quarta-feira, 30 de novembro de 2016

Artigo Canaltech - Ataque botnet malsucedido deixa parte da Alemanha sem internet


A Alemanha foi alvo de um grande ataque botnet neste último fim de semana que deixou cerca de 900 mil pessoas sem acesso à internet. Em um comunicado oficial emitido nesta segunda-feira (28), a Deutsche Telekom, uma das maiores telecoms do país, alega que a rede de computadores zumbis estava tentando "recrutar" computadores para uma ofensiva ainda maior. Felizmente, a tentativa foi malsucedida e o maior estrago que conseguiu fazer foi deixar uma parcela do país offline. "O ataque tentou infectar os roteadores com um malware, mas falhou. Mesmo assim causou travamentos ou restrição de acesso [à internet] de 4% a 5% de todos os roteadores", explicou a companhia. Esta é a segunda vez em um período de um mês que a Alemanha é alvo de um ataque desse tipo. Em outubro, crackers investiram num ataque de negação de serviço (DDoS) utilizando computadores, roteadores e dispositivos conectados que deixou dezenas de sites populares inacessíveis por várias horas. Os usuários afetados pela ofensiva do último fim de semana estão sendo orientados a desligarem seus roteadores por alguns instantes e religá-los na sequência para se livrar dos vestígios do malware. A Deutsche Telekom também diz estar preparando uma atualização de firmware massiva para incrementar a segurança dos dispositivos.
 Via CNet


Matéria completa: link para matéria

Artigo Revista CIO - Falta de talentos em segurança também já preocupa CIOs brasileiros


Cristina De Luca Publicada em 28 de novembro de 2016 às 16h16 - 

Problemas crescentes com a segurança de TI deverão acirrar a disputa por talentos nos próximos anos, aumentando a valorização dos profissionais qualificados. A opinião é de Fábio Saad, Gerente Sênior da Divisão de Tecnologia da Robert Half, comentando os resultados de um estudo realizado em abril deste ano ouvindo 100 CIOs brasileiros de empresas de pequeno, médio e grande porte, de diferentes setores (público, privado e listados na bolsa).
O estudo revela que o tema segurança da informação está entre as prioridades dos CIOs e profissionais de tecnologia, principalmente em relação à expansão do armazenamento em nuvem e também o compartilhamento de informações entre os funcionários, clientes, fornecedores e parceiros de negócios locais e internacionais.
Preocupa, principalmente, o aumento de ameaças de segurança nos próximo cinco anos devido a escassez de talentos em segurança _ 93% dos CIOs acreditam nessa possibilidade, sendo que 38% deles esperam um aumento significativo e 55% um aumento pouco significativo.
"Um dos pontos mais expressivos e também preocupantes é o fato de que as habilidades técnicas mais valorizadas nos profissionais são também as mais difíceis de encontrar: conhecimento em auditoria de TI e segurança na nuvem", comenta o executivo.
Entre outros destaques estão:
Três riscos mais significativos para a empresa nos próximos 5 anos
1º cibercrime (fraude, extorsão e roubo de dados – 73%)
2º espionagem/ spyware/ ransomware (51%)
3º abuso de dados (44%)
Nível de conhecimento de gerentes seniores que não são do time de TI
- quanto a dados sensíveis e informações – 52% classificaram como bom (39% - excelente, 7% - pouco conhecimento, 2% - não sabem)
- quanto a segurança da informação – 44% classificaram como bom (36% - excelente, 18% - pouco conhecimento, 2% - não sabem)
segurança
Três medidas de proteção em dispositivos pessoais dos colaboradores
1º implementar autenticação e autorização para conceder acesso à rede corporativa (74%)
2º implementação de tecnologia de gerenciamento de dispositivo móvel para aplicar a proteção reforçada (55%)
3º promover treinamento aos funcionários sobre manutenção da segurança quando se utiliza dispositivos pessoais (53%)

Destaque - 25% dos CIOs afirmam que os colaboradores da empresa onde trabalham  não permitem que funcionários acessem dados corporativos de dispositivos particulares.
Habilidades técnicas mais valorizadas
§  1º auditoria de TI (61%)
§  2º segurança na nuvem (60%)
§  3º segurança de aplicativos (59%)
§  4º tecnologias de segurança (IAM, SIEM / SOC, DLP, malware – 53%)
§  5º Hacking / testes de penetração (37%)

Artigo CIO - Terceirização e gestão de fornecedores são pontos críticos para a TI


Patrícia Moraes * Publicada em 29 de novembro de 2016 às 07h00 
Se antes as empresas achavam adequado ter estruturas inchadas com controle in-house de todas as áreas de apoio, hoje as empresas buscam direcionar os maiores esforços para desenvolver processos que estejam relacionados às suas atividades-fim.Segundo o Instituto Gartner, o mercado de serviços de TI atingiu o valor de US$ 900 bilhões em 2016, e as previsões indicam que este mercado chegará a US$ 1,1 trilhão em 2020. A terceirização de serviços de TI representa 58% deste mercado.
Atualmente, os processos de negócios terceirizados variam desde tarefas de rotina não-críticas, que demandam recursos intensivos e operacionais, até processos estratégicos que impactam diretamente o resultado das companhias.
Naturalmente, isso tem gerado um impacto significativo na gestão de contratos e fornecedores. Os principais desafios na contratação de serviços de TI envolvem o gerenciamento de muitos fornecedores com características heterogêneas ea garantia de que atendam às expectativas da organização.
Torna-se então necessário montar um planejamento de outsourcing e gestão de fornecedores. As organizações devem buscar entender a importância e os riscos dos contratos de fornecimento, classificando-os e propondo mecanismos específicos para que não exponham seus negócios a ameaças e vulnerabilidades. De fato, 64% das empresas estão trabalhando para melhorar suas capacidades de em SRM (SupplierRelationship Management)(Deloitte, 2016). Por outro lado, o nível de maturidade atual das empresas no temaainda é relativamente baixo (PwC, 2013).
gestaofornecedores
A categorização dos fornecedores é um caminho recomendado para orientar os esforços de uma organização cliente no gerenciamento dos serviços terceirizados. A organização de fornecedores em clusters de acordo com a matriz abaixo apresenta oportunidades de redução de custos e riscos para a organização, além de possibilitar a adoção métodos de gestão adequados à criticidade do fornecedor e do serviço.
matriz
(Abra a imagem em uma nova janela para ampliar)
Matriz de categorização de fornecedores e contratos
Para chegar à montagem dessa matriz,deverá ser realizada uma análise de impacto e risco dos atuais contratos de fornecimento para determinar o seu grau de criticidade.

A variável Impacto nos Negócios aumenta de acordo com a dependência que os processos mais críticos da organização tenham do serviço terceirizado. A intensidade dessa variável também pode ser alta quando o fornecedor está envolvido em projetos estratégicos e prioritários para a companhia. Quanto mais essencial for o serviço, maior o impacto no negócio. Serviços com alto impacto para o negócio devem ser suportados por Acordos de Nível de Serviço mais elevados, de modo que a área sofra o mínimo possível em uma eventual indisponibilidade, por exemplo.
Já a dimensão do Risco de Fornecimento está relacionada ao grau de dependência da empresa com o prestador de serviço. A empresa deve decidir cuidadosamente se vale a pena assumir os bônus e ônus de uma terceirização. A expectativa de reduzir custos pode acabar levando à perda de clientes insatisfeitos caso a prestadora de serviço não acompanhe o nível de excelência da contratante. Por exemplo, caso o Serviço de Atendimento ao Cliente esteja fortemente atrelado à percepção do cliente a respeito do valor de sua marca, pode não ser uma boa escolha terceirizar este serviço. Além disso, quando o serviço envolve questões sensíveis como necessidade de entendimento profundo da cultura do negócio e confidencialidade de informações, o Risco de Fornecimento também tende a ser alto.
A partir da avaliação dos fornecedores de acordo com essa matriz, cada cluster formado merecerá um tratamento específico. Várias análises de desempenho podem ser extraídas e ações podem ser tomadas a partir dessa segmentação: a empresa podeadequar métodos de gestão de contratos para cada cluster, definir diferentes perfis e competências para sua operação e criarplanos de ação distintos para mitigação de riscos e obtenção de resultados.


(*) Patrícia Moraes atua como consultora em projetos de gestão de contratos e fornecedores pela Bridge Consulting. Participou do escritório de gestão de projetos de pesquisa da Embrapii na Coppe/UFRJ. É mestranda em Gestão e Inovação Tecnológica pela Escola de Química da UFRJ.
- See more at: http://cio.com.br/opiniao/2016/11/29/terceirizacao-e-gestao-de-fornecedores-sao-pontos-criticos-para-a-ti/#sthash.wkyjd5p6.dpuf

sexta-feira, 25 de novembro de 2016

Profissionais TI - SEGURANÇA DA INFORMAÇÃO: REDE SEGREGADA EM CAMADAS



Umas das estatísticas que mais se lê no mundo da Segurança da Informação é aquela que diz que 70% dos ataques aos sistemas são internos, ou seja, são executados de dentro da rede da empresa e pelos próprios colaboradores.
Me parece razoável supor que nos dias atuais essa proporção seja bem maior e por uma razão muito simples que descrevo a seguir.
Toda troca de informações no mundo digital pressupõe uma conexão, isto é, uma ligação temporária entre duas máquinas por onde essa troca vai ocorrer. Na maioria dos casos, em um dos lados da conexão está um sistema corporativo, com tecnologias de proteção, controle de mudanças e que é manipulado por profissionais da área de informática. Do outro lado da conexão está o usuário, que não é proficiente em computação ou em segurança, que abre todos os anexos que recebe por e-mail independentemente de onde tenham vindo e que está habituado a clicar no botão “Concordo” sem ler nada, pois sabe que é a maneira mais rápida e fácil de fazer qualquer coisa funcionar em um computador.
Agora vocês vão concluir o óbvio comigo: é muito mais fácil invadir e dominar o computador de um usuário para daí se conectar no sistema corporativo usando as suas credenciais, do que atacar a estrutura de tecnologia da empresa diretamente. Vide o caso dos bancos, que hoje concentram muita energia em criar soluções para garantir que é o próprio usuário acessando sua conta corrente, partindo de seu próprio computador doméstico e não alguém que dominou sua máquina e/ou roubou suas credenciais.
Então, além dos 70% dos ataques que são internos e executados intencionalmente pelos colaboradores, há ainda mais uma parcela que vem do usuário e da máquina do colaborador, mas por conta de uma manipulação feita por um agente externo. Daí minha suposição de que essa proporção interno versus externo tenha aumentado.
O desdobramento mais importante dessas conclusões é o seguinte: A rede interna de uma empresa, onde estão os desktops e notebooks dos usuários, simplesmente não pode ser considerada confiável. Ela deve ser tratada como desmilitarizada, isto é, sem proteção perimetral, onde a segurança de cada estação de trabalho fica a cargo dos softwares  e configurações nela instalados como antivírus, personal firewallgroup policies, etc. Em miúdos, é terra de ninguém, como se diz por aí, onde é cada um por si e Deus por todos.
Fazer Segurança de TI máquina-a-máquina na empresa inteira é muito caro e muito complicado. Cada computador com seu sistema operacional e softwares instalados tem literalmente milhares de parâmetros que, se mal configurados, o deixam vulnerável.
Mapear, monitorar, corrigir e compatibilizar todos esses parâmetros com as funcionalidades técnicas exigidas pelos sistemas, sem expor tudo a fragilidades, exige um volume gigantesco de horas trabalhadas e conhecimento técnico de uma profundidade que infelizmente a grande maioria dos profissionais de TI não têm.
Então, para que a Segurança da TI seja efetiva e para que tenha uma relação custo/benefício mais aceitável, é essencial poder contar com segurança perimetral em algumas partes da rede. Ora, se a parte da rede onde estão os usuários é necessariamente desmilitarizada, a única maneira de ter segurança perimetral em outra parte da rede é segregá-la.
Isto significa quebrar a rede corporativa em redes menores, separadas por ferramentas que filtram as conexões e bloqueiam os ataques. São os chamados firewalls, de antiga e nova geração e os IPS (Sistemas de Prevenção a Intrusão).
Agora peço atenção especial. Duas camadas, uma militarizada e outra desmilitarizada, constituem um modelo que é bem melhor que uma rede monolítica, mas que ainda deixa muito espaço para melhorar a Segurança e a relação custo/benefício.
A arquitetura que sugiro aqui possui na verdade três camadas. Entre as que menciono acima, é necessária uma camada intermediária para abrigar os servidores de aplicação e serviços. Como o acesso entre camadas deve ser bem limitado, é importante haver também uma rede de gerência com livre acesso a todas as camadas mas com controle de entrada bem restritivo, preferencialmente com duplo fator de autenticação e criptografia, como uma VPN interna.
Nas camadas mais expostas, devem ficar os ativos onde temos menos controle sobre o uso. Na intermediária devem ficar os ativos transacionais.  No miolo da rede, área mais bem protegida, devem ficar as “jóias da coroa”, que são as informações da empresa.
O design geral fica assim:
arquitetura2
Rede de Estações de Trabalho: Deve abrigar os desktopsnotebooks e o wifi corporativo. É rede interna, mas deve ser considerada hostil (desmilitarizada) por conta do comportamento do usuário. Esta rede fala com a rede de aplicações e com a rede de saída apenas através das portas de serviço. Fala também com a rede de gerência mas mediante duplo fator de autenticação e criptografia, acesso este que deve ser restrito à equipe de Operação de Infraestrutura de TI.
Rede de Web e Saída, ou DMZ: Deve abrigar os proxies de saída para a internet e os proxies reversos para suportar as conexões vindas da internet. Também é rede hostil (desmilitarizada), em função da exposição à internet.
Rede de Aplicações e Serviços: Deve abrigar os servidores de aplicação e middleware, bem como os servidores de serviços como domain controllers, DNS interno, serviços de diretório e mensageria. É rede semi-hostil (semi-militarizada).
Rede de Banco de Dados: Deve abrigar os servidores e clusters de bancos de dados. Só pode ser acessada através da rede de aplicação e pelas portas de banco de dados, ou pela rede de gerência. É a rede que abriga as informações da empresa em formato estruturado e deve ser a mais protegida.
Veja como fica o mapa do tráfego entre as camadas:
trafego
Uma das vantagens deste modelo é poder balancear a energia investida em segurança de host, que é bem complexa, em função do nível de exposição da rede.
Na rede militarizada, onde estão os bancos de dados, o acesso é muito restrito. Usuários externos e internos sequer conseguem fechar uma conexão para alguma máquina dessa rede. Sendo assim, as restrições dentro do sistema operacional e do banco não precisam ser tão rígidas.
Na rede semi-militarizada, acessível apenas pelas portas de serviço e onde estão os servidores de aplicação, se faz necessária uma série de cuidados extras com a configuração dos sistemas operacionais e softwares instalados, bem como cuidado especial com o código dos sistemas que lá residem. Apesar de receber acessos limitados, há a possibilidade de conexão com suas máquinas e os ataques a aplicações são possíveis diretamente.
Já nas redes desmilitarizadas não se pode confiar na segurança perimetral e os cuidados com a configuração dos ativos devem ser extremos.
Veja como fica o balanceamento de segurança de rede versus segurança de host no modelo proposto.
balanco1
Em tempo: é importante notar que estou falando apenas de rede produtiva. Se a empresa que adota esse design possui equipe de desenvolvimento que produz, testa e publica sistemas frequentemente, é essencial acrescentar a esse modelo uma rede de teste isolada, para que os desenvolvedores possam circular nos servidores de teste sem encostar nos ativos de produção e nas informações reais da empresa.
Perceba que nossas casas usam o mesmo conceito de proteção em camadas. Nelas, a rede militarizada é o interior da casa, a semi-militarizada é o quintal e a desmilitarizada é a calçada. Os assaltantes de residência fazem com as casas o mesmo que os atacantes fazem com as redes das empresas. Preferem entrar “junto” com o morador ao invés de arrombar portão, a porta e cofre para atingir seu objetivo.
O modelo é parecido e entendo que vale a pena aprender com o mundo físico novas maneiras de proteger o mundo virtual.
Um abraço e até o próximo post!
Publicado originalmente em Blog Ticiano Benetti
AGRADEÇA AO AUTORCOMPARTILHE!

quinta-feira, 24 de novembro de 2016

Artigo CIO: Cuidado não e porque você não usa internet das coisas que você esta protegido

Carlos Rodrigues *
Publicada em 23 de novembro de 2016 às 10h50

No último mês, a empresa fornecedora de serviços de DNS Dyn sofreu um ataque que prejudicou serviços como Airbnb, Netflix, Paypal, Spotify e Twitter, entre outros. O protagonista da ação foi o malware Mirai, que tira vantagens de uma série de vulnerabilidades de dispositivos de internet das coisas para comprometer aqueles que usam configurações de fábrica ou credenciais de acesso com senhas estáticas.
A falta de dispositivos de internet das coisas em uma empresa não é garantia de que um malware desse tipo não possa se aproveitar desses mesmos erros de segurança. Várias vulnerabilidades já encontradas em câmeras WiFi, por exemplo, também aparecem em uma série de equipamentos simples de classe empresarial.
Conheça dois erros que colocam os negócios em risco:
 1 - Perímetro desprotegido
Este ano, a Cisco divulgou uma vulnerabilidade conhecida como ExtraBacon, que permitia à hackers a execução de códigos remotamente em um de seus produtos de firewall. Em julho, uma vulnerabilidade do tipo zero-day em um produto da Juniper permitia que hackers monitorassem o tráfego interno da rede.
Mais preocupante que isso talvez seja o potencial dos hackers de atacar o firmware – o código de hardware do qual roteadores, telefones, laptops e outros gadgets dependem. Como o firmware não é assinado digitalmente, os hackers podem alterá-lo para conter um malware especial para tomar o dispositivo.
Um funcionário de uma empresa de data center trabalhando para um grupo de cibercriminosos pode carregar o firmware com malware em um roteador, por exemplo. Um grupo de cibercriminosos pode ainda atacar o site de um fabricante de roteadores e trocar um bom firmware por uma versão maliciosa que pode ser baixada por milhares de roteadores e firewalls.
Diante dessas vulnerabilidades, o perímetro acaba em perigo e as ferramentas de defesa podem fazer muito pouco por esse tipo de problema.
2 - Configurações de fábrica
É comum vermos consumidores tratando seus roteadores e outros dispositivos conectados à internet como torradeiras ou outros eletrodomésticos – plugam na tomada e esquecem.
Infelizmente, mesmo os roteadores mais fáceis de usar e livres de manutenção precisam de atenção, incluindo a mudança das configurações de fábrica para adicionar senhas mais complexas.
Quando esse tipo de comportamento é adotado nas empresas, as consequências podem ser graves. Em 2014, por exemplo, a Verizon notou, em ataques a pontos de venda, que os hackers escaneiam portas públicas e então adivinham senhas fracas para o servidor ou dispositivo de ponto de venda – incluindo aqueles com senhas nunca antes alteradas e senhas óbvias como “admin1234”.
Os hackers sempre vão tirar vantagem de softwares corporativos internos com configurações de fábrica nunca alteradas. Infelizmente, isso é algo comum. A TI vive sob pressão para manter o funcionamento rápido de aplicações e sistemas e, por isso, contas com configurações de fábrica e senhas falsas são mantidas em atividade por uma questão de conveniência.
Por isso, além de contar com um plano para quando os hackers ultrapassarem suas primeiras linhas de defesa, também é importante contar com controles de segurança para monitorar e detectar invasores.

 (*) Carlos Rodrigues é gerente regional da Varonis na América Latina
- See more at: http://cio.com.br/tecnologia/2016/11/23/cuidado-nao-e-porque-voce-nao-usa-internet-das-coisas-que-voce-esta-protegido/#sthash.dXRO7R2L.dpuf