing baseado em proxy não pode derrotar algumas implementações do 2FA – aquelas que usam tokens de hardware USB com suporte para o padrão Universal 2nd Factor (U2F). Isso porque esses tokens USB estabelecem uma conexão “criptograficamente” verificada com o site legítimo por meio do navegador, que não passa pelo proxy reverso do invasor.

Enquanto isso, as soluções baseadas em códigos recebidos por SMS ou geradas por aplicativos móveis de autenticação são vulneráveis, porque as vítimas precisam inseri-las manualmente e podem fazê-lo nos sites de phishing.

Outra solução técnica pode ser a aplicação de uma extensão do navegador que verifica se o usuário está inserindo suas credenciais no site correto. O Google desenvolveu essa extensão para o Chrome, chamada Alerta de senha, que avisa aos usuários caso insiram suas credenciais do Google em qualquer site que não pertença ao Google.

Educar os usuários para serem vigilantes e certificarem-se de que estão se autenticando no site correto, com o nome correto de domínio, continua sendo muito importante. A presença de um indicador TLS/SSL e um certificado válido não são suficientes para considerar que um site é legítimo, pois agora os certificados podem ser obtidos gratuitamente, de modo que a maioria dos sites de phishing serão habilitados para HTTPS.

Conheça nossa Solução de Conscientização Sobre Segurança da Informação clicando aqui ou preencha o Formulário abaixo e entre em contato com a Future!

Fonte: CIO.

Read More

Bancos e seus clientes são alvo de ataques cibernéticos?

Atualmente, os ataques cibernéticos não se concentram apenas nas grandes empresas. O setor bancário e seus clientes não estão excluídos dessas ameaças no mundo digital.

Novos “malwares”, que miram o mercado financeiro surgem cada vez mais sofisticados, colocando em risco as finanças e dados sigilosos dos consumidores.

Existem, por exemplo, aplicativos bancários falsos para dispositivos móveis com interfaces que imitam ser aplicativos bancários originais. No mundo todo, um em cada três consumidores foi vítima de plataformas fraudulentas.

Nestes casos, os cibercriminosos miram os consumidores finais, pois sabem que a maioria das informações confidenciais é armazenada em dispositivos móveis e em computadores pessoais usados para acessar serviços bancários online.

Também consideram esses usuários como pontos fracos, porque geralmente ignoram práticas de segurança que devem ser aplicadas.

De acordo com uma pesquisa da Avast, líder em produtos de segurança digital, globalmente, 58% dos entrevistados foram capazes de identificar que a interface do aplicativo bancário oficial era fraudulenta, enquanto 36% confundiram a interface falsa com a real.

No Brasil, os resultados mostraram que 68% detectaram a interface fraudulenta, enquanto 30% confundiram a falsa com a verdadeira.

A pesquisa mostrou ainda que todos os dias a preocupação do consumidor cresce com relação ao receio dos cibercriminosos roubarem dinheiro de suas contas; ou porque as suas redes sociais podem ser violadas se algum estranho tiver acesso às conversas pessoais.

No mundo, 72% dos entrevistados apontaram a perda financeira como a principal preocupação. No Brasil, 75% dos consumidores revelaram a mesma preocupação, enquanto na Rússia foram 54%.

Luis Corrons, Evangelista de Segurança da Avast, traz algumas dicas para que os consumidores evitem e combatam crimes cibernéticos: “Cuidado com trojans bancários em dispositivos móveis. Esses aplicativos tentam enganar os usuários para fornecerem detalhes de suas contas bancárias, fingindo ser um aplicativo bancário legítimo. Eles imitam uma tela ou geram uma seção genérica, com o logotipo do banco correspondente”, comenta.

Evite armadilhas de phishing

Phishing, ou phishing scam, é uma técnica de engenharia social usada por cibercriminosos para induzir as pessoas a fornecerem informações sigilosas, como detalhes de cartão de crédito e credenciais de login.

O phishing geralmente se apresenta na forma de um e-mail, que parece vir de uma organização legítima, dificultando seu reconhecimento e incluindo um link ou um anexo que direciona o usuário para sites maliciosos, quase idênticos ao site original. Uma vez acessado, o site fraudulento solicita o envio das informações pessoais da vítima.

Senhas: a chave do cofre

O uso de senhas seguras e exclusivas para cada conta e sua alteração regularmente é uma prática importante que os usuários devem levar em conta, para manter suas contas online protegidas, especialmente as bancárias.

“Recomendamos o uso de um gerenciador de senhas, como o Avast Passwords, para gerenciá-las já que a maioria das pessoas tem mais de 20 contas online, dificultando a criação e o registro de senhas seguras e únicas para cada uma das contas”, disse Luis Corrons.

Esses gerenciadores usam criptografia segura e geram senhas fortes para todas as contas. Os usuários não podem se lembrar de senhas tão longas, mas podem alterá-las com facilidade e frequência.

Caso as senhas não sejam alteradas, será difícil detectar violações e roubos de dados, e possibilitará que os cibercriminosos obtenham credenciais de login para cometer fraudes sem que ninguém perceba.

Instalação de uma rede segura

A instalação de um programa antivírus é obrigatório para qualquer dispositivo, mesmo que seja Mac, Windows ou Android. Um antivírus protege os usuários contra ameaças como spyware, ransomware, keyloggers e trojans.

“Independentemente de como as pessoas são cuidadosas, os cibercriminosos sempre encontram novas maneiras de acessar as contas de usuários. O antivírus atua como uma rede de segurança, que protege os dados a qualquer momento e em segundo plano, para que as pessoas possam usar os seus dispositivos sem preocupação”, Corrons esclarece.

Mantenha serviços bancários online em seus próprios dispositivos

“O usuário nunca deve fazer transações financeiras de um computador ou dispositivo móvel que não pertença a ele, pois não há segurança por parte de quem o utilizou no passado e conhecimento sobre o tipo de software em execução. O mesmo pode acontecer com redes Wi-Fi; os usuários devem evitar realizar transações financeiras conectando-se com redes públicas, já que os cibercriminosos podem espionar suas atividades e, se necessário, usá-las. Por isso, deve-se usar uma VPN (Rede Privada Virtual) para realizar operações“.

Protegendo a privacidade do usuário

É preciso prevenir que o cibercriminoso veja o que o usuário está digitando no dispositivo. O Modo Banco do Avast Secure Browser é um recurso de segurança que cria uma sessão isolada, como uma sala privada, para garantir que a digitação não seja registrada e que nenhum espião esteja observando as transações bancárias.

Assim, quando um usuário abre o navegador em um espaço de trabalho isolado, é criado um local seguro para proteger suas senhas, números de cartões de créditos e outros dados pessoais contra malware.

Entre outros recursos de privacidade, o Avast Secure Browser oferece: Modo Stealth, que não salva históricos de navegação dos usuários e elimina cookies de rastreamento ou caches web selecionados numa sessão de navegação; e, adicionalmente, ativa automaticamente o Anti Rastreamento para proteger a privacidade dos usuários, impedindo que os sites controlem as atividades online.

Mantenha-se protegido. Conte com a Future! Somos parceiros dos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CryptoID.

Read More

12 segredos obscuros da criptografia

A criptografia está se tornando uma solução rápida para o desenvolvedor, seja qual for a privacidade de dados ou a preocupação com a segurança. Com medo de colocar seu cartão de crédito em um formulário web? Não se preocupe. Estamos usando criptografia. Não tem certeza se um site é autêntico? A criptografia está de volta. A boa notícia é que os algoritmos de criptografia funcionam algumas vezes. A matemática oferece alguma proteção contra a espionagem e uma base sólida para a confiança.

Mas toda a magia tem seus limites e a coisa complicada com a criptografia é que pode ser impossível ter certeza de onde esses limites estão. A matemática pode ser tão inspiradora que só podemos nos sentar e olhar boaquiaberto. É fácil se perder e apenas se resignar a confiar que tudo dará certo quando os cálculos forem muito complexos.

No final, com criptografia, o melhor que podemos fazer é gerenciar nossas expectativas e nossa compreensão. Não podemos viver sem criptografia, mas não podemos presumir que funcionará com a mesma facilidade ou confiabilidade que um interruptor de luz.

Então, aqui estão uma dúzia de segredos obscuros da criptografia para se ter em mente ao procurar soluções para problemas intratáveis em sua arquitetura de informações.

Nós não entendemos isso

A maior parte do poder da criptografia depende do fato de não sabermos o suficiente sobre a matemática envolvida para revertê-la. Sabemos como calcular as funções, mas não como invertê-las. Podemos multiplicar e multiplicar números grandes, mas não podemos calcular o logaritmo. Em outras palavras, não sabemos a matemática de trás para frente, só a conhecemos somente pela frente. Quando um grupo de pessoas inteligentes não consegue descobrir como retroceder, ficamos por aqui, damos de ombros e abraçamos os algoritmos. É o melhor que podemos fazer. O algoritmo mais comumente implementado depende do fato de que ninguém descobriu publicamente qualquer maneira de atacá-los.

Nossas estimativas são apenas estimativas

Alguns matemáticos encontraram algoritmos básicos para atacar as funções de criptografia conhecidas, mas eles são lentos demais para quebrar a criptografia com chaves reais. Os algoritmos funcionam apenas com números pequenos e sua velocidade aumenta exponencialmente com o tamanho do problema. Esses algoritmos geram todas essas estimativas surpreendentes sobre como seriam necessários bilhões de quatrilhões de quintilhões de bilhões de anos para serem quebrados. Isso soa tranquilizador, mas é como um golfista iniciante dizendo que pode levar bilhões de anos no golfe para acertar um buraco na primeira. Isso pode ser verdade para o iniciante, mas não para os profissionais que os atingem regularmente. No mundo da criptografia, somos todos iniciantes lançando estimativas.

As provas são parciais

Alguns dos cientistas e matemáticos mais dedicados trabalham duro para fornecer uma “prova” de seu algoritmo. Essas cadeias de etapas lógicas bem avaliadas nos ajudam a entender a força do algoritmo de criptografia, mas isso não é a mesma coisa que garantir que seus dados estarão seguros. As provas apenas iluminam algum trabalho, e sempre há monstros escondidos na escuridão. Na maioria dos casos (exceto códigos de uso único), as provas não cobrem tudo e dependem de suposições sobre como alguns problemas são realmente difíceis. Isso pode ser verdade no passado, mas isso não é garantia para o futuro.

Nós não podemos medir a força

As equipes de vendas de tecnologia de segurança gostam de usar termos como “grau bancário” ou misturar números como 1024 bits, mas a realidade é que não temos uma boa maneira de fazer mais do que adivinhar a força dos algoritmos. O dobro de 2048 bits é igual a 1024 bits? Ou a diferença é astronômica?

A pesquisa só começa a arranhar a superfície. Alguns dos ataques funcionam apenas em uma faixa estreita de mensagens e apenas quando um milhão de estrelas se alinham. Outros ataques tornam tudo acessível. Podemos ver como esses ataques funcionam no laboratório, mas é difícil estender a ação até quanto eles podem ameaçar nossos dados.

O futuro da computação é um mistério

Ninguém sabe se computadores quânticos serão construídos com energia suficiente para lidar com problemas significativos, mas sabemos que as pessoas estão tentando e divulgando comunicados à imprensa sobre como fazer progressos. Sabemos também que, se as máquinas quânticas aparecerem, alguns algoritmos de criptografia serão quebrados.

Muitos cientistas de criptografia estão trabalhando duro na construção de novos algoritmos capazes de resistir a computadores quânticos, mas ninguém sabe realmente a extensão dos poderes de um computador quântico. Será limitado aos algoritmos conhecidos? Ou alguém encontrará outra maneira de usar o computador quântico para quebrar todos os novos algoritmos.

Dados criptografados não são dados seguros

Às vezes, a criptografia funciona muito bem. Ele bloqueia os dados dentro de um cofre matemático e, de alguma forma, a chave desaparece. É fácil fazer backup de dados criptografados, mas é um desafio fazer backup de chaves e senhas. Se você for muito cuidadoso, poderá acabar bloqueando-se dos próprios dados. Se você morrer inesperadamente, ninguém poderá descobrir a senha ou a chave que falta. Dados criptografados não são os mesmos que dados seguros. Dados criptografados são frágeis.

A criptografia é fácil. O gerenciamento de chaves é difícil!

Alguns padrões de criptografia são bem confiáveis porque foram desenvolvidos por meio de um processo árduo de vários anos. É fácil conseguir um de uma biblioteca de código aberto e ter certeza de que a criptografia será segura. A parte difícil, no entanto, é distribuir as chaves entre todos que precisam delas. Sistemas simétricos como o AES exigem que a chave viaje separadamente por meio de um canal seguro, mas se tivéssemos um canal seguro, não precisaríamos de criptografia. Se planejarmos com antecedência, geralmente podemos obter as chaves certas para as pessoas certas.

Os sistemas de chave pública tornaram mais fácil para as pessoas configurar um caminho seguro sem se reunir antecipadamente, mas elas têm seus próprios problemas. Como você sabe que está usando a chave pública certa para uma pessoa? A autoridade de certificação é confiável? Ainda há necessidade de voto de confiança no sistema.

O código de suporte é frágil

A distribuição de chaves não é a única faceta que cria pesadelos para os desenvolvedores de criptografia. Muitas partes do algoritmo podem vazar informações, às vezes deliberadamente. É comum, por exemplo, misturar números aleatórios com uma mensagem, mas encontrar esses números aleatórios pode ser complicado. Alguns dos chamados geradores de números aleatórios têm falhas, que os tornam longe de serem aleatórios, e sua previsibilidade pode ser usada para adivinhar a chave e quebrar a mensagem. O algoritmo de criptografia é apenas parte do jogo.

Hardware compartilhado é perigoso

Ultimamente mais e mais códigos estão sendo executados na nuvem devido ao custo e flexibilidade. O problema é que ninguém sabe o que os vizinhos que estão compartilhando sua máquina estão fazendo. Existem inúmeras vulnerabilidades que permitem que um software espie a memória de outra peça no mesmo computador. Os desenvolvedores do sistema operacional tentam pará-lo, mas novas falhas como o RowHammer aparecem com frequência. Parece que há dezenas de possíveis ataques a computadores na nuvem e estamos apenas começando a perceber o quanto precisamos nos preocupar com isso.

É impossível detectar um hardware invadido

Você já viu os transistores em seus chips? Você já se certificou de que eles são leais a você, o desenvolvedor de software? Alguns hackers perspicazes fizeram engenharia reversa de um chip e descobriram que ele tinha um modo de deus oculto e não documentado, o qual era acionado por uma sequência aleatória de bytes. Quem os colocou ali? Ninguém tem pressa para levar o crédito.

Assinaturas digitais apenas mudam a responsabilidade

A matemática por trás de alguns dos melhores algoritmos de assinatura digital é encantadora e hipnotizante. Somente o proprietário da chave privada pode executar os cálculos que produzem uma assinatura digital legítima. Isso soa muito, muito melhor do que uma assinatura manuscrita, que geralmente pode ser forjada por um aluno da quarta série que precisa de um pai para assinar um teste ruim.

Mas será mesmo? As chaves privadas não estão vinculadas à pessoas. Uma assinatura digital só pode ser produzida por alguém com acesso à chave privada. Esse pode ser o dono legítimo, ou pode ser alguém que invadiu o computador ou usou uma senha ou inseriu um registrador de chaves ou encontrou uma maneira de obter a chave. Se a sua chave está no seu computador e o seu computador está na rede, poderia ser qualquer pessoa no mundo que também estivesse conectada à rede.

Os cientistas estão se esforçando para construir hardware seguro e soluções fortes, mas eles apenas dificultam o trabalho dos invasores. A matemática maravilhosa é facilmente minada por fragilidades comuns.

Nem todos falam

Alguns matemáticos e especialistas em criptografia gostam de falar publicamente sobre a tecnologia. Outros não dizem nada. Nós nem sabemos quantos silenciosos estão por aí.
É realmente um milagre que a sociedade tenha desenvolvido tanto conhecimento em códigos e cifras quanto nós. Quanto mais usamos a tecnologia, no entanto, maior o incentivo para ficar inquieto sobre qualquer fraqueza. Quando dinheiro real e segredos reais estão fluindo através dos tubos blindados de criptografia da internet, bem, o conhecimento sobre qualquer rachadura na armadura se torna mais valioso. Em outras palavras, quanto mais usamos criptografia, mais profundos e obscuros se tornam os segredos.

A Future é parceira dos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Como estabelecer a tolerância ao risco em sua empresa?

Toda organização em operação hoje enfrenta uma série de riscos – de ataques cibernéticos que visam roubar dados a ameaças geopolíticas que poderiam interromper as operações. No entanto, especialistas em segurança dizem que os executivos de muitas organizações não sabem quais riscos específicos representam as maiores ameaças à sobrevivência de seus negócios, o que os feriria e que poderiam causar meros soluços operacionais.

É claro que grandes empresas com altos executivos de risco e um completo departamento de riscos podem identificar, classificar, mitigar e monitorar riscos. Organizações em setores altamente regulamentados também tendem a ter práticas de gerenciamento de risco altamente maduras. A maioria dos outros, no entanto, está muito mais abaixo na escala de maturidade.

“A empresa média lida com risco ad hoc. Feito somente por instinto”, disse Candy Alexander, um veterano executivo de segurança que agora serve como presidente da ISSA International, uma associação internacional sem fins lucrativos para profissionais de segurança da informação.

Os resultados da Associação Nacional de Diretores Corporativos falam sobre esse ponto, indicando um desejo geral de entender melhor o risco. Em seu relatório Perspectiva da Governança de 2019: Projeções sobre Assuntos de Diretores Emergentes, a NACD descobriu que 82% dos entrevistados em sua pesquisa anual de diretores de empresas públicas estavam confiantes na capacidade da administração em lidar com riscos conhecidos, mas 70% acreditavam que precisavam entender melhor os riscos e oportunidades que afetam o desempenho da empresa.

Da mesma forma, especialistas em segurança dizem que muitas organizações precisam gerenciar melhor os riscos. Eles dizem que o processo começa com o conhecimento dos riscos que os ameaçam e quão significativos são esses riscos para a capacidade de fazer negócios.

“O risco é algo que poderia potencialmente causar danos ou um aspecto negativo para o negócio”, diz Alexander. “Então, você deve saber que, se algo acontecer, quanto impacto terá em sua organização. Você precisa saber qual é o seu apetite por risco, ou onde você se posiciona em risco, qual é o seu limite”.

Alexander explica que, quando trabalha com empresas para definir seu apetite por risco, ela começa identificando riscos e classificando-os com base em quanto dano eles causariam se ocorressem. Ela pede que classifiquem o impacto de vários riscos, de catastrófico a crítico, alto, médio e baixo.

Esse conhecimento ajuda a estabelecer o que e quanto uma empresa pode tolerar para cada risco identificável. É uma medida que muitas vezes é chamada de apetite por risco de negócios ou, às vezes, de tolerância a riscos de negócios. (Os dois termos são às vezes usados de forma intercambiável, com alguns líderes de segurança definindo cada um de forma ligeiramente diferente).

Um componente crítico para o alinhamento estratégico

Estabelecer um apetite de risco de negócios é fundamental, pois permite que os CISOs, assim como outros executivos, alinhem seus esforços às necessidades do negócio – permitindo priorizar recursos e concentrar gastos, equipe e atividades do dia a dia nessas áreas em que líderes organizacionais têm menos apetite por risco.

“Se a tolerância ao risco não for definida, é difícil para a gerência determinar como eles devem investir em ferramentas ou recursos para proteger a organização”, disse Tichaona “Tich” Zororo, executivo de consultoria de TI da Enterprise Governance of IT (Pty) Ltd. na África do Sul e diretor do conselho da ISACA, uma associação profissional internacional focada em governança de TI.

“Se [líderes organizacionais] disserem: ‘não podemos tolerar nenhum ataque de segurança cibernética’, se é quase a zero, isso dará ao diretor de segurança da informação a direção em que medida investir em ferramentas de segurança e nas habilidades certas para que, a todo custo, a organização esteja garantida. Mas se a organização diz que a tolerância é pelo menos capaz de tolerar ataques sem quebrar o negócio, isso também tem um impacto sobre como o CISO deve investir e gastar tempo com o que deve ser assegurado”.

Propriedade de tarefa

Um passo importante a ser dado pelas organizações ao estabelecer seu apetite por risco é ser claro sobre quem é o responsável por essa tarefa, segundo especialistas em segurança.

“As empresas devem decidir explicitamente quem toma decisões sobre risco de negócio, mas isso geralmente não é estabelecido nas empresas”, diz Wendy Nather, chefe da equipe de Advisory CISO da Duo Security, uma unidade de negócios da Cisco.

Empresas com uma função de risco dedicada, onde há um diretor de risco, já responderam a essa pergunta – mas essa é a exceção, não a regra.

Essa é uma das razões pelas quais os CISOs em muitas organizações que não são grandes o suficiente, não estão maduros em suas práticas de segurança ou não estão em setores altamente regulamentados, são encarregados de liderar os esforços para estabelecer o apetite de risco da empresa.

Mas Nather diz que estabelecer o apetite da organização pelo risco deve envolver a equipe executiva – e não simplesmente ser descartado no CISO para fazer sozinho. Outros concordam.

“A organização é proprietária do risco, porque o risco é baseado nas decisões que a empresa tomou ao longo do tempo. Assim, o CISO, o COO, o conselho geral e o CIO devem estar todos no comando”, acrescenta Gary Hayslip, executivo veterano de segurança da informação e TI, bem como coautor do Guia de Referência de Mesa do CISO.

Hayslip diz que trabalhou recentemente em uma empresa onde, como CISO, atuou ao lado do CFO, do COO e do conselho geral em um comitê de risco encarregado de tomar decisões sobre identificação e gerenciamento de riscos. É uma abordagem que ele recomenda que outras organizações adotem.

Identificar e classificar o risco

Depois que a propriedade da tarefa é determinada, os especialistas em segurança aconselham os executivos a identificar os tipos de problemas que podem comprometer sua capacidade de fazer negócios.

Esses problemas podem ser colocados em grupos de riscos e depois divididos em cenários mais detalhados. Por exemplo, os executivos podem identificar ameaças cibernéticas como uma categoria de risco e, em seguida, identificar violações de dados e malware como tipos específicos de riscos dentro da categoria. Eles também poderiam, como outro exemplo, identificar problemas geopolíticos como um outro tipo de risco e, em seguida, observar que interrupções no exterior poderiam interromper a cadeia de suprimentos da empresa. Conformidade regulatória poderia ser outro balde, com falha em atender a regulamentações federais específicas e incorrer em multas como resultado de um elemento mais específico dentro dessa categoria de risco.

Os especialistas recomendam o uso de estruturas de avaliação de risco – como as do NIST (the National Institute of Standards and Technology; em português, Instituto Nacional de Padrões e Tecnologia) ou FAIR (the Factor Analysis of Information Risk; em português, Análise Fatorial do Risco de Informações) – ou usando um consultor terceirizado independente para ajudar a identificar os riscos que poderiam prejudicar a capacidade de uma organização de fazer o seu trabalho.

Mantenha o foco no impacto dos negócios

Os CISOs devem trabalhar para garantir que essas avaliações, assim como todo o processo de estabelecimento do apetite por risco da organização, sejam focadas nos negócios.

“Temos que traduzir o que estamos vendo – as ameaças e vulnerabilidades – de uma forma que filtre o ruído e apresente o verdadeiro risco para a organização, para que eles possam estabelecer sua verdadeira tolerância ao risco, e se eles concordariam com o queda potencial se algo acontecer ”, diz Heather Engel, diretora de estratégia da Sera-Brynn, empresa de gerenciamento de risco cibernético.

Considere a abordagem de Alexander aqui. Ela diz que treina os executivos e diretores de uma organização para entender o que eles veem como os componentes mais críticos de seus negócios. Ela pergunta a eles: “se algo acontecesse, quanto impacto isso teria em sua organização”. Esse incidente seria catastrófico e derrubaria o negócio imediatamente? Ou fecharia a empresa dentro de semanas? Ou a empresa poderia se recuperar ou talvez mal seja afetada?

É aqui que Alexander categoriza os riscos identificados de catastróficos para baixo, determinando a categoria com base no grau de gravidade com que a organização seria prejudicada caso um risco específico realmente aconteça.

Cada organização deve chegar a suas próprias conclusões, pois elas terão apetites por risco diferentes, dependendo de sua própria cultura e objetivos, bem como de seus requisitos setoriais e regulatórios.

Além disso, os especialistas dizem que toda organização deve articular uma série de apetites ao risco para refletir seu nível variável de tolerância para diferentes cenários. “Se você puder estabelecer riscos no nível do sistema, poderá dizer que essa tolerância a riscos para esse sistema é maior, porque não é algo de que precisamos como uma função crítica para os negócios”, explica Engel.

Da mesma forma, Hayslip diz que os executivos devem avaliar e articular o impacto de cada risco nos negócios, compreendendo o tipo de dano que cada situação infligiria, usando o tempo esperado para os objetivos de recuperação como forma de julgar o dano potencial.

“Agora seu risco é visível, agora você tem que lidar com isso, o que você está disposto a aceitar, o que você pode atenuar, o que você precisa se livrar, o que você pode consertar”, diz ele.

Amarre a tolerância ao risco à estratégia

Especialistas em segurança concordam que os executivos que trabalham para estabelecer a tolerância de suas organizações para os vários riscos que podem encontrar, precisam considerar seus objetivos estratégicos ao determinar a criticidade do impacto potencial de cada risco sobre os negócios.

Um hospital, por exemplo, pode ver uma violação de dados como um risco significativo para o qual ela tem baixa tolerância, mas deve valorizar mais o acesso clínico aos dados do paciente para garantir que os cuidados de salva-vidas não sejam prejudicados.

Os executivos devem considerar os custos de mitigação ao avaliar riscos e determinar sua tolerância a eles, diz Nather. Eles poderiam determinar que, para alguns riscos, é mais barato lidar com as consequências do problema se realmente acontecer, do que implementar tecnologias ou políticas para diminuir as chances de que o problema ocorra. Não faz sentido gastar US$ 1 milhão para mitigar um problema que custa metade disso para consertar depois do fato, ela acrescenta.

Zororo diz que é por isso que as organizações devem estabelecer sua tolerância ao risco quando criam sua visão estratégica. “A tolerância ao risco deve ser estabelecida ao definir os objetivos estratégicos, que a maioria das organizações define a cada três ou cinco anos”, diz ele.

No entanto, ele e outros aconselham às organizações a revisitar seu apetite por risco com mais frequência, para garantir que elas permaneçam no caminho certo à medida que novos riscos surjam e riscos antigos mudem. Assim como muitas empresas reavaliam os objetivos estratégicos com mais frequência do que no passado para acompanhar as mudanças na dinâmica, os líderes da organização devem confirmar que estão concentrando esforços de mitigação nas áreas onde a tolerância ao risco é menor.

“Um bom CISO manterá essa conversa informando sobre a mitigação de riscos e, em seguida, começará a fazer autoavaliações e a articular a postura de segurança da organização com base nas decisões de tolerância ao risco”, afirma Alexander.

Mantenha-se protegido. Conte com a Future! Somos parceiros dos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Conheça nossas soluções de segurança clicando aqui, ou preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Virtual Patching: o desafio de garantir segurança sem prejudicar sistemas

Nos últimos tempos, relatos de ataques cibernéticos que exploram vulnerabilidades se tornaram corriqueiros. Um exemplo disso é o WannaCry, que teve seu início em 12 de maio de 2017 e infectou mais de 230 mil sistemas ao redor do mundo. Esse ataque poderia ter tido um número muito menor de vítimas, se as organizações mantivessem os seus sistemas devidamente atualizados.

Segundo o relatório Ameaças 2016, da iBLISS Digital Security, brechas de segurança relacionadas à desatualização de componentes correspondem a 92% das vulnerabilidades críticas de infraestrutura. Esse número mostra a enorme dificuldade em manter os ambientes cibernéticos atualizados. Outro ponto crítico são os sistemas de grandes plataformas comerciais que tiveram seu suporte cancelado. Sistemas operacionais ultrapassados, por exemplo, podem ser desafiadores para as empresas que executam aplicações no território virtual.

Em um mundo ideal, imagina-se que, sempre que for disponibilizado um patch, ele será aplicado imediatamente no ambiente para blindá-lo. Porém, essa tarefa pode ser muito mais complicada do que parece, pois muitas vezes essa atualização não será realizada devido a uma incompatibilidade de sistemas. Isso pode gerar conflitos com os sistemas em funcionamento e fazê-los parar de funcionar. A ação que deveria manter o sistema estável e seguro acaba causando transtornos.

Devido a essas particularidades, a recomendação é que o patch sempre seja validado em um ambiente de homologação antes de ser aplicado no ambiente de produção. No entanto, a conclusão desse ciclo pode ser demorada: segundo o Data Breach Study, o tempo médio de atualização é de 197 dias. Ou seja, as empresas ficam expostas por causa de uma longa janela entre a publicação de uma vulnerabilidade e a aplicação do patch de segurança.

Para resolver esse problema, é necessário olhar para as ferramentas certas. Tecnologias como virtual patching auxiliam muito a complementar os processos de atualização de uma empresa, além de defender as companhias de vulnerabilidades conhecidas e desconhecidas. O patch virtual atua como ferramenta de segurança de emergência, e as empresas devem usá-lo para se proteger rapidamente de riscos em servidores e estações afetadas.

Outros benefícios do patch virtual incluem:

  • Maior consolidação ao aplicar o patch virtual de máquinas virtuais individuais (VMs) para um único appliance virtual de segurança.
  • Desempenho mais rápido, neutralizando ameaças de segurança e contenção de recursos de correções simultâneas.
  • Melhor gerenciamento, eliminando os agentes de patch virtual e a necessidade de configurar e atualizar cada um deles.
  • Maior segurança, fornecendo proteção instantânea para novas VMs coordenadas pelo dispositivo de segurança dedicado.

Com isso, as empresas reduzem a quase zero sua janela de exposição, criando uma proteção contínua contra ataques cibernéticos.

Mantenha-se protegido e sempre atualizado! Conte com a Future! Nossos profissionais são certificados junto aos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Conheça nossas soluções clicando aqui, ou preencha o formulário abaixo e entre em contato conosco!

Fonte: CIO.

Read More

Nove em cada dez violações de dados na nuvem são atribuídos a funcionários

Esta é uma das conclusões do relatório da Kaspersky Lab ‘Entendendo a segurança da nuvem: dos benefícios da adoção às ameaças e preocupações.

“O primeiro passo para qualquer empresa que está migrando para a nuvem pública é entender quem é responsável pelos dados e operações (workloads) nela. Normalmente, os provedores de nuvem têm medidas de cibersegurança exclusivas para proteger sua infraestrutura e seus clientes. Porém, quando uma ameaça está do lado do cliente, a responsabilidade não é mais do provedor. Nossa pesquisa mostra que as empresas devem prestar mais atenção à higiene digital de seus funcionários e adotar medidas que protejam seu ambiente de nuvem no lado de dentro”, afirma Maxim Frolov, vice-presidente global de vendas da Kaspersky Lab.

As empresas esperam que os provedores de nuvem se responsabilizem pela segurança dos dados armazenados nas plataformas, porém, cerca de 90% das violações de dados corporativos na nuvem (88% em PMEs e 91% grandes corporações) acontecem devido a técnicas de engenharia social contra funcionários da empresa-cliente e não por problemas causados pelo provedor.

Porém, há também a preocupação com a continuidade da infraestrutura de nuvem e a segurança de seus dados. Metade das empresas brasileiras estão preocupada com incidentes que afetam a infraestrutura de TI hospedadas de terceiros. As consequências de um incidente podem tornar os benefícios da nuvem redundantes e, ao contrário, despertar riscos de negócios e de reputação complicados.

Um quarto dos incidentes (24%) na nuvem no Brasil é causado por técnicas de engenharia social contra o comportamento dos funcionários, enquanto as ações dos provedores de nuvem são responsáveis por apenas 15% deles. Embora as organizações se preocupem principalmente com a integridade das plataformas de nuvem externas, elas estão mais propensas a ser afetadas por falhas muito mais próximas.

As empresas esperam que os provedores de nuvem se responsabilizem pela segurança dos dados armazenados nas plataformas, porém, cerca de 90% das violações de dados corporativos na nuvem (88% em PMEs e 91% grandes corporações) acontecem devido a técnicas de engenharia social contra funcionários da empresa-cliente e não por problemas causados pelo provedor.

A pesquisa mostra ainda que é possível melhorar e garantir uma cibersegurança adequada ao trabalhar com terceiros. Somente 46% das empresas brasileiras já implementaram uma proteção específica para a nuvem.

Talvez isso ocorra porque as empresas confiam muito na cibersegurança do provedor de nuvem. Ou elas podem ter uma falsa segurança de que a proteção padrão do dispositivo funciona naturalmente em ambientes de nuvem sem restringir seus benefícios.

Recomenda-se que as empresas tomem algumas medidas específicas para garantir que seus dados fiquem sempre seguros na nuvem.

Conscientize os funcionários que eles podem se tornar vítimas de ciberameaças. Eles não devem clicar em links nem abrir anexos contidos nas comunicações com desconhecidos. Treinamentos dedicados ao assunto, podem ajudar;

Para minimizar o risco do uso não aprovado de plataformas de nuvem, instrua os funcionários sobre o efeito negativo da TI paralela e estabeleça procedimentos de compra e consumo da infraestrutura de nuvem para cada departamento;

Use uma solução de segurança para evitar ataques de engenharia social. Ela deve incluir proteção para servidores de e-mail, clientes de e-mail e navegadores;

Implemente a proteção da infraestrutura de nuvem logo após a migração, assim que possível. Escolha uma solução de cibersegurança exclusiva para a nuvem, com um console de gerenciamento unificado para gerenciar a segurança em todas as plataformas e dar suporte à detecção automática de hosts, além de dimensionar automaticamente a distribuição da proteção para cada um deles;

Conheça nossa Solução de Conscientização Sobre Segurança da Informação clicando aqui! Entre em contato com a Future! Preencha o formulário abaixo.

Fonte: CryptoID.

Read More

Transição para LGPD gera a confiança necessária em segurança da informação

Com os objetivos de dar aos cidadãos e residentes europeus formas de controlar os dados pessoais e de unificar o quadro regulamentar dos membros da União Europeia e Espaço Econômico Europeu, o Regulamento Geral sobre a Proteção de Dados (GDPR) deu início à uma onda de melhores medidas para a segurança de dados em diversos países. Aprovado em 15 de abril de 2016, mas entrando em vigor apenas em 25 de maio de 2018, o conjunto de leis busca garantir a privacidade e proteção de informações pessoais e prevê multas de até 4% do faturamento total da empresa que não estiver de acordo com as novas regras.

Porém, os reflexos da GDPR começaram a serem sentidos para além da União Europeia. Isso porque, o regulamento deve ser seguido por toda e qualquer empresa que armazena dados de cidadãos europeus, independente de onde a companhia opera. Isso fez com que inúmeros países se adequassem às novas leis e, consequentemente, pensassem em como as informações pessoais eram geridas dentro de casa. Como reflexo, os anos seguintes ao anúncio do novo regulamento viram aparecer conjuntos de leis semelhantes em outras regiões.

Na América Latina, países como México, Colômbia, Argentina, Chile e Peru se juntam ao Brasil entre aqueles que aprovaram os próprios regulamentos para a gestão de dados pessoais. Por aqui foi criada a Lei Geral de Proteção de Dados Pessoais (LGPD), ratificada no dia 14 de agosto de 2018, que determina como as informações dos cidadãos podem ser coletadas e tratadas, e que prevê punições para transgressões de até 2% sobre o lucro da empresa, com teto máximo de 50 milhões de reais.

Segundo estudo da IDC Brasil, 70% das PMEs nacionais enfrentam dificuldades na jornada digital, e garantir a segurança da informação é um desses desafios. No entanto, o tempo para se adequar às novas regras já está correndo. As empresas brasileiras têm até agosto de 2020 para adequar todos os processos de armazenamento, processamento, acesso, transferência e divulgação dos dados as regras da LGPD. Para fiscalizar o mercado, o governo brasileiro criou, no final de 2018, a Agência Nacional de Proteção de Dados (ANPD), órgão que responde diretamente à Presidência da República.

Esses regulamentos representam um período de transição, do qual sairão empresas mais conscientes sobre a importância da segurança da informação. Para atravessar esse processo sem grandes contratempos, as companhias devem apostar em soluções que estejam atualizadas de acordo com os requisitos de cada lei, o que traz benefícios a curto e a longo prazo. De imediato, as ferramentas ajudam a promover uma cultura de segurança no ambiente de trabalho e, no futuro, a evitar multas por falta de compliance.

Porém, diferentes interpretações do que é ou não é informação pessoal fazem com que as leis estejam em constante debate, e passíveis de mudança. No Brasil, a LGPD não faz nenhuma menção direta às imagens coletadas por vídeos de monitoramento, o que gerou um alerta entre empresas de monitoramento de vídeo.

Com a evolução do setor e a aplicação de tecnologias como cloud computing para transmissão e armazenamento, abre-se uma brecha na interpretação da legislação. Por exemplo, empresas que possuem soluções de câmeras inteligentes, capazes de detectar movimentos e pessoas com sensores, podem ser afetadas se um vídeo que identifica um indivíduo for considerado como dado pessoal.

Para não correr riscos, é necessário ficar atento às mudanças que a LGPD pode sofrer até 2020, ano em que a lei entrará, de fato, em vigor. Dessa forma, é importante utilizar esse período de transição para construir uma relação de confiança com a solução de segurança da empresa, para que a equipe tenha a certeza que, em caso de mudanças na legislação, a ferramenta irá manter a proteção de dados dentro da lei. Encontrar o equilíbrio no investimento de tempo e recursos financeiros para Pessoas – Processos – Tecnologia pode ser o fator determinante para o sucesso na proteção de dados ou pagamento de multas.

Quer adequar sua empresa a LGPD? Conte com a Future! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

MegaCortex: dicas para ficar bem longe desse ransomware

O MegaCortex, um malware relativamente pouco conhecido, teve um aumento substancial em volume no último 1º de maio, segundo a Sophos. A empresa de cibersegurança notou detecções do programa malicioso em vários países ao redor do mundo. O ransomware tem componentes manuais semelhantes ao Ryuk e BitPaymer, mas os criminosos por trás do MegaCortex usam mais ferramentas automatizadas para realizar os ataques – e isso é único.

Até agora, a Sophos viu ataques automatizados e manuais, assim como investidas mistas que combinam as duas estratégias anteriores, que geralmente utilizam mais técnicas manuais de hacking para se mover lateralmente. Com o MegaCortex, a Sophos está vendo um uso mais pesado de automação aliado ao componente manual. Esta nova fórmula é projetada para espalhar a infecção para mais vítimas, mais rapidamente.

Segundo a empresa, não existe um valor explícito à ser pago na nota de resgate enviada pelos criminosos. Ao invés disso, os atacantes orientam as vítimas a utilizar um de dois endereços de e-mail gratuitos do mail.com para entrar em contato e enviar um arquivo que o ransomware coloca no disco rígido da vítima para solicitar “serviços” de descriptografia.

A nota de resgate também promete que os cibercriminosos “irão incluir uma garantia de que a empresa nunca mais será incomodada por nós ” se as vítimas pagarem o resgate, e continua: “Você também receberá uma consultoria sobre como melhorar a segurança cibernética da empresa”.

“Suspeitamos que este seja o “pacote completo” do ataque e um bom exemplo do que temos chamado ultimamente de testes de intrusão de cibercriminosos. Os atacantes do MegaCortex adotaram uma abordagem de ameaças mista e levaram ao nível máximo, aumentando o componente automatizado para atingir mais vítimas. Depois que eles obtêm as credenciais de administrador, não tem mais como pará-los. Lançar o ataque a partir do próprio controlador de domínio é uma ótima maneira dos invasores terem acesso a toda a autoridade necessária para impactar toda a organização. As empresas precisam prestar atenção aos controles básicos de cibersegurança e realizar avaliações de segurança antes que os criminosos o façam, para impedir que invasores como esses saiam ilesos.”

Como se proteger?

A Sophos lista cinco recomendações de proteção para ficar bem longo do MegaCortex. Confira abaixo:

  1. Parece que há uma forte correlação entre a presença do MegaCortex e uma infecção contínua pré-existente na rede das vítimas com Emotet e Qbot. Se os gerentes de TI estiverem observando alertas sobre infecções por esse últimos dois malwares, eles devem ter alta prioridade. Ambos os bots podem ser usados para distribuir outros programas maliciosos, e é possível que as infecções do MegaCortex tenham começado assim.
  2. Até agora, a Sophos não viu nenhuma indicação de que o RDP (Remote Desktop Protocol) tenha sido violado para invadir redes, mas sabemos que furos em firewalls corporativos que permitem que pessoas se conectem ao RDP ainda são relativamente comuns. Desencorajamos fortemente essa prática e recomendamos que qualquer administrador de TI que deseje utilizar o protocolo coloque a máquina RDP atrás de uma VPN.
  3. Como o padrão de ataque parece indicar que uma senha administrativa tenha sido roubada pelos criminosos, também recomendamos a adoção generalizada de autenticação de dois fatores sempre que possível
  4. Manter backups regulares dos dados mais importantes e atuais em um dispositivo de armazenamento offline é a melhor maneira de evitar ter que pagar o resgate.
  5. Use proteção anti-ransomware para bloquear o MegaCortex e futuros ransomwares.

A Future é parceira Sophos e pode ajudar você e sua empresa a ficarem livres de ransomware! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Cibercrime: sua empresa e seus clientes estão em risco!

A afirmação é do especialista em segurança da informação Daniel Niero, diretor de Operações do IT2S Group. Conforme o executivo, o risco é “extremamente real”, e provas disso são compartilhadas diariamente na mídia nacional e internacional.

Como exemplo, ele cita casos como o do ciberataque em escala global, há cerca de um ano, que afetou mais de 200 empresas em diversos países, incluindo o Brasil, e a mega infecção do vírus Petya, responsável por perdas que chegaram a US$ 300 milhões para algumas companhias, conforme o relatório The Global Risks Report 2018.

O diretor ressalta, ainda, que o malware é o tipo de ataque mais caro, chegando a custar US$ 2,6 milhões às empresas, em média, seguido por ataques baseados em web, que chegam a custar US$ 2,3 milhões.

O número de empresas vítimas de ataques de ransomware aumentou 15% em 2018, com expansão de custos de 21% – algo em torno de US$ 650 mil por companhia, em média. Em 2019, o estudo “Cost of Cybercrime”, responsável pelos dados acima, também mostrou aumento nos gastos das empresas com malware (11%) e os chamados insiders maliciosos (15%).

“Os dados mostram diariamente o risco que as organizações de todos os tamanhos correm. A grande pergunta é: por qual motivo elas não investem em segurança, visto que o custo com os ataques pode ser bem maior? Essa é uma resposta simples de analisar: porque as organizações ou não querem investir, ou investem errado”, analisa Niero.

O grande erro, segundo o especialista, é não tratar a segurança como uma necessidade cultural e primordial do negócio.

“Muitos acreditam que não há necessidade de uma consultoria especializada para tratar do assunto, mas o ponto central do problema é que estas mesmas empresas ainda não entenderam a relação custo-benefício: além de toda burocracia trabalhista de contratar alguém para ocupar o cargo e cuidar de toda a segurança da informação, o custo deste tipo de contratação é muito maior do que investir em um terceiro especializado, que terá uma equipe multidisciplinar sem agregar os custos de cada um dos profissionais empregados à gestão de cibersecurity, e ajudará a realmente detectar brechas e traçar planos de contingência inteligentes, além de encontrar rápidas soluções para evitar possíveis catástrofes digitais”, avalia o executivo.

Segundo Niero, é preciso falar mais sobre prevenção – muito mais do que sobre remediação. Deixar a responsabilidade da manutenção da segurança nas mãos certas é, conforme o diretor, o primeiro passo evitar que vazamento ou roubo de dados ocorram.

“Diante disso, fica evidente que as empresas precisam abrir os olhos para dentro de seus processos e compreender de uma vez por todas que desembolsar dinheiro para proteger dados não é gasto, é investimento essencial a curto, médio e longo prazo”, finaliza.

Mantenha sua empresa e seus clientes protegidos! Conte com a Future! Nossos especialistas são certificados juntos aos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Conheça nossas Soluções clicando aqui!

Fonte: InforChannel.

Read More

A LGPD chegou. Você sabe onde estão os dados dos seus clientes?

Os consumidores hiperconectados e multicanal do Século 21 trazem para as corporações dois novos desafios: estar presentes em todos os pontos onde eles estão, e cuidar com segurança de todas as informações captadas e geradas por essas interações. Com as legislações de proteção aos dados pessoais – GDPR e LGPD – entrando em vigor no mundo todo, cumprir o segundo desafio é mandatório, porque falhar pode causar perdas financeiras consideráveis.

Para o cumprimento das novas regras de proteção de dados, os líderes corporativos devem se perguntar se estão usando os dados corretamente, diz Katia Ortiz, country manager da ServiceNow no Brasil.

“Devem avaliar se precisam criar novas políticas, se é possível implementar medidas corretivas com base em uma abordagem de risco e se os planos de treinamento com os quais conta sua equipe são suficientes. Com o uso de tecnologias de automatização e soluções baseadas em nuvem, as empresas podem identificar aplicativos que lidam com dados pessoais, fornecer meios para coletar evidências e rastrear a conformidade com todas as regulamentações de maneira simples e eficaz”, diz Ortiz.

O risco de não compliance

Imagine, por exemplo, uma empresa de varejo que, além de lojas físicas, inicia suas operações também no e-commerce. Em seguida, ela decide lançar um cartão de crédito co-branded para os clientes, fazendo para isso parceria com um banco e uma bandeira de cartão. Na continuidade da jornada do seu consumidor, a empresa cria também um programa de fidelidade com pontos e prêmios com diferentes parceiros. E lança um aplicativo móvel.

Agora, imagine um cliente dessa empresa que decide fazer uso da da Lei Geral de Proteção de Dados (LGPD) brasileira, que entra em atividade em agosto de 2020 , ou do Regulamento Geral de Proteção de Dados (GDPR), que protege cidadãos da União Europeia, e solicitar que a empresa de varejo lhe envie todos os dados, interações e informações que armazena sobre ele. Ambas as leis exigem que as organizações demonstrem possuir processos adequados para gerenciar e proteger informações pessoais e que respondam, no prazo máximo de 72 horas, ao pedido de qualquer cidadão. Sob pena de multas pesadas.

“São muitos pontos de contato corporativo e muitos canais recebendo informações de diferentes teores e pesos sobre cada cliente. Para cumprir a lei, a empresa solicitada vai precisar acionar todos os parceiros, que usam diferentes plataformas e várias tecnologias, para recuperar, de cada um, o que existe sobre o cliente, e aí consolidar o relatório”, lembra Willians Medeiros, especialista da divisão Risk e Compliance da ServiceNow.

As novas legislações sobre proteção de dados pessoais e privacidade lançam as empresas em uma jornada com múltiplas tarefas urgentes:

  • Elas precisam criar processos para tratar essas solicitações, que incluem procedimentos corretos de como reportar os pedidos à entidade controladora e de como documentar que foram entregues ao solicitante no prazo;
  • Elas precisam mapear seu ecossistema para saber onde estão as informações dos clientes, dentro de casa e em parceiros, identificar o que é capturado ou processado em cada ponto e classificar esses dados de acordo com as especificações das novas leis;
  • E, finalmente, precisam garantir que seus sistemas, e dos parceiros, lidam com os dados da forma correta. Por exemplo, que tipo de informação precisa ficar anônima, que tipo de informação pode ser distribuída por e-mail, que tipo de informação pode ser armazenada etc.

A solução ServiceNow Governance, Risk and Compliance combina recursos de segurança, TI e risco em um programa de risco unificado criado na Now Platform®. A solução é reconhecida como Líder no Quadrante Mágico Gartner 2018 para Gerenciamento Integrado de Riscos. Ela permite que os clientes possam responder aos riscos do negócio em tempo real por meio de monitoramento contínuo, priorização e automação. A plataforma pode identificar os aplicativos que acessam dados pessoais e fornecem meios para coletar evidências, avaliando a conformidade desses aplicativos em grupos funcionais.

Entre as principais possibilidades da solução, estão:

  • Importar requisitos, descrição e gerenciamento de políticas de GDPR e LGPD
  • Gerenciar conformidade com o GDPR e LGPD de terceiros
  • Avaliações de impacto de proteção de dados (DPIAs)
  • Avaliação de riscos e requisitos de gestão
  • Requisitos de auditoria e de tópicos de dados
  • Mapeamento de Informações Pessoais Identificáveis (PII)
  • Notificação de violação de 72 horas
  • Painel de controle de proteção de dados (DPO)

Os primeiros passos para as empresas se adaptarem a leis como a GDPR e a Lei de Proteção de Dados, segundo Willians, é entender como elas usam os dados para definir se precisam fortalecer e projetar novas políticas e sistemas para conformidade com a regulamentação.

“Ela consegue priorizar e implementar as principais medidas corretivas usando uma abordagem baseada no risco sozinha? Seus planos de treinamento da equipe sobre proteção de dados são suficientes? Sem a resposta para essas dúvidas, não é possível prosseguir para o plano tático e se adaptar à nova realidade”, lembra Willians.

Quer adequar sua empresa a LGPD? Conte com a Future! Nossos especialistas são certificados junto aos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

3 principais malwares que rondaram dispositivos móveis em abril

O Índice Global de Ameaças referente ao mês de abril de 2019, da Check Point Research, revelou que o trojan bancário Trickbot retornou ao ranking do índice entre os dez primeiros malwares, pela primeira vez em quase dois anos.

Enquanto as três variantes de malware mais comuns de abril foram os criptomineradores, os sete restantes dos Top 10 foram os trojans bancários de múltiplos alvos. Isso destaca a mudança de tática adotada pelos cibercriminosos para maximizar o retorno financeiro das campanhas, após o fechamento de vários serviços populares de criptografia e o declínio nos valores de criptomoeda no último ano.

Segundo o relatório, os três principais programas maliciosos mais procurados em abril de 2019 foram:

1. Cryptoloot

Criptominerador que usa o poder de CPU ou GPU (processador gráfico) da vítima e os recursos existentes para a criptomineração, adicionando transações ao blockchain e liberando nova moeda. Originalmente é um concorrente do Coinhive, oferecendo uma porcentagem menor de receita de sites.

2. XMRig

Software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda do Monero e visto pela primeira vez, em tempo real, em maio de 2017.

3. Jsecoin

Minerador deJavaScript que pode ser incorporado em sites. Com o JSEcoin, é possível executar o minerador diretamente no navegador em troca de uma experiência sem anúncios, moeda do jogo e outros incentivos.

Em abril, o Triada foi o malware móvel mais predominante, substituindo o Hiddad em primeiro lugar na lista Top 10 de malware. O Lootor permaneceu em segundo lugar, e o Hiddad caiu para terceiro.

Os três principais malwares para dispositivos móveis de abril

1. Triada

Backdoor modular para Android que concede privilégios de superusuário ao malware baixado, ajudando a incorporar-se aos processos do sistema. O Triada também foi visto falsificando URLs carregados no navegador.

2. Lotoor

Ferramenta hack que explora vulnerabilidades no sistema operacional Android, a fim de obter privilégios de root em dispositivos móveis comprometidos.

3. Hiddad

Malware Android que reempacota aplicativos legítimos e os lança em uma loja de terceiros. Sua principal função é exibir anúncios, mas também é capaz de obter acesso aos principais detalhes de segurança incorporados ao sistema operacional, permitindo que um atacante obtenha dados confidenciais do usuário.

Os pesquisadores da Check Point também analisaram as vulnerabilidades cibernéticas mais exploradas. O OpenSSL TLS DTLS HeartbeatInformationDisclosure é a vulnerabilidade mais popular explorada com um impacto global de 44% das organizações em todo o mundo. Pela primeira vez após 12 meses, o CVE-2017-7269 caiu do primeiro para o segundo lugar, impactando 40% das organizações, seguido pelo CVE-2017-5638 com um impacto global de 38%.

As três vulnerabilidades mais exploradas de abril

1. OpenSSL TLS DTLS HeartbeatInformationDisclosure (CVE-2014-0160; CVE-2014-0346)

Existe uma vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade é devida a um erro ao manipular pacotes de heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.

2. Microsoft IIS WebDAVScStoragePathFromUrl Buffer Overflow (CVE-2017-7269)

Enviando uma solicitação criada em uma rede para o Microsoft Windows Server 2003 R2 por meio do Microsoft Internet Information Services 6.0, um atacante remoto pode executar código arbitrário ou causar uma negação de condições de serviço no servidor de destino. Isso se deve principalmente a uma vulnerabilidade de estouro de buffer resultante da validação inadequada de um cabeçalho longo na solicitação HTTP.

3. Apache Struts2 Content-Type Remote CodeExecution (CVE-2017-5638)

Existe uma vulnerabilidade de execução remota de código no Apache Struts2 usando o analisador multipartes Jakarta. Um atacante pode explorar esta vulnerabilidade enviando um tipo de conteúdo inválido como parte de uma solicitação de upload de arquivo. A exploração bem-sucedida pode resultar na execução de código arbitrário no sistema afetado.

O Mapa de Ameaças por país exibe o índice de risco globalmente (verde – baixo risco, vermelho – alto risco, cinza – dados insuficientes), demonstrando as principais áreas de risco e pontos críticos de malware em todo o mundo. Em abril, o Brasil está na posição 86ª no ranking com 53,0% de risco, em um total de 149 países na lista.

Mantenha-se protegido, conte com a Future! Somos parceiros dos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Receba conteúdos exclusivos