terça-feira, 29 de agosto de 2017

TRÊS ASPECTOS A SEREM OBSERVADOS NA NUVEM PÚBLICA

Todos os pontos aqui descritos foram resultados de análise do Gartner, grupo especializado em pesquisas e avaliações nas áreas de TICs.

1. Controle da informação, a grande questão

A preocupação com a maturidade de segurança da nuvem deve existir, com vistas a endereçar todos os processos e mecanismos de seu acesso e utilização - é de suma importância.  Mas a questão mais importante é a criação de uma política de utilização da nuvem: o que eu posso e o que eu não posso colocar lá etc. O provedor de nuvem tem a obrigação de manter segura a infraestrutura que suporta a visualização de todos os clientes. Já a segurança do 
conteúdo é obrigação do "cliente” — cujos profissionais de segurança, privacidade, conformidade e gerenciamento de riscos devem ser competentes nesse tipo de ambiente.



2. A virtualização e o papel do DevSecOps

Dentro do que efetivamente vai para a nuvem, a partir de processos de virtualização, como fica a segurança em meio a demandas – por exemplo, aplicações, que cada vez mais demandam agilidade e, por isso, não podem esperar muito tempo pela avaliação da área? Ou, como disse Neiva, “ainda mais do CISO”?  
A resposta é o DevSecOps, metodologia — tida como uma das principais tendências tecnológicas — que implica o envolvimento, à luz de uma mentalidade ágil, da equipe de segurança da informação ao longo de todo o processo do desenvolvimento - do planejamento até a codificação, testes, implementação, operação e monitoramento.
Conforme orientação do Gartner, sob a perspectiva da abordagem Carta (Continuous Adaptive Risk and Trust Assessment, ou análise continua e adaptável de risco e confiança), no tocante a novas aplicações é preciso que as empresas busquem, em meio a bibliotecas, vulnerabilidades conhecidas, neutralizando a maior parte dos riscos. Já para códigos proprietários, deve-se buscar um equilíbrio entre a velocidade e segurança exigidas pelo negócio.
3. Outras tendências apontadas pelo Gartner
- Até o final desta década, 50% das empresas irão requerer uma aprovação, em caráter de exceção, de cargas de trabalho (workloads) em casa, ou seja, fora de uma infraestrutura de nuvem não pública.
- As organizações irão parar de se referir a computação em nuvem como "exceção" e, em vez disso, a computação local se tornará o cenário menos comum até 2022.
“Temos evidências suficientes que as coisas estão indo por esse caminho. Simplesmente dizer não à adoção de nuvem não será uma solução para todo mundo. O que precisamos entender é como fazer isso de forma homeopática”, de olho na evolução das soluções oferecidas nesse ambiente, resumiu Neiva, que também compartilhou um plano de ação, que pode ser conferido abaixo, em uma de suas apresentações na Conferência Segurança & Gestão de Risco.

4. Definição de Plano de Ação

1. Defina uma estratégia de nuvem de, no mínimo, três anos e alinhada aos objetivos da empresa;
2. Identifique quais cenários já estão propícios à migração e quais necessitam de certos investimentos para garantir sua visibilidade, conformidade, entre outros requisitos do negócio;
3. Estude políticas de utilização da nuvem: por quem, como e quando ela será acessada;
4. Desenvolva competências técnicas e operacionais relacionadas à virtualização. Entre elas, o entendimento de DevOps e seu conjunto de ferramentas.
5. Descubra quais as falhas, dentro do seu conjunto de ferramentas, que afetem a visibilidade ao mudar para a nuvem;
6. E desenvolva competências de trabalho diferentes daquelas associadas ao ambiente tradicional.


Fonte: Redação CIO.

segunda-feira, 22 de maio de 2017

Como combater ataques via ENGENHARIA SOCIAL.

Treinamento de funcionário 

Toda empresa deve atualizar continuamente o treinamento dos funcionários com todos os detalhes de como os criminosos estão usando engenharia social.
"Você deve conduzir treinamento de conscientização de engenharia social separadamente e especificamente, esboçando como esses ataques funcionam, fazendo-os parecer muito plausíveis", diz Johnston. Coloque em encenações (ao vivo ou em vídeo) todos os personagens, tanto as vítimas como os perpetradores,  para demonstrar os pontos vividamente e pessoalmente, diz Johnston. 
"Durante as sessões de treinamento, costumo dizer às pessoas que, de início, devem ser paranóicas ao extremo já que nunca é possível determinar o que um criminoso pode querer de você”, diz Sal Lifrieri, CEO da Protective Countermeasures, que trabalhou durante 20 anos no Departamento de Polícia de Nova York.
Segundo ele, não é incomum que os métodos de engenharia social tenham como alvo funcionários como a recepcionista ou o guarda que comanda a cancela do estacionamento. “É por isso que o treinamento tem que atingir a todos já que a secretária ou recepcionista está, em geral, a menos de dez movimentos da pessoa que se deseja atingir”.
Demonstrar como a engenharia social atinge todos, mostrar como alguém pode ser vulnerável e dar às pessoas as ferramentas para se protegerem e garantias de que elas são aceitas mesmo quando são vítimas, aJuda muito.
Além disso, permitir que os funcionários conheçam e usem palavras que alertem seus empregadores de que estão em apuros pode denunciar  ataques em andamento que  usem chantagem ou coerção, diz Johnston.

Combinando treinamento, políticas e tecnologias de segurança, as empresas podem resistir às manobras de engenharia social antigas e novas.

terça-feira, 9 de maio de 2017

BOTS - ENGENHARIA SOCIAL

Sexta Técnica: Os Bots

"Os robôs maliciosos são frequentemente responsáveis ​​por ataques de engenharia social altamente sofisticados e prejudiciais", diz Inbar Raz, pesquisador principal da PerimeterX. Os robôs infectam navegadores web com extensões maliciosas que seqüestram sessões de navegação na web e usam credenciais de rede social salvas no navegador para enviar mensagens infectadas a amigos, explica Raz.

Os atacantes usam essas abordagens de bot para enganar os amigos da vítima em links inseridos em mensagens ou baixar e instalar malwares, o que permite que os criminosos cibernéticos construam grandes botnets que incluem seus computadores, explica Raz.

O que fazer?
No exemplo de ataque ucraniano, máquinas que não permitiam aos usuários habilitar macros teriam parado o ataque frio. As empresas também podem usar a inspeção profunda de pacotes, análise comportamental e inteligência de ameaças para monitorar a camada de rede para comportamento anômalo, como foi exibido pelo ataque ucraniano no Microsoft Office,  diz Neray.

Para tentar barrar os outros métodos de ataque, as empresas devem aplicar segmentação de rede, autenticação multifatorial e técnica forense pós-ataque na rede e pontos de extremidade para evitar movimentos laterais, limitar danos causados ​​por credenciais roubadas e compreender o escopo da violação para garantir a remoção de todos os malwares associados, de acordo com Neray.

E devem endereçar o sextorção usando uma combinação de confiança zero de menos privilégio, detecção comportamental e monitoramento para expor ataques e limitar o abuso de credenciais resultante dessa técnica de engenharia social.

Sextorção também requer manipulação sensível se tal ataque tiver comprometido um empregado. "As áreas Jurídica e de RH podem ter de desempenhar um papel relevante em todas as ações, e todos precisam estar prontos para o pior. Nos casos que conheço, a conscientização dos funcionários e a intervenção precoce limitaram o dano ", diz Maude.

Já em relação aos bots, ferramentas como produtos de monitoramento de comportamento anômalo e alguns softwares antivírus e antimalware podem detectar o comportamento do bot e mudanças no navegador. A empresa pode detectar alguns robôs mais fracos usando inteligência de ameaças e informações de reputação de endereço IP, de acordo com Johnston.

segunda-feira, 8 de maio de 2017

FALSO RECRUTADOR - ENGENHARIA SOCIAL

A quarta técnica é a do Falso Recrutador

Com tantos headhunters procurando candidatos a emprego, ninguém suspeita quando um falso recrutador vem inflar o ego de um funcionário e oferecer posições sedutoras só para obter informações.


"Isso pode não gerar senhas de computador diretamente, mas um invasor pode obter dados suficientes para descobrir informaçõpes sobre a empresa. O atacante também pode ameaçar dizer ao chefe do empregado que ele está planejando deixar a empresa e já compartilhou informações confidenciais para fazer a vítima informar suas senhas de acesso aos sistemas", explica Johnston.

quinta-feira, 4 de maio de 2017

INVASÃO POR AFINIDADE - ENGENHARIA SOCIAL

A engenharia social por afinidade conta com atacantes formando um vínculo com um alvo com base em um interesse comum ou de alguma forma que eles se identifiquem uns com os outros. "O método é tornar-se amigo da vítima, levá-la a fazer-lhes um favor, lentamente pedir informações (inicialmente inócuo), em seguida, pedir informações mais sensíveis.

Uma vez que a vítima esteja enredada, o atacante pode então chantageá-los ", diz Roger G. Johnston, Head da Right Brain Sekurity.
Os criminosos assumem uma postura amigável, mostram-se interessados pela vida das pessoas e em tudo que está relacionado a elas. Em pouco tempo,  conseguem obter informações que não seriam obtidas de outra forma.
A técnica, nesse caso, é simples: os criminosos utilizam pessoas menos importantes e mais acessíveis dentro das empresas para obter informações sobre outras, mais bem posicionadas na hierarquia empresarial.
 
De acordo com os profissionais de segurança, podem existir até dez passos entre o alvo do criminoso e a pessoa primeiramente contatada dentro da organização.
 
Agora, esses trapaceiros estabelecem conexões em redes sociais usando como base pontos de vista políticos compartilhados, grupos de mídia social, hobbies, esportes, interesses em videogames, ativismo e situações de crowdsourcing ", explica Johnston.

quarta-feira, 3 de maio de 2017

A SEXTORÇÃO EM ENGENHARIA SOCIAL

Dando continuidade as técnicas de engenharia social mais eficazes usadas pelos invasores, segue outro tipo muito comum e de fácil acesso: 

A SEXTORÇÃO

Em ataques chamados catphishing, cibercriminosos posam como amantes em potencial para atrair vítimas para compartilhar vídeos comprometedores e fotos e depois chantageá-los. "Essas armadilhas evoluíram para atingir a empresa", diz James Maude, engenheiro de segurança da Avecto.

Direcionados aos funcionários sênior da empresa usando as mídias sociais, os sextorcionistas os chantageiam para revelar credenciais sensíveis, diz Maude.
Existem várias maneiras pelas quais os criminosos conseguem as imagens. A mais comum é a manipulação das mídias sociais, através da qual os autores dos crimes enganam a vítima a lhes enviar fotos comprometedoras. Depois, eles as extorquem para conseguir outras.

Outro método possível é invadir webcams das pessoas e tirar fotos deles quando pensam que ninguém está olhando, algo possibilitado por software espião instalado na máquina da pessoa, quer local ou remotamente.

Mas os ataques também ocorrem pessoalmente em bares e hotéis durante conferências internacionais, diz Maude. Muito cuidado com quem você compartilha fotos e vídeos em redes sociais. O amigo do seu amigo nem sempre é seu amigo.

terça-feira, 2 de maio de 2017

O USO DE ATIVAÇÃO DE MACROS EM ENGENHARIA SOCIAL

Iniciamos a abordagem das seis técnicas de engenharia social mais eficazes usadas pelos invasores, tanto na internet como fora dela, fornecendo informações sobre como cada uma delas funciona, o que faz e as tecnologias, métodos e políticas para detectar e responder aos sabotares sociais, mantendo-os longe.

Primeira Técnica: ATIVAÇÃO DE MACROS

Cybercrooks estão usando a engenharia social para enganar os usuários das organizações e permitir a execução de macros que ativam a instalação de malware.
Em ataques à infraestrutura crítica ucraniana, caixas de diálogo falsas apareceram em documentos do Microsoft Office informando aos usuários para permitir que as macros exibissem adequadamente o conteúdo criado em uma versão mais recente do produto Microsoft.

Os trapaceiros escreveram o texto do diálogo em russo e fizeram a imagem de diálogo parecer vir da Microsoft. Quando os usuários atenderam e ativaram as macros, o malware do documento infectou máquinas de usuário. "Essa tática de phishing usou uma interessante técnica de engenharia social para saber que a maioria dos usuários desativavam as macros dos programas que compõem o Office", diz Phil Neray, vice-presidente de Cybersecurity Industrial da CyberX.

Cuidado com as mensagens que surgem nos momentos que vocês está trabalhando em algum aplicativo.

TRÊS ASPECTOS A SEREM OBSERVADOS NA NUVEM PÚBLICA

Todos os pontos aqui descritos foram resultados de análise do Gartner, grupo especializado em pesquisas e avaliações nas áreas de TICs. 1...