Avaliação de Vulnerabilidades

O que eu preciso saber?

Mito 1

• “Estamos protegidos, já possuímos um bom firewall e também sistemas IDS/IPS.”

• Realidade

– A implementação dessas ferramentas muitas vezes levam os administradores a acreditar que suas redes estão a salvo de intrusos. Infelizmente, não é o caso. Em um ambiente de ameaças complexas de hoje, malware, spyware, funcionários descontentes e hackers internacionais agressivos, o desenvolvimento e aplicação de uma rigorosa e regular política de segurança de rede que incorpora a avaliação de vulnerabilidades é fundamental para manter a continuidade dos negócios.

Mito 2

• “Nossa empresa não é alvo para ataques.”

• Realidade– Se você olhar para a história recente você vai ver que nem todos

os ataques são direcionados. Code Red, Blaster, Sasser, Bagel, etc. tem atacado empresas e sistemas de forma aleatória, com base nas vulnerabilidades específicas. Por outro lado, não são apenas as grandes empresas que precisam se preocupar com ataques direcionados. Funcionários, fornecedores e provedores de serviço, todos podem tirar proveito de vulnerabilidades de rede para violar a política de segurança.

– Essencialmente, intrusões maliciosas são evitáveis se as empresas adotam uma política de segurança forte e aderem a avaliações de vulnerabilidade regulares, fazendo correções de forma proativa.

Mito 3

• “Nós já temos um sistema de gerenciamento de patches implantado. A avaliação de vulnerabilidades parece ser uma duplicação de esforços.”

• Realidade

– Embora existam sistemas de remediação automatizados que podem fornecer alguma identificação de baixo nível de arquivos desatualizados, avaliação de vulnerabilidades com auditoria personalizada é muito mais abrangente.

Mito 4

• “Nosso pessoal de TI pode ficar em cima de vulnerabilidades e dos sistemas de correção, conforme necessário. Temos, inclusive, um sistema caseiro que funciona muito bem.”

• Realidade– Embora teoricamente seja possível para uma equipe de TI

lidar com correção manualmente, não é muito realista esperar que as auditorias possam ser completas e oportunas.

– Para reduzir o potencial de relatórios falsos negativos, é imperativo que a solução de avaliação de vulnerabilidadesseja atualizado regularmente, com mecanismo de verificação comprovada.

Mito 5

• “Proteção contra vulnerabilidades é uma tarefa impossível -nunca estaremos à frente dos atacantes.”

• Realidade– O verdadeiro benefício de avaliação de vulnerabilidades é que

é um processo proativo poderoso para proteger uma rede corporativa. Com as soluções de avaliação de vulnerabilidades, potenciais falhas de segurança são corrigidas antes de se tornarem problemáticas, permitindo que as empresas se defendam de ataques antes que eles ocorram.

– A verdade é que praticamente todos os ataques vêm de vulnerabilidades já conhecidas. CERT / CC relata que cerca de 99% de todas as intrusões resultaram da exploração de vulnerabilidades conhecidas ou erros de configuração básicos.

Mito 6

• “Temos muitas aplicações caseiras em nosso ambiente. Soluções de avaliação de vulnerabilidades são ineficazes na detecção de problemas neste caso.”

• Realidade

– A maioria dos atacantes vai focar em vulnerabilidades de aplicações já conhecidas. Análise personalizada de vulnerabilidades pode encontrar padrões de desenvolvimento de aplicações repletos de falhas de segurança em diversos níveis.

Padrões e Recomendações

• Recomendações OWASP

– Open Web Application Security Project (OWASP)

é uma entidade sem fins lucrativos e de

reconhecimento internacional, que contribui para

a melhoria da segurança de softwares aplicativos

reunindo informações importantes que permitem

avaliar riscos de segurança e combater formas de

ataques através da internet.

– http://www.owasp.org

Padrões e Recomendações

• Recomendações PCI-DSS– O Payment Card Industry Security Standards Council

(PCI-SSC) foi fundado pela American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc., como um fórum global para a disseminação de padrões de segurança na proteçãode dados de pagamento, e define o PCI Data Security Standard (PCI-DSS).

– Os 12 requerimentos do PCI-DSS são divididos em 6 seções que visam de modo geral proteger a integridade dos dados de pagamento do usuário do cartão de crédito.

Padrões e Recomendações

Padrões e Recomendações

• Recomendações ISO/IEC– ISO/IEC (International Organization for Standardization/International Electrotechnical

Commission):

– ISO/IEC-27001: Norma que trata de técnicas para implantação de um SGSI (Sistema de Gestão da Segurança da Informação)

– ISO/IEC-27002: Complementa a ISO 27001. Lista os objetivos de controle para o SGSI e recomenda um conjunto de especificações e melhores práticas para iniciar, implementar e manter o SGSI. Trata-se da nova denominação da ISO/IEC 17799:2000, lançada em 2005 e renomeada oficialmente como sua substituta em 2007.

– ISO/IEC 27005: Information Security Risk Management. O propósito da ISO/IEC 27005:2008 é prover diretrizes para orientar e assistir a implantação de processos de Segurança da Informação baseados numa abordagem de Gerenciamento de Risco, suportando os conceitos gerais especificados na ISO/IEC 27001 e 27002.

– ISO/IEC-17799: Foi substituída pela ISO/IEC-27002 após a revisão de 2007.

– ISO/IEC-15408: Common Criteria, é uma referência internacional para desenvolvedores, administradores e auditores de segurança para sistemas de informação. A Common Criteriasimplesmente atesta que o produto de software (aplicação web) implementa um determinado conjunto de funcionalidades de segurança, mas não garante que o mesmo seja seguro apenas por conta disso.

Padrões e Recomendações

• ITIL v3

• COBiT v4

• MOF v4

Padrões e Recomendações

• 3 Camadas de Proteção e Controle

Incidentes de segurança

• CERT.br

• Jan/Mar 2013

BYOD

• “A mobilidade e a insegurança de redes de mãos dadas.”– Bring Your Own Device (BYOD). Não são apenas alguns

dispositivos que estão fora do controle do departamento de TI das organizações, mas as infinidades de atalhos de acesso e configurações de redes que já podem, potencialmente, significar comprometimento dos níveis de segurança. Uma situação que se torna especialmente preocupante quando dispositivos móveis, de várias origens, passam a ter acesso total ao servidor interno da empresa e aos diversos recursos de rede.

Conclusão

• Cada vez mais, hackers em busca de informações sigilosas estão focando no roubo de dados de dentro para fora das redes empresariais, analisa a empresa de segurança digital Trustwave. “O que mudou nos últimos anos é que os atacantes viram que a tecnologia externa está ficando cada vez melhor, então se voltaram para a tecnologia mais fraca, que é a rede do usuário”, explicou Luiz Eduardo dos Santos, Diretor do SpiderLabs da Trustwave para América Latina e Caribe, durante o evento de segurança digital Trustwave Security Day, realizado em São Paulo na última terça-feira (21/05/2013).

Matéria completa: http://canaltech.com.br/noticia/seguranca/Funcionarios-sao-os-que-mais-comprometem-seguranca-da-empresadiz-especialista/#ixzz2VNvGxoHjO conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.

Conclusão

• “Hoje, cada usuário tem um ou dois dispositivos, mais um notebook, e ele leva isso para onde vai”, diz dos Santos. Para o especialista, é necessário que equipes de TI passem a trabalhar na conscientização do usuário para que evite uma contaminação de dentro para fora. A gente dá muito ferramenta para o usuário hoje, e às vezes não os ensinamos como ele teria que utilizar aquela tecnologia. “O usuário não tem ideia das implicações e problemas que ele pode causar, até sem querer, na empresa inteira”, explica.

Matéria completa: http://canaltech.com.br/noticia/seguranca/Funcionarios-sao-os-que-mais-comprometem-seguranca-da-empresadiz-especialista/#ixzz2VNw4oQY2O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.

Conclusão

• Outro fator decisivo para o sucesso de invasões e roubo de dados é o longo tempo que empresas costumam levar para identificar um ataque. Segundo o levantamento mais recente, a média é de 210 dias desde a invasão até a identificação do problema. Mesmo em empresas mais preparadas (5% do total), a identificação pode levar até 10 dias, considerado tempo mais que o suficiente para um roubo de dados.

Matéria completa: http://canaltech.com.br/noticia/seguranca/Funcionarios-sao-os-que-mais-comprometem-seguranca-da-empresadiz-especialista/#ixzz2VNw4oQY2O conteúdo do Canaltech é protegido sob a licença CreativeCommons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.

Conclusão

• “Apenas duas em cada cinco empresas usam tecnologias eficientes contra ameaças corporativas”.– Estudo realizado pela B2B International sob encomenda da

Kaspersky Lab não são reconfortantes: apenas pouco mais de um terço dos pesquisados criptografa dados corporativos; somente 43% usam sistemas que detectam ataques à infraestrutura de TI (IPS/IDS), e 15% não estão cientes da existência desses sistemas ou não têm interesse em usá-los. Menos da metade das empresas pesquisadas controlam o uso de dispositivos externos ou de aplicativos de terceiros; e apenas 55% usam a tecnologia de controle de acesso à rede (NAC -Network Access Control). Ao mesmo tempo, há uma tendência positiva: cerca de um quinto das empresas pesquisadas planejam implementar uma ou mais das tecnologias citadas acima ainda este ano.

Nossos serviços

• Auditoria de segurança de rede típica e/ou reconhecimento de atividades– Reunião de informações

– Inventário de vulnerabilidades

– Exploitation

– Privilégios do sistema

– Acesso à manutenção de sistemas

– Engenharia reversa

– Forense

– Ferramentas e relatório

– Reconfiguração de serviços

Contato

• Email: luizgaspar@pacsquality.com.br