Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

segurança da informação

29 novembro 2018
adm.future
0
Categories: Blog, Notícias, Segurança

PRF é invadida por hackers e fecha serviços online para cidadãos e agentes

Em outubro, foi descoberto que logins da Polícia Rodoviária Federal (PRF) eram vendidos aos montes em grupos de mensagens pela internet. Por R$ 200, qualquer pessoa poderia comprar o acesso aos sistemas do órgão policial e acessar dados de qualquer veículo, além de visualizar informações sobre multas, dados pessoais sensíveis, troca de emails realizadas por agentes policiais, realizar a liberação de veículos recolhidos em pátio, abertura de boletins de ocorrência e até aplicar multas para qualquer cidadão que tenha um carro, moto ou caminhão.

Por meio de novos documentos recebidos por um agente anônimo da PRF, descobriu-se que a área de Tecnologia da Informação e Comunicação (TIC) pouco fez para resolver a questão, inicialmente. Além disso, que o agente anônimo, após consultas internas aos servidores da área de TIC, foi informado de que hackers tiveram sucesso ao acessar o sistema DPRF SEGURANÇA, área na qual podem ser encontradas todas as senhas dos servidores da Polícia Rodoviária — ou seja, expondo completamente o sistema.
Para conter a possível invasão e realizar a troca de senhas, a Polícia Rodoviária Federal deixou seus sistemas offline e implementou acessos específicos via VPN. Ainda não se sabe se os sistemas continuam fora do ar.

“Deu-se muito crédito ao uso do email corporativo por parte de servidores à sítios que puderam ser invadidos, tendo como consequência o acesso de hackers aos dados funcionais ali registrados, porém o problema na PRF foi bem maior”, disse o servidor. “Há aproximadamente 15 dias, todos os sistemas da PRF que funcionavam via web foram retirados de funcionamento através da internet, sem qualquer explicação plausível para tal”.

A falha que expôs todas as senhas não foi detectada pelo departamento de Tecnologia da Informação e Comunicação, de acordo com a fonte. A falha, na verdade, foi descoberta por outra área interna da Polícia Rodoviária, conhecida como “CIBER”.

prf

Em um memorando, o aviso divulgado corrobora o que foi dito pela fonte: “a solução encontrada pelo Coordenador-Geral de TIC da PRF foi parar todos os sistemas através da internet por um prazo mínimo de 3 dias”.

No memorando recebido, assinado por Wanderley José Silva Júnior, coordenador de TIC na PRF, é possível ler o seguinte comunicado:

  1. “A Coordenação-Geral de Tecnologia da Informação e Comunicação – CGTIC, informa que no dia 12 de novembro de 2018, a partir das 20:00h (Horário de Brasília), todos os sistemas e aplicações da Polícia Rodoviária Federal estarão indisponíveis para acesso externo, com uma previsão de restabelecimento e normalização dos serviços em até 03 (três) dias úteis:
  2. Informamos ainda que todas as aplicações e sistemas somente estarão disponíveis quando acessadas pela rede interna da PRF (Superintendências, Uops e Delegacias);
  3. Visando a adoção de medidas de Segurança da Informação, todas as senhas de acesso serão “resetadas”, ensejando a necessidade de contactar os Núcleos de Tecnologia da Informação – Nutics de cada Regional para o cadastramento de novas senhas”.

Acompanhe abaixo o memorando

memorando

Polícia no escuro?

É um cenário fácil de se imaginar quando a empresa que você trabalha ou a faculdade que você estuda acaba ficando com os serviços online inacessíveis. Quanto dinheiro é perdido neste tempo? Agora, um órgão policial no escuro pode tornar a vida não só servidores um caos, mas também da própria população dependente.

Os prejuízes de ficar offline

“Filas foram formadas na porta dos núcleos de TIC da Sede em Brasília e dos estados, pois os servidores tinham que receber uma senha temporária fornecida por eles, para depois, através da Rede de Dados Interna da PRF, entrar no DPRF Segurança e trocar suas senhas de acesso aos sistemas, seja através do CPF ou email funcional. Um caos”, relatou o servidor anônimo. “Em qualquer empresa privada, se a área de TI ficasse fora por apenas um dia, o prejuízo ao trabalho e a imagem, além dos prejuízos financeiros seriam terríveis. Imagine então um órgão policial, como a PRF, que lida diariamente com os cidadãos, além do combate à criminalidade e ainda executa arrecadação através das notificações de trânsito”.

Com os sistemas inacessíveis, os principais prejudicados — ao lado da população que teve que se locomover para as unidades da PRF para retirar boletins de acidentes — são os policiais nas estradas.

“Os maiores prejudicados foram os policiais nas estradas. Os sistemas, essenciais ao trabalho policial, só funcionam na rede corporativa da PRF com acesso externo apenas através de VPNs, que são fornecidas individualmente aos servidores que procuraram os Núcleos de TIC”, comentou o servidor.

Quer proteger sua empresa contra ataques? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: TecMundo.

Read More
28 novembro 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Lei de Proteção de Dados impõe novos comportamentos a usuários e empresas

Há poucos meses do início de sua vigência, a Lei Geral de Proteção de Dados ainda é terreno obscuro às empresas (públicas e privadas) e também aos usuários brasileiros. O tema, que já vinha sendo discutido no país desde o ano 2000, ganhou relevância após a aprovação do GDPR (General Data Protection Regulation), na Europa, em maio deste ano, possibilitando maior controle das pessoas sobre suas informações pessoais.

Segundo Roberto Stern, CEO da Adamos Tecnologia, apesar de ambas terem nomes semelhantes, o GDPR e a LGPD possuem alguns aspectos diferentes. “A GDPR é mais abrangente e detalhista. A LGPD tem diversos aspectos dúbios e sem definições detalhadas, salvo a regulação da proteção e armazenamento de dados pessoais”, explica Stern, especialista em segurança da informação.

Nos poucos meses de vacatio legis, empresas públicas e privadas, bem como os usuários de seus serviços, precisam se adequar aos aspectos legais e entender a nova dinâmica comportamental que ela gerará a partir da sua incidência, em fevereiro de 2020. Entre os principais desafios que a LGPD traz é a adoção reiterada e demonstrada de mecanismos e políticas internas capazes de minimizar o dano e demonstrar o tratamento seguro e adequado aos dados pessoais, tudo atrelado a um sistema de governança voltada à imediata implementação de medidas corretivas. Porém esses procedimentos não são a realidade em 80% das empresas internacionais, ou seja, as de grande porte, que dirá as nacionais”, aponta Stern.

Segundo o executivo, apesar de alarmante, é bastante comum grandes provedoras de internet, de serviços de e-mail, cloud e até fornecedoras de software não terem um sistema criptografado para a armazenar os dados de seus clientes. “Casos famosos de vazamento de dados provam isso, como ocorrera com o Yahoo, a Netshoes, o Facebook e o Ashley Madison, por exemplo, o que deve ser visto com bastante preocupação pelos usuários, ainda mais quando comparada a estrutura das gigantes do Vale do Silício às empresas nacionais, públicas ou privadas”, alerta o especialista.

Para o executivo, como o objetivo da LGPD é trazer maior segurança aos dados e, ao mesmo tempo, maior autonomia aos usuários, que poderão ou não autorizar a coleta, o compartilhamento e o tratamento de seus dados pessoais e até optar pelo esquecimento, a população deve ser alertada para a nova e importante dinâmica que a LGPD traz. “Cada pessoa terá o direito ao correto tratamento, armazenamento, correção, sigilo e à criptografia de seus dados”.

“A lei, como qualquer outra, não pretende evitar o uso indevido, mas dará o respaldo jurídico para que cada usuário recorra ao Poder Judiciário fazendo com que os que hajam ilegalmente sejam processados por suas inadvertências, abusos ou fraudes, correndo o risco de pagar multas altíssimas”, aponta o especialista.
Algumas dessas adequações, é manter os dados pessoais de forma segura e sigilosa, ou seja, as empresas necessariamente precisarão adotar um sistema criptografado para realizar o armazenamento e compartilhamento (quando permitido pelo usuário) o mais inviolável possível. “Manter os dados da empresa num backup, em nuvem, e 100% criptografado não será mais uma opção, mas sim uma obrigação. Na Adamos, o que mais chamou nossa atenção, a partir da promulgação da LGPD é que já estávamos com nossa solução, o Safe Cloud Backup, totalmente adequada aos requisitos legais”, detalha Stern.

De acordo com o especialista, como a prática da empresa já era a de usar a criptografia end to end, de forma que somente o cliente final saiba a senha, e todo o conteúdo enviado de maneira automática para o backup à nuvem é inviolável, ninguém tem acesso, logo não é possível realizar tratamento sem autorização nesses dados.

Além disso, a LGPD indica que as empresas, públicas ou privadas, devem informar as finalidades especificas do tratamento de dados, bem como sua forma e duração. Também deverão indicar, de forma transparente, quem é o controlador e quais os seus contatos, bem como se haverá uso compartilhado das informações, elencando, ainda, os direitos do titular sobre os mesmos, entre outros aspectos.

Ademais, dentro da nova legislação, o usuário torna-se mediador de seus próprios dados, ou seja, toda e qualquer movimentação, deve ser autorizada por ele. “Esses são os pilares centrais da LGPD: o consentimento do proprietário dos dados e a definição do motivo da organização coletar os mesmos. Ambos devem caminhar em sintonia, tendo, portanto, as autoridades um papel importante na manutenção do equilíbrio entre os direitos dos usuários e os deveres das empresas captadora dos dados. “O tratamento deve ser explicitado e o consentimento requerido antes do “tratamento”. Ou seja, não será mais possível “monetizar” os dados e informações sem a autorização do usuário”, finaliza o CEO.

Quer adequar sua empresa a LGPD? Leia nossas dicas e clique aqui para entrar em contato conosco!

Fonte: SEGS.

Read More
26 novembro 2018
adm.future
0
Categories: Blog, Segurança

Você sabe o que é Threat Hunting? Por que sua empresa deve adotar?

O Threat Hunting é uma atividade inteiramente focada na investigação de ameaças. E, para ser classificado como uma ameaça, o atacante deve ter três características: intenção, capacidade e oportunidade para provocar danos.

Para empresas que buscam uma segurança mais assertiva de seus sistemas, esse trabalho é extremamente importante, pois através dele será possível identificar uma ameaça muito antes de ela causar danos mais sérios à rede.

Então, como a empresa pode identificar o melhor momento de procurar por esse serviço?

As empresas que dispõe de uma operação de Segurança da Informação, o Threat Hunting já é realizado, em níveis básicos. Na maior parte das vezes, ocorre baseado na intuição dos analistas de segurança que já estão familiarizados com aquele ambiente.

O grande desafio é tornar o Threat Hunting um processo possível de ser repetido por diferentes profissionais, e que retorne valor para a empresa. Para isso, é necessário integrar organicamente o Threat Hunting dentro dos processos existentes, de forma a complementar os esforços de segurança. O Threat Hunting pode ser executado de forma apropriada por empresas de diferentes níveis de maturidade em segurança. Contudo, para obter o máximo de valor do Threat Hunting, as empresas devem investir em infraestrutura de segurança que é necessária para usar as ferramentas e práticas de forma mais apropriada.

Realizar o Threat Hunting de forma madura requer uma segurança que inclua ferramentas, pessoas, processos, cada uma com seu papel claramente definido, e a participação dos executivos da companhia, de forma que o orçamento para o programa seja contínuo.

Qual é o perfil do analista Threat Hunter?

Primeiramente, o profissional que deseja se tornar um especialista Threat Hunter deve ser curioso e possuir profundo interesse em investigar e descobrir. Ele também deve ter um alto nível técnico e múltiplas ferramentas à disposição para executar suas tarefas. E, o mais importante, o hunter, como é chamado, precisa ser inovador e antenado com os cenários de ameaças em sua empresa, precisa saber fazer as perguntas certas para obter as respostas necessárias.

Além dessas características pessoais, o hunter deve possuir um conjunto de habilidades técnicas de defesa e inteligência analítica. Uma delas é experiência em segurança de redes, assim como em resposta a incidentes de segurança. As técnicas que ele aprendeu atuando como analista de segurança de redes, o ajudarão a ter conhecimento sobre os ativos presentes no ambiente, isso renderá ótimos insights e também o auxiliará a compreender suas limitações. Já os conhecimentos em resposta a incidentes o auxiliarão a identificar quais dados estão sendo requisitados pela equipe de CSIRT (Computer Security Incident Response Team) e quais recomendações realistas ele deve fazer ao descobrir uma nova ameaça no ambiente.

Como é o trabalho do Threat Hunter?

A atividade consiste inicialmente em uma boa hipótese sobre as ameaças que podem estar presentes na empresa, os melhores locais na empresa para fazer o “hunting” e como as ameaças podem se aproveitar dos usuários ou processos do negócio para evadir as soluções de segurança. Como exemplo, o hunter pode considerar a análise dos dados mais importantes: Eles identificam os ativos que são mais importantes naquele determinado negócio, de forma que possam priorizar seus esforços, usam defesas passivas e técnicas para reduzir o risco, e geram hipóteses sobre o que um adversário pode fazer para comprometer esses ativos. Nesse exemplo, os hunters combinam o conhecimento sobre o ambiente em que operam com hipóteses sobre o que os adversários podem fazer.

Por fim, é muito importante que as empresas que dispõem do serviço de um Threat Hunterfoquem em duas áreas-chave: quais dados estarão disponíveis para busca e como buscar esses dados. Isso otimizará e muito o trabalho do analista e trará excelentes resultados para a empresa.

A Future possui várias soluções que podem auxiliá-lo nesta tarefa! Conheça uma delas: a Auditoria e Análise de Vulnerabilidades, clicando aqui.

Fonte: CIO.

Read More
23 novembro 2018
adm.future
0
Categories: Blog, Notícias

Os impactos do GDPR e da LGPD na estratégia de segurança da informação

O ano de 2018 será conhecido como um divisor de águas para a segurança da informação mundial. Em maio, entrou em vigor na União Europeia o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation – GDPR). A diretriz é que as empresas locais e, também, as que tenham relações comerciais com a região, realizem a coleta e tratamento de informações apenas com o consentimento explícito do usuário. Pouco tempo depois, em agosto, foi a vez de o Brasil seguir a onda, com a Lei Geral de Proteção de Dados (LGPD) sendo sancionada pelo presidente Michel Temer. A norma passa a valer em fevereiro de 2020 e possui diretrizes similares ao documento europeu.

As exigências recaem direta e primeiramente na área de compliance, que deve ser responsável por garantir que todos os departamentos e stakeholders sigam as determinações: pedir a autorização da coleta de dados para cada cliente; apontar o objetivo do recolhimento; usá-los para o objetivo descrito; e aceitar a autonomia de o usuário solicitar esclarecimentos ou a exclusão dos dados coletados. Além disso, as empresas são declaradamente responsáveis pela proteção das informações dos clientes e, em caso de vazamentos ou erros de utilização, têm a obrigação de comunicar os atingidos em até 72 horas. As multas pelo descumprimento das exigências na LGDP, por exemplo, chegam a até R$ 50 milhões, ou 2% do faturamento do grupo econômico.

A partir de agora, clientes podem exigir que as empresas detalhem quais informações pessoais são coletadas, e para qual fim. O que todo o consumidor, seja ele pessoa física ou jurídica, quer, é garantir que os dados cedidos ao seu fornecedor não saiam do perímetro corporativo. No segmento B2B, já vejo hoje, clientes interessados em atuar como auditores de seus fornecedores, como medida cautelar vinda de uma crônica falta de confiança. Com a regulamentação, o que seriam pedidos esparsos tendem a se tornar exigências recorrentes, o que vai demandar a criação de processos, adoção de ferramentas e construção de mecanismos que atendem a essas solicitações.

Não há segredo: para que os dados sejam protegidos de maneira integral é necessário um investimento em tecnologias de segurança da informação. Mas isso não é o bastante: como citei anteriormente, qualquer ação deve partir de uma política clara, bem fundamentada e amplamente comunicada internamente por compliance. Invariavelmente, os processos terão de estar muito bem amarrados. Uma outra estratégia importante é a contratação de hackers que trabalhem para a empresa buscando vulnerabilidades antes que invasores mal-intencionados o façam.

Especialmente com LGPD e GDPR, o sucesso da estratégia de segurança da informação está na antecipação de brechas e prevenção de ocorrências mais graves.

Mais um fator que não pode ser ignorado é a companhia contar com profissionais de segurança da informação certificados e atualizados, que sigam padrões internacionais e realizem reuniões mensais para acompanhamento de trabalho e melhoria – inclusive junto da diretoria. A partir de agora, a garantia de proteção e integridade dos dados não será uma tarefa somente de um departamento ou estará centralizada em uma figura, como o Chief Security Officer: é essencial que permeie todos os departamentos da empresa, em especial aqueles que se relacionam diretamente com os clientes e seus dados.

Mas não há motivos para reclamar nem do GDPR, nem da LGPD. Adequar-se às exigências dá trabalho e exige investimento de recursos – seja de tempo ou financeiro -, mas é uma atividade importantíssima para elevar o nível de transparência e até mesmo maturidade das organizações. Afinal, garantir a segurança da informação da carteira de clientes pode, até então, não ter sido obrigatório – mas sempre foi uma atitude estratégica e de extremo bom senso para companhias que querem ter credibilidade em seu ecossistema.

Quer adequar sua empresa ao GDPR ou LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: Infor Channel.

Read More
22 novembro 2018
adm.future
0
Categories: Blog, Notícias, Segurança

6 ameaças a dispositivos móveis para manter no radar

A segurança de dispositivos móveis está no topo da lista de preocupações de todas as empresas nos dias de hoje – e por um bom motivo: quase todos os funcionários agora acessam rotineiramente dados corporativos a partir de smartphones, e isso significa manter informações confidenciais fora das mãos erradas é um quebra-cabeças cada vez mais complexo.

As apostas em segurança são mais altas do que nunca: o custo médio de uma violação de dados corporativos é de US$ 3,86 milhões, de acordo com um relatório de 2018 do Ponemon Institute. Isso é 6,4% mais do que o custo estimado no ano passado.

Embora seja fácil se concentrar no assunto malware, a verdade é que infecções por malware móvel são incrivelmente incomuns no mundo real – com suas chances de ser infectado significativamente menores do que suas chances de ser atingido por um raio, de acordo com uma estimativa. Isso graças à natureza do malware móvel e às proteções inerentes aos sistemas operacionais móveis modernos.

Os riscos de segurança móvel mais realistas encontram-se em algumas áreas facilmente negligenciadas, e espera-se que todas elas se tornem ainda mais prementes no próximo ano. Saiba o que deve estar no radar:

1. Vazamento de informações

Pode soar como um diagnóstico do urologista robótico, mas o vazamento de dados é amplamente visto como uma das ameaças mais preocupantes para a segurança da empresa quando entramos em 2019. Lembre-se dessas chances quase inexistentes de estar infectado com malware? Bem, quando se trata de uma violação de dados, as empresas têm quase 28% de chance de sofrer pelo menos um incidente nos próximos dois anos, com base nas pesquisas mais recentes do Ponemon.

O que torna a questão especialmente irritante é que ela muitas vezes não é nefasta por natureza; em vez disso, é uma questão de os usuários inadvertidamente tomarem decisões imprudentes sobre quais aplicativos podem ver e transferir suas informações.

“O principal desafio é como implementar um processo de verificação de aplicativos que não sobrecarregue o administrador e não frustre os usuários”, explicou Dionisio Zumerle, diretor de pesquisa de segurança móvel do Gartner.

Ele sugere a adoção de soluções de defesa contra ameaças móveis (MTD – mobile threat defendse) – produtos como o Endpoint Protection Mobile da Symantec, o SandBlast Mobile da CheckPoint e o zIPS Protection da Zimperium. Esses utilitários analisam os aplicativos em busca de “comportamentos com vazamentos”, disse Zumerle, e podem automatizar o bloqueio de processos problemáticos.

Naturalmente, nem sempre isso cobre vazamentos que ocorrem como resultado de um erro evidente do usuário – algo tão simples quanto transferir arquivos da empresa para um serviço público de armazenamento em nuvem, colar informações confidenciais no lugar errado ou encaminhar um email para um serviço não intencional.

Esse é um desafio que a indústria da saúde está atualmente tentando superar: de acordo com a especialista em seguros Beazley, “divulgação acidental” foi a principal causa de violação de dados relatada por organizações de saúde no terceiro trimestre de 2018. Essa categoria combinada com vazamentos internos foi responsável por quase metade de todas as violações relatadas durante esse período de tempo.

Para esse tipo de vazamento, as ferramentas de prevenção contra perda de dados (DLP – data loss prevention) podem ser a forma mais eficaz de proteção. Esse software é projetado explicitamente para evitar a exposição de informações confidenciais, inclusive em cenários acidentais.

2. Engenharia social

Apesar da facilidade com que alguém poderia pensar que os contras da engenharia social poderiam ser evitados, eles continuam surpreendentemente eficazes.
Surpreendentes 91% dos crimes cibernéticos começam por meio do e-mail, de acordo com um relatório de 2018 da empresa de segurança FireEye. A empresa se refere a esses incidentes como “ataques sem malware”, já que eles confiam em táticas como representação para enganar as pessoas para que cliquem em links perigosos ou forneçam informações confidenciais.

O ataque de Phishing, especificamente, cresceu 65% ao longo de 2017, diz a empresa, e os usuários móveis correm maior risco de cair devido à forma como muitos clientes de email móveis exibem apenas o nome de um remetente – tornando especialmente fácil a falsificação mensagens e enganar uma pessoa a pensar que um e-mail é de alguém que eles conhecem ou confiam.

Na verdade, os usuários são três vezes mais propensos a responder a um ataque de phishing em um dispositivo móvel do que em um desktop, de acordo com um estudo da IBM – em parte simplesmente porque um telefone é o lugar onde as pessoas provavelmente verão primeiro uma mensagem. Enquanto apenas 4% dos usuários clicam em links relacionados a phishing, de acordo com o Relatório de Investigações de Violações da Verizon de 2018. A Verizon relatou anteriormente que 15% dos usuários que foram infectados com sucesso serão filmados pelo menos mais uma vez no mesmo ano.

“Nós vemos um aumento geral na suscetibilidade a dispositivos móveis impulsionado pelo aumento da computação móvel e pelo crescimento contínuo dos ambientes de trabalho BYOD”, disse John “Lex” Robinson, estrategista de segurança da informação e anti-phishing da PhishMe – uma empresa que usa simulações do mundo real para treinar os funcionários sobre como reconhecer e responder a tentativas de phishing.

Robinson observa que a linha entre o trabalho e a computação pessoal também continua a se confundir. Mais e mais trabalhadores estão vendo várias caixas de entrada – conectadas a uma combinação de contas de trabalho e pessoais – juntas em um smartphone, observa ele, e quase todo mundo conduz algum tipo de negócio pessoal on-line durante o dia de trabalho.

Consequentemente, a noção de receber o que parece ser um e-mail pessoal ao lado de mensagens relacionadas ao trabalho não parece de todo incomum na superfície, mesmo que possa de fato ser um ardil.

3. Ataques às redes WiFi

Um dispositivo móvel é tão seguro quanto a rede pela qual transmite dados. Em uma época em que todos estamos constantemente nos conectando a redes WiFi públicas, isso significa que nossas informações geralmente não são tão seguras quanto podemos supor.

Quão significativa é essa preocupação? De acordo com uma pesquisa da empresa de segurança corporativa Wandera, os dispositivos móveis corporativos usam o WiFi quase três vezes mais que o uso de dados celulares. Quase um quarto dos dispositivos se conectou a redes Wi-Fi abertas e potencialmente inseguras, e 4% dos dispositivos encontraram um ataque man-in-the-middle – no qual alguém intercepta maliciosamente a comunicação entre duas partes – no mês mais recente.

A McAfee, por sua vez, diz que o spoofing de rede aumentou “drasticamente” nos últimos tempos, e ainda assim, menos da metade das pessoas se preocupam em garantir sua conexão enquanto viajam e dependem de redes públicas.

“Hoje em dia, não é difícil criptografar o tráfego”, comentou Kevin Du, professor de ciência da computação da Syracuse University, especialista em segurança de smartphones. “Se você não tem uma VPN, você está deixando muitas portas em seus perímetros abertos.”

Selecionar a VPN de classe empresarial certa, no entanto, não é tão fácil. Como acontece com a maioria das considerações relacionadas à segurança, uma compensação é quase sempre necessária. Uma VPN eficiente deve saber ativar somente quando for absolutamente necessário, diz ele, e não quando um usuário acessa algo como um site de notícias ou trabalha em um aplicativo que é conhecido por ser seguro.

4. Dispositivos desatualizados

Smartphones, tablets e dispositivos conectados – comumente conhecidos como internet das coisas (IoT) – representam um novo risco para a segurança corporativa, pois, ao contrário dos dispositivos de trabalho tradicionais, geralmente não oferecem garantias de atualizações de software oportunas e contínuas. Isso é verdade principalmente na frente do Android, onde a grande maioria dos fabricantes é ineficaz em manter seus produtos atualizados – tanto com atualizações do sistema operacional quanto com os menores patches de segurança mensais entre eles.

“Muitos deles nem sequer têm um mecanismo de patch embutido, e isso está se tornando cada vez mais uma ameaça hoje em dia”, disse Du.

Aumentada a probabilidade de ataque à parte, um uso extensivo de plataformas móveis eleva o custo total de uma violação de dados, de acordo com Ponemon, e uma abundância de produtos de IoT conectados ao trabalho apenas faz com que esse número suba ainda mais. A internet das coisas é “uma porta aberta”, segundo a empresa de segurança cibernética Raytheon, que patrocinou pesquisas mostrando que 82% dos profissionais de TI previram que dispositivos IoT não seguros causariam uma violação de dados – provavelmente “catastrófica” – dentro de sua organização.

Mais uma vez, uma política forte percorre um longo caminho. Existem dispositivos Android que recebem atualizações contínuas oportunas e confiáveis. Até que o cenário da IoT se torne menos selvagem, cabe a uma empresa criar sua própria rede de segurança em torno deles.

5. Ataques de Cryptojacking

Uma adição relativamente nova à lista de ameaças móveis relevantes, o crypjacking é um tipo de ataque em que alguém usa um dispositivo para minerar criptomoedas sem o conhecimento do proprietário. Se tudo isso soa como um monte de bobagens técnicas, apenas saiba disso: o processo de criptografia usa os dispositivos da sua empresa para o ganho de outra pessoa. Ele se apóia fortemente em sua tecnologia para fazê-lo – o que significa que os telefones afetados provavelmente terão pouca vida útil da bateria e poderão até sofrer danos devido a componentes superaquecidos.

Embora o crypjacking tenha se originado no desktop, houve um surto de mobilidade do final de 2017 até o início de 2018. A mineração de criptomoeda indesejada representou um terço de todos os ataques no primeiro semestre de 2018, de acordo com uma análise da Skybox Security. E os ataques de cryptojacking específicos para dispositivos móveis explodiram completamente entre outubro e novembro de 2017, quando o número de dispositivos móveis afetados registrou um aumento de 287%, de acordo com um relatório da Wandera.

Os analistas também observaram a possibilidade de usar cryptojacking via set-top boxes conectados à internet, que algumas empresas podem usar para streaming e transmissão de vídeo. De acordo com a empresa de segurança Rapid7, hackers descobriram uma maneira de tirar proveito de uma brecha aparente que torna o Android Debug Bridge – uma ferramenta de linha de comando destinada apenas ao uso do desenvolvedor – acessível e maduro para o abuso em tais produtos.

Por enquanto, não há grande resposta – além de selecionar dispositivos cuidadosamente e seguir uma política que exige que os usuários façam download de aplicativos apenas da vitrine oficial de uma plataforma, onde o potencial para código de crypjacking é significativamente reduzido – e realisticamente, não há indicação de que a maioria das empresas estão sob qualquer ameaça significativa ou imediata, particularmente dadas as medidas preventivas tomadas em toda a indústria. Ainda assim, dada a atividade flutuante e crescente interesse nesta área nos últimos meses, é algo que vale a pena estar ciente e de olho no próximo ano.

6. Violações de dispositivos físicos

Por último, mas não menos importante, algo que parece bobo, mas continua a ser uma ameaça perturbadoramente realista: um dispositivo perdido ou não assistido pode ser um grande risco de segurança, especialmente se não tiver um PIN ou senha forte e criptografia de dados completa.

Em um estudo da Ponemon de 2016, 35% dos profissionais indicaram que seus dispositivos de trabalho não tinham medidas obrigatórias para garantir dados corporativos acessíveis. Pior ainda, quase metade dos entrevistados disseram que não tinha senha, PIN ou segurança biométrica protegendo seus dispositivos – e cerca de dois terços disseram que não usavam criptografia. AInda, 68% dos entrevistados indicaram que, às vezes, compartilhavam senhas em contas pessoais e de trabalho acessadas por meio de seus dispositivos móveis.

A mensagem para levar para casa é simples: deixar a responsabilidade nas mãos dos usuários não é suficiente. Não faça suposições, defina políticas. Você vai agradecer depois.

Quer se manter protegido! Conte com a Future! Clique aqui e conheça nossas Soluções.

Fonte: CIO.

Read More
21 novembro 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Segurança da informação protege empresas e clientes na Black Friday

A oitava edição brasileira da Black Friday está chegando. Nos próximos dias, e principalmente no dia 23 de novembro, consumidores de todo o país irão às compras para garantir produtos e serviços com preços muito abaixo de seu valor de mercado.

Seja em lojas físicas ou por e-commerce, a Black Friday deste ano deve movimentar mais de dois bilhões de reais no Brasil. Mas, ao mesmo tempo que os lucros aumentam, cresce também o número de tentativas de ataques cibernéticos neste período, com uma previsão feita pelo DFNDR Lab de aumento de 600% para este ano, em relação ao mesmo período em 2017.

A principal prática criminosa detectada durante a Black Friday é chamada pelos especialistas de phishing, em que são criadas páginas e ofertas falsas com o objetivo de sequestrar dados dos consumidores, como informações de cartão de crédito. As páginas falsas são, normalmente, compartilhadas nas redes sociais, ganhando alto poder de viralização.

Alguns dos prejuízos para os consumidores estão no fato de que, ao concluir uma compra em uma página falsa, além de deixar seus dados com criminosos cibernéticos que podem utilizá-los de forma ilegal, você deixou de efetivamente comprar o produto ou serviço que desejava. Já a empresa da qual você teoricamente comprou, jamais receberá o valor, não saberá da sua compra e ainda terá sua imagem prejudicada no mercado.

Impacto das ameaças cibernéticas

Os impactos das ameaças cibernéticas podem atingir também empresas que não estão participando diretamente das promoções. Isso porque grande parte dos consumidores faz suas compras de Black Friday em sua estação de trabalho. Dessa forma, ao receberem ou acessarem uma página falsa, por exemplo, no ambiente corporativo, a própria empresa corre o risco de ser infectada pelo link malicioso. E, mesmo utilizando computadores ou smartphones pessoais para conectar-se às contas corporativas, os colaboradores ainda estão sujeitos a contaminar a empresa com algum arquivo malicioso, por ter fornecido usuário e senha corporativos para acesso remoto.

Por conta de todos esses riscos, as estratégias e tecnologias voltadas à segurança da informação entram como um player de extrema relevância na atuação contra essas ameaças e seus criadores, que se modificam e encontram novas técnicas a cada dia.

Empresas especializadas em segurança da informação indicam que, para evitar cair em golpes desse tipo, o cliente sempre deve desconfiar de ofertas enviadas por mensagens; de páginas acessadas por redes de wi-fi públicas; de ofertas com preços extremamente baixos e infactíveis; e fazer uma pesquisa sobre a credibilidade da empresa de quem está comprando. Uma visita ao site oficial da empresa ou a portais como o Reclame Aqui, e a confirmação de existência da oferta em questão funcionam muito bem para combater esse tipo de ataque cibernético.

Outro aspecto muito importante é que as empresas possuam softwares ou tecnologias de segurança da informação que sejam capazes de detectar e proteger seu sistema contra links maliciosos de phishing e demais ameaças. É indicado também que os consumidores instalem algumas dessas soluções como antivírus em seus smartphones para evitar que sejam conduzidos a páginas maliciosas. A solução Sonar Shield, desenvolvida pela empresa Microservice é capaz de detectar e analisar anomalias cibernéticas nos diversos sistemas informatizados.

Entre as funcionalidades do produto, é possível realizar a segurança de ambientes como redes, datas centers, cloud e endpoints, realizando a proteção contra malwares, a análise de vulnerabilidade, monitoramento, análise de comportamento e simulação de phishing para medir a maturidade dos usuários. “Os investimentos em tecnologia de segurança da informação servem para mitigar falhas e riscos, mas nunca é possível afirmar que as vulnerabilidades e brechas de segurança serão 100% eliminadas.

Falar sobre segurança da informação envolve também dados físicos, como documentos impressos, e pessoas, que quando não bem instruídas, podem ser a principal porta de entrada de um ataque, principalmente pelo recebimento de phishings. Por isso investir em múltiplas camadas de tecnologia e também trabalhar continuamente a conscientização do usuário, e é fundamental para a segurança de organizações de todos os tamanhos”, afirma André Junges, diretor de Marketing e Vendas da Microservice.

Fonte: IT Forum 365.

Read More
19 novembro 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Pesquisador holandês descobre falha de segurança em HDs da Samsung e da Crucial

No início deste mês, um pesquisador da Universidade de Radboud, da Holanda, revelou uma falha em discos rígidos e SSDs das marcas Samsung e Crucial que pode ser usada por invasores para acessar arquivos criptografados armazenados nesses equipamentos.

Mais precisamente, a descoberta de Bernard van Gastel afeta o sistema de criptografia por hardware nos SSDs MX100, MX200 e MX300 da Crucial e os HDs 840 EVO, 850 EVO, T3 e T5 da Samsung.

De acordo com Gastel, a falha acontece principalmente no Windows, que utiliza o aplicativo BitLocker para gerenciar a criptografia dos arquivos. O problema do BitLocker é que às vezes ele pode confiar a proteção dos arquivos somente à criptografia de hardware, não aplicando a camada extra de proteção com a criptografia de software. Por conta disso, indivíduos mal-intencionados podem utilizar a falha com programas que rapidamente conseguem descobrir a chave para descriptografar os arquivos (já que não há nenhum mecanismo de proteção do segredo) para ter acesso total a eles.

O pesquisador explica que o problema não foi encontrado nos outros sistemas operacionais, citando como motivo o fato de todos eles (com exceção do Windows) utilizarem sistemas de criptografia baseados em software. Entretanto, a falha pode acontecer caso o usuário não os configure para utilizar a criptografia por hardware. O pesquisador avisa que, para evitar esse problema, usuários do Windows devem acessar o BitLocker e mudar a opção de criptografia do app para se basear em software. Em seguida, o ideal é fazer backup dos dados, formatar o dispositivo de armazenamento e armazená-los de volta ali para que as alterações do BitLocker façam efeito.

Devido às políticas de descoberta de falhas da universidade, os fabricantes desses dispositivos foram alertados à época da descoberta, em abril, e a falha só foi revelada ao público seis meses depois disso como forma de segurança para evitar influenciar um aumento de ataques a esses dispositivos. Também por segurança, a instituição não irá disponibilizar para o público a ferramenta utilizada nos testes para quebrar a criptografia dos dispositivos.

Fontes: Canal Tech via Universidade de Radboud.

Read More
16 novembro 2018
adm.future
0
Categories: Blog, Notícias

LGPD: 10 dúvidas sobre a nova Lei

A Lei Geral de Proteção de Dados (LGPD) foi sancionada pela Presidência da República em agosto e suas novas regras afetarão todas as atividades que envolvam a utilização de dados pessoais em empresas brasileiras, que têm até 2020 para se adequarem. As regras buscam proteger os dados contra as vulnerabilidades e vazamento.

Veja abaixo algumas dúvidas frequentes sobre o assunto, respondidas por Vitor Corá, especialista em cibersegurança na Trend Micro, e Gabriela Crevilari, advogada do escritório Assis e Mendes.

Quem fiscalizará se as empresas estão em conformidade com a lei e efetivamente protegendo os dados?

O controle sobre a proteção de dados será exercido pela Autoridade Nacional de Proteção de Dados que será criada para este fim. A partir do momento em que for criada, é que saberemos mais sobre diretrizes quanto a fiscalização e formas de controle.

Como será comprovado que a empresa garante a proteção dos dados?

É necessário que as empresas, por meio de assessorias especialistas em proteção de dados, estude quais são os dados que coleta e armazena e com quem compartilha para, então, definir estratégias de segurança, nos quais poderão futuramente serem considerados os meios de comprovação da garantia sobre a proteção de dados sob seu controle.

Como fica o relacionamento com parceiros?

É necessário que atualizem os contratos, com cláusulas específicas sobre a proteção de dados com parceiros em que seja necessário o compartilhamento de dados.

Apenas o contrato firmado entre as partes garantirá que elas seguem a lei?

Não. O contrato firmado entre as partes será apenas um dos instrumentos para a comprovação de atendimento à lei. É importante que as empresas que realizarem o tratamento de dados se preocupem em investir em dispositivos de segurança para que minimize as possíveis penalidades impostas pela lei.

Caso ocorra, como comprovar que a empresa sabia do vazamento de dados?

Quando estiver sob investigação, a empresa deverá comprovar os métodos de segurança que utilizou. Assim, apenas após a apuração, é que haverá a decisão sobre a aplicação de penalidades ou não.

Assim como na Europa, haverá a necessidade de um funcionário terceiro para checar se a empresa está seguindo as novas regras?

Sim. Assim como no Regulamento Europeu, a LGPD brasileira demanda da figura do Encarregado pela Proteção de Dados. A Lei não determina sobre o tamanho das empresas que devem atender esta exigência, cabendo até o momento para todas as empresas que realizarem o tratamento de dados.

E caso um vazamento ocorra de uma empresa estatal?

O artigo 3º da LGPD diz que a Lei será aplicada a qualquer operação de tratamento realizada por pessoa física ou por pessoa jurídica de direito público ou privado. Desta forma, a LGDP delimitou um capítulo (art. 23 ao 30) exclusivo que definem as regras para o tratamento de dados pelo poder público.

Em caso de vazamento dos dados, a Legislação prevê a publicação do ocorrido via canais de mídia? A empresa terá um prazo para corrigir a falha?

Este ponto é uma espécie de penalidade prevista pela lei e que dependerá da decisão do órgão investigador, inclusive quanto ao prazo de correção.

O simples cadastro de funcionários de uma empresa também é um exemplo de informação que deverá ser cuidada sobre a LGPD?

Sim. Todo documento que contenha dados pessoais deverá ser protegido em conformidade com o que diz a LGPD.

Como deve seguir a relação entre a empresa e o cliente quando a finalidade de uso dos dados consentido mudar?

Nesta hipótese, a empresa deverá informar o cliente sobre a nova finalidade dos dados anteriormente coletados, devendo a empresa, ainda, recolher o consentimento do cliente para as novas finalidades.

Quer colocar sua empresa em conformidade com a LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: IT Forum 365.

Read More
9 novembro 2018
adm.future
0
Categories: Blog, Notícias

Blockchain dará velocidade ao Judiciário

O boom das criptomoedas que vivemos nos últimos anos trouxe à tona muitas discussões sobre regulação, câmbio e segurança das transações. Com esta revolução, muitos conceitos novos surgiram ao mercado. Talvez o mais importante deles seja o Blockchain, que nada mais é do que uma maneira de validar transações de maneira segura, ágil e eficiente. Esta tecnologia emergente não demorou a ganhar novas aplicações, afinal vivemos na “era dos dados” e a proteção dos mesmos é prioridade nos principais setores da sociedade.

O Fórum Mundial Econômico estima que 10% de todo o PIB mundial estará sob Blockchain até 2027. A partir dessa tecnologia, escritórios de contabilidade terão muito menos trabalho com a amostragem e validação de transações. As agências de marketing serão beneficiadas com a redução da chamada “fraude dos cliques” e, desta forma, passa a ser mais fácil uma campanha atingir seu público-alvo. Os profissionais de RH, por sua vez, podem dar adeus ao pesadelo dos históricos imprecisos de candidatos às vagas.

O Blockchain tornou-se também a “menina dos olhos” do sistema judiciário. Como sabemos, a justiça brasileira tem diversos gargalos que impedem que processos sejam finalizados de maneira mais rápida. No entanto, O nível de governança e de gestão da TI do Judiciário melhorou muito nos últimos dois anos. Hoje vemos julgamentos sendo feitos por meio de videoconferência, por exemplo, o que por si só acelera qualquer processo, pois se elimina a necessidade de locomoção de uma cidade a outra.

Segundo dados da pesquisa sobre uso da Tecnologia da Informação e Comunicação (TIC), feita pelo Conselho Nacional de Justiça (CNJ) em 92 tribunais e conselhos do País, havia 15 órgãos classificados como de “baixa maturidade tecnológica” no país em 2016. Esse índice foi reduzido a zero em 2018.

Aproveitando este momento de transformação no judiciário, veja como o Blockchain pode aperfeiçoar ainda mais os processos.

Unicidade processual

As informações dentro do Blockchain são sempre iguais, independente do servidor que se consulte. Essa característica de unicidade da informação fornece uma grande vantagem para sistemas de gerência processual do judiciário. Atualmente, o mesmo processo se encontra armazenado digitalmente em diversas bases de dados em distintas instâncias do judiciário, muitas vezes sem sincronização das suas informações. O uso da tecnologia Blockchain possibilita garantir que as informações referentes a uma peça processual seja sempre a mesma, independente da base aonde se consulte, seja dentro do datacenter do tribunal ou em uma nuvem externa.

Controle de certidões digitais

O trâmite lento de certidões emitidas pelos tribunais dentro do próprio judiciário causa transtornos no andamento processual. A tecnologia Blockchain garante a confiabilidade no envio de um ativo digital como uma certidão entre diversas partes, com total segurança, desburocratizando o andamento do processo.

Registro civil

Registros civis, tais com nascimento, óbito, casamento, dentre outros, podem ser beneficiados pelo uso de uma ferramenta à prova de fraude baseada em Blockchain. Com a possível participação de instituições de fé pública, com Cartórios e Tribunais, a gravação desse tipo de informação das pessoas físicas, poderá ser realizada de forma irrefutável com a utilização de Blockchain e Certificação Digital. Uma solução como essa, inclusive, seria de grande valia para melhorar o atendimento à população e desburocratizar diversos processos.

Mandados de prisão e alvarás de soltura

O correto controle dos mandados de prisão e de alvarás de solturas sempre foi um desafio para o judiciário. Decisões realizadas em diversas instâncias de forma distribuída causam confusões e problemas de soltura ou prisões indevidas. A utilização do conceito de confiabilidade em redes distribuídas é perfeita para uma solução que mantenha o correto controle de processo, com informações precisas sobre os réus e suas decisões judiciais. Isso impediria, por exemplo, que um criminoso com vários mandados de prisão, consiga ser solto com um alvará de soltura de outro Estado ou de uma instância inferior.

Depósitos Judiciais

A tecnologia Blockchain pode ser utilizada para incrementar a segurança do sistema de conta única de depósitos judiciais. A utilização de Smart Contracts para controlar as transações financeiras, incrementa a segurança e evita fraudes, mesmo dentro do próprio judiciário. Ferramentas de verificação das transações podem ser disponibilizadas para o correto controle e para auditar os eventos.

Gestão de precatórios

O registro e liberação de precatórios evoluem dentro dos Tribunais, até chegarem ao Tesouro Nacional. Qualquer modificação indevida nas bases de dados desse processo pode criar grandes fraudes financeiras. A imutabilidade dos registros em Blockchain garante a segurança das transações envolvendo precatórios. Smart Contracts atuando desde a autuação passando pela atualização de cálculo, pelas transações de compra e venda (transferência de titularidade), chegando até mesmo a atualização do precatório em compensação de dívidas tributárias, se torna um modelo de controle à prova de fraude. O Poder Judiciário passaria a ter controle total sobre o processo, incluindo as transações que hoje ocorrem a sua revelia. Além da maior segurança e controle, a tecnologia Blockchain desburocratiza o processo na medida em que provê um ambiente controlado e seguro para que empresas busquem precatórios para compensação tributária.

Fonte: Revista Amanhã.

Read More
7 novembro 2018
adm.future
0
Categories: Blog, Notícias

Uso do Machine Learning na segurança não é tão novo assim

Do ponto de vista prático, Machine Learning é uma abordagem nova para designar algo muito antigo: um conjunto de equações e algoritmos baseado quase que totalmente em álgebra linear ou que define a maioria das equações de probabilidade. Por exemplo, a base da regressão Linear (muito usada em Machine Learning) foi primeiramente vislumbrada por Francis Galton em 1888.

Após a parte indubitavelmente e academicamente chata, podemos ir para a diversão. Não importa o nome usado, os modelos estatísticos e seus algoritmos, hoje atualizados, são de grande uso na maioria das áreas de conhecimento (ousaria dizer até em todas). Especificamente na segurança da informação, seu maior uso é retirar, da grande quantidade de dados processada, informações úteis e acionáveis.

Os modelos não lineares de classificação para feeds de segurança são os que considero mais interessantes. Porém, antes da utilização de Machine Learning, todo dado recebido precisa ser tratado e enriquecido para que os modelos estatísticos tenham parâmetros variados nos quais poderemos basear nossas predições.

Em casos de uso de algoritmos de Machine Learning é recomendado, sempre que possível, a utilização de stacks de algoritmos. Os dois modelos de que faço uso são a random classification florest para primeiro estabelecer probabilidade de ser malicioso (baseado em fatores como domínio, país, origem e etc) e, depois, o clustering para agrupar essa informação em tipos de ameaça (phishing, botnet, ransomware, entre outros).

Antes de começar a produzir informações, vale ressaltar que no uso de modelos estatísticos é sempre recomendado avaliar quais features do seu data set são mais representativas. A utilização de Recursive Feature Elimination, Associantion Rules e algoritmos de redução de dimensionalidade, como Principal Component Analysis, são muito importantes para a saúde e precisão do seu modelo.

A escolha adequada das features é tão/ou mais importante quanto a escolha do algoritmo que você vai utilizar. Relearning e análise de desempenho também devem estar sempre no calendário de manutenção dos seus modelos. Afinal isso é learning.

Uma vez feitos esses dois modelos temos acesso a informação dos malware agrupados e (no meu caso) com uma precisão de 91% de serem maliciosos. Com isso você tem uma redução drástica da quantidade de informação e adquire informação acionável e com baixíssima probabilidade de ser falso-positivo. Perder 9% do tempo do seu analista me soa bem razoável, visto que você poderá estar atuando no incidente de forma precoce ou até mesmo antecipando o mesmo.
Isso funciona muito bem em produção se utilizar aplicações de terceiros, assim como criando seu próprio serviço como Tensorflow ou Flask. Após meses de estudo identifiquei que estabelecer esse tipo de serviço/aplicação em Python é vantajoso por três motivos:

  1. Temos uma comunidade ativa e contributiva que pode ser de grande auxílio.
  2. É uma linguagem hoje bem estabelecida, então se torna mais fácil ter mão de obra qualificada.
  3. Existem diversos métodos de deploy baseados em Python – desde totalmente gratuitos até modelos mais corporativos com suporte como os da Azure ou AWS.

Para concluir, modelos estáticos existem há mais de 200 anos. É uma matemática um pouco complexa, mas muito bem fundamentada. Se utilizada corretamente pode ajudar MUITO, ainda mais no mundo de hoje com as quantidades gigantescas de informação com as quais lidamos. E lembre-se: nunca adapte a realidade ao modelo e, sim, o modelo à realidade.

Fonte: CIO.

Read More

Receba conteúdos exclusivos