'undefined'
Procurar
Serviços
Blog
Os Ciber-Seguros estão a piorar os ataques de Ransomware?
Os Ciber-Seguros estão a piorar os ataques de Ransomware?
Não é surpreendente, que o Ransomware continue a ser a ciber-ameaça mais comum, e que nenhuma empresa ou rede esteja a salvo dela. O que começou com algumas disquetes comprometidas em que foi pedido às vítimas que pagassem 189 dólares, é agora uma indústria de cibercrime de mil milhões de dólares com potencial para causar danos em todo o mundo. De acordo com os relatórios da SonicWall, 2021 tem sido o ano mais ativo em termos de ransomware, com ataques a aumentar 148% no terceiro trimestre de 2021, sendo os valores de pedidos de resgate os maiores até à data. Dada a forma como o cibercrime avança, as organizações começam a mudar para uma abordagem de ciber resiliência e de assumir um ataque como inevitável. As estratégias de defesa melhoraram, o backup de dados críticos para as empresas é agora quase uma norma, e a adesão a apólices de ciber-seguros também está a aumentar. O ciber-seguro existe para salvaguardar as empresas das consequências dos ciberataques, incluindo a cobertura dos custos financeiros de lidar com os incidentes. Mas muitos peritos afirmam que os seguros podem estar a alimentar a indústria do cibercrime, uma vez que as organizações confiam nas suas apólices de ciber-seguros para simplesmente pagarem o pedido de resgate, em vez de adotarem as medidas de segurança que poderiam evitar o ataque em primeiro lugar. Sabemos porque é que submundo do cibercrime tem tanto sucesso (além de ser uma indústria de triliões de dólares) … São altamente organizados; partilham informação e conhecimentos, e sabem a quem atacar: as organizações que reconhecem como potencialmente mais rentáveis ou com maior probabilidade de pagar um ransomware. Assim, parece lógico que os gangs de ransomware procurem ativamente organizações com apólices de ciber-seguros, uma vez que é a melhor forma de garantir que ganharão dinheiro com campanhas de encriptação. A indústria dos seguros também está preocupada, uma vez que os pedidos e exigências de ransomware não só estão a tornar-se mais frequentes, como também muito mais caros. Como resultado, as Seguradoras já estão a aumentar os seus valores e a exigir provas detalhadas das estratégias de cibersegurança utilizadas pelas empresas que querem comprar ciber-seguros. A seguradora multinacional AXA chegou a anunciar que já não criaria novas apólices de ciber-seguros com cobertura contra extorsão e, coincidência ou não, foi atingida por um ataque de ransomware algumas semanas depois. Também temos agora novos tipos de extorsão, como a Dupla Extorsão, que se tornou padrão. Antes de encriptar os dados, gangues como o REvil extraem informação sensível da rede antes de encriptar os ficheiros. Desta forma, além de encriptarem os dados para o pedido resgate, podem encorajar os seus alvos a pagar o mesmo para evitar a exposição pública dos dados extraídos. A disponibilidade de ciber-seguros não parece estar a ajudar a melhorar a cibersegurança, pelo menos neste momento. Para muitas empresas, a ideia de uma violação de dados e que estes fiquem publicamente disponíveis na Internet faz com que um resgate elevado pareça valer a pena, e se o Seguro o cobrir, não pensarão duas vezes em recorrer ao mesmo. Por: Mara Melão, Cybersecurity Account Executive for EMEA na Hardsecure.
WordPress
WordPress
A maioria dos websites institucionais entregues à Hardsecure para testes utilizam o Wordpress como o seu próprio CMS (sistema de gestão de conteúdos), na sua maioria porque é o serviço mais simples e mais popular para criar o seu próprio website ou blog, alimentando 42% de todos os websites na Internet. Mesmo que não seja um programador, pode facilmente alterar o seu site com o vasto ecossistema de temas e plugins do WordPress. Na secção abaixo, vamos ver algumas das vulnerabilidades mais comuns verificadas durante os pentests. Vulnerabilidades comuns: Brute Force Attacks, que envolvem múltiplas tentativas e abordagens de erro usando centenas de combinações para adivinhar o nome de utilizador ou passwords corretos. Cross-Site Scripting, também conhecido como ataque XSS. Neste tipo de ataque, o atacante carrega código JavaScript malicioso que, quando carregado no lado do cliente, começa a recolher dados e possivelmente a redirecionar para outros websites maliciosos. WordPress/plug-ins desatualizados são mais suscetíveis de serem afetados por uma ameaça à segurança. Com o tempo, os hackers encontram forma de explorar o seu núcleo e acabam por executar o ataque a websites que ainda utilizam versões desatualizadas. Enumeração do utilizador, é uma forma de encontrar os dados dos utilizadores no seu website. Estas três técnicas de enumeração são uma forma muito rápida de identificar os utilizadores de um WordPress: JSON API, Formulário de Login e Arquivos de Autores. Malware, é um código malicioso que é injetado em temas, plugins desatualizados ou script e extrai dados do website ou insere conteúdo malicioso. DoS/DDoS, DoS é realizado usando uma única fonte, enquanto o DDoS é um ataque organizado realizado por múltiplas máquinas em todo o mundo. Hardening Framework A segurança deve ser algo recorrente! Pode ter problemas graves quando deixa de verificar a segurança do seu website. Neste capítulo, vamos falar das principais medidas para proteger o seu WordPress ou outros CMS. A primeira medida refere-se a passwords fortes, autenticação de dois fatores e com que frequência alteramos as nossas senhas. Estas são três dicas fáceis que devemos utilizar no nosso dia-a-dia. A segunda medida concentra-se nas atualizações. E nem sempre está relacionado com novas funcionalidades; esta poderia conter correções de segurança e estabilidade que são essenciais. No WordPress, temos de ter em atenção os plugins, temas e PHP que cada versão tem 2 anos de suporte. Se o seu website tiver vários utilizadores, não é recomendável todos serem administradores. Bem como alterar o caminho de login, não resolverá todos os problemas, mas pode ajudar contra bots e/ou scripts. Bloquear caminhos URL com a ajuda do WAF é um bom começo para manter os IPs desconhecidos fora, tal como a página de início de sessão. O ficheiro mais importante é o config.php, pode mover este ficheiro, atualizar as chaves de segurança do WordPress para melhorar a encriptação, alterar permissões nestes ficheiros, desativar XML-RPC, ocultar versões do WordPress (quanto menos pessoas souberem a configuração do seu website WordPress melhor), adicionar cabeçalhos de segurança, tais como: Política de segurança de conteúdo X-XSS-Protection Strict-Transport-Security Opções de X-Frame Public-Key-Pins X-Content-Type Utilizar plugins de segurança como iThemes Security e/ou WordFence Security e não esquecer de utilizar sempre ligações seguras (HTTPS, SFTP). Notas finais Existem mais de 55,000 plugins WordPress! A melhor escolha que pode fazer é utilizar os que têm altos índices de satisfação e que são frequentemente atualizados porque, como vimos acima, estas atualizações são importantes para a integridade do seu website. Lembre-se de instalar apenas os necessários e se quiser jogar com segurança, é melhor criar um ambiente de testes ou desenvolvimento para testar primeiro. Por: Ricardo Araújo, Pentester na Hardsecure.
Scranos: o malware capaz de roubar passwords e informação sobre métodos de pagamento.
Scranos: o malware capaz de roubar passwords e informação sobre métodos de pagamento.
Este malware foi descoberto quando a Bitdefender investigava alguns downloads que continham *trojans *que se faziam passar por apps de vídeo ou de leitores de e-books. Bitdefender, uma empresa de cibersegurança romena que cria softwares antivírus, descobriu um novo tipo de malware que rouba passwords e informação sobre métodos de pagamento guardados no browser dos utilizadores chamado Scranos. A empresa afirma que este software malicioso consegue também aumentar silenciosamente subscrições de canais de YouTube e aumentar as fontes de receita ao infetar os dispositivos através de capacidades rootkit. Ataca especialmente sistemas operativos Windows e, de acordo com a TechCrunch, desde que foi encontrado o primeiro caso em novembro, o número de dispositivos infetados tem vindo a aumentar. «As motivações são estritamente comerciais (…) parecem estar interessados em espalhar este botnet para consolidar o negócio, ao infetarem o maior número possível de dispositivos e, assim, conseguirem fazer uma publicidade abusiva e distribuírem malware de terceiros», refere Bogdan Botezatu, responsável pelas operações contra ameaças da Bitdefender. A empresa descobriu este malware quando investigava alguns downloads que continham trojans, que se faziam passar por apps de vídeo ou de leitores de e-books. As apps não eram detetadas, pois tinham uma certificação fraudulenta que enganava os computadores, «*ao usarem esta técnica, os *hackers* têm uma maior probabilidade de infetar os seus alvos*», afirma Bogdan Botezatu. Uma vez instalado, o *rootkit* estabelece contacto com a sua central de comando ou servidor e faz download de mais componentes para o dispositivo infetado. Numa segunda fase, o malware injeta código no browser de Internet (Firefox, Chrome, entre outros) com o objetivo de abrir caminho para as contas de Facebook, YouTube, Amazon, Airbnb e extrair dados dos utilizadores. A Bitdefender afirma que o malware é capaz de abrir o Google Chrome em “debugging mode” e esconde a janela no desktop e na barra de ferramentas. Ao enganar o browser, fá-lo abrir vídeos do YouTube em segundo plano, removendo-lhes o som, subscrevendo canais e clicando em anúncios - tudo a comando do servidor central. Segundo a empresa, este malware torna o computador das vítimas em “clickfarms”, capazes de gerar ilegalmente receita. «O software procura promover de forma fraudulenta o consumo de anúncios no canal de quem os publica de forma a gerar lucro (…), neste caso são canais em expansão que recorrem a este método para crescerem mais», afirma o responsável da empresa, concluindo que «se os utilizadores tiverem a sua conta de Facebook aberta, o malware faz-se passar pelo utilizador e extrai informação da conta (…), o software consegue também contabilizar o número de amigos e páginas que o utilizador gere».
O português que está na lista dos hackers mais valiosos da Microsoft
O português que está na lista dos hackers mais valiosos da Microsoft
Investigador de 30 anos podia ganhar controlo sobre quase 500 subdomínios da gigante norte-americana. Microsoft classifica o português como um hacker de «alta eficácia» Quando recebeu um email a dizer que estava na lista dos 75 hackers mais valiosos da Microsoft, ao lado de nomes grandes da indústria de segurança informática que já segue há muito tempo, Fábio Pires ficou para lá de radiante. «Fiquei super contente, até porque acho que não é relativamente fácil entrar [na lista]», confidencia em entrevista à Exame Informática. Para fazer parte desta elite, é necessário ter submetido ao longo do último ano falhas de segurança em produtos e serviços que pertencem à Microsoft. A lista, revelada durante a Black Hat, um dos mais consagrados eventos ligados à cibersegurança, que decorreu nos EUA, coloca Fábio Pires na 67ª posição e vem com um elemento adicional: junto ao nome está um símbolo que o distingue como sendo um hacker de alta eficácia. «Isto na prática significa que todas as vulnerabilidades que submeti, todas foram consideradas válidas e de impacto», explica o português de 30 anos, que cresceu na Marinha Grande, mas agora vive em Londres, no Reino Unido. Ao todo comunicou oito vulnerabilidades, mas na prática a falha era apenas uma – uma que lhe dava acesso a quase 500 subdomínios de alguns dos principais produtos da gigante norte-americana. A vulnerabilidade em questão é conhecida como subdomain takeover e permite a um pirata informático ganhar acesso a um subdomínio e usá-lo, por exemplo, em campanhas de phishing. Neste caso em particular, Fábio Pires descobriu centenas de subdomínios da Microsoft associados a alguns dos principais endereços web da empresa americana, como microsoft.com, windows.com, office.com e xbox.com, entre outros. «Eles tinham montes de produtos com esta vulnerabilidade. E quando digo produtos, digo sites principais onde os subdomínios estavam mal configurados», conta-nos. «O impacto é que eu como atacante podia controlar mais ou menos 500 subdomínios da Microsoft.» Na prática, os subdomínios encontrados pelo investigador português foram “esquecidos” pelas equipas da Microsoft, mas continuavam corretamente configurados, com o DNS a apontar para serviços externos de alojamento. Caso um subdomínio estivesse a “apontar” para a Amazon Web Services, por exemplo, bastava a Fábio Pires criar um bucket na plataforma com o nome do subdomínio para ganhar controlo sobre o mesmo. E como eram subdomínios de marcas com uma grande reputação, este seria o ponto de partida perfeito para efetuar ataques de phishing altamente eficazes. «Posso simplesmente mandar um email a uma empresa a dizer “saiu uma nova atualização para o vosso produto, descarregue o ficheiro em qualquercoisa.microsoft.com», exemplifica. «Mesmo as firewalls veem esse tráfego como de um site que à partida pertence à Microsoft e não te bloqueiam. A partir daí tens uma vantagem gigantesca.» Muitas Vulnerabilidades à Solta A primeira vez que Fábio teve contacto com a técnica de subdomain takeover foi para resolver a falha na empresa para a qual trabalhava em meados de 2018 – chamada WorldRemit. Mas quando decidiu procurar por outras empresas que estivessem expostas à vulnerabilidade, encontrou muitas portas escancaradas. Nesta fase já contou com a ajuda do colega Francesco Mifsud para avisar todas as empresas vulneráveis: Siemens, Avast, Adidas, Royal Bank of Scotland, GitHub, Dell, Lufthansa e Teamviewer foram algumas das organizações que responderam ao alerta dado pela dupla de investigadores, corrigindo o problema. Outras empresas de renome foram alertadas, mas as correções ainda não foram feitas. Fábio dedicou quase um mês a este processo, período durante o qual recebeu muitas t-shirts como forma de agradecimento, recorda em tom de brincadeira. Agora a trabalhar como líder de segurança de aplicações móveis na News UK, um dos maiores conglomerados britânicos de meios de comunicação e responsável por publicações como o The Sun e o The Times, o português diz que quer «continuar a crescer» e espera em breve «liderar uma equipa» de investigação em segurança informática. Fonte: Exame Informática
Cartões de crédito e débito deixam de usar banda magnética até 2021
Cartões de crédito e débito deixam de usar banda magnética até 2021
A nova diretiva implica um reforço da segurança, levando a que nos próximos 12 a 18 meses possa deixar de ser possível utilizar o número de cartão de crédito e dígitos de segurança na compra de serviços e bens online. Desde o dia 14 de setembro, a banda magnética do seu cartão de crédito e/ou débito já não vai ser usada para efetuar pagamentos. Agora, devido à entrada em vigor de uma diretiva europeia que pretende reforçar as medidas de segurança, vai ser usado apenas o chip dos cartões no momento do pagamento. Tal como avança o JN, as mudanças vão também afetar as cadernetas bancárias, que vão deixar de poder ser usadas para levantamentos de dinheiro. No que respeita ao acesso online a contas bancárias, também os cartões matrizes vão deixar de servir e o acesso via apps ou telemóvel passam a necessitar de uma medida extra de acesso – os bancos vão passar a enviar um código via SMS para o telemóvel do utilizador, que lhes permitirá aceder às suas contas pessoais. As novas medidas de segurança impostas pela diretiva não vão para já impedir a utilização do número de cartão e dos dígitos de segurança na compra de serviços e bens online, mas o JN afirma que esta realidade poderá mudar nos próximos 12 a 18 meses. Vai também ser alargado o número de serviços financeiros, nomeadamente, será permitido que outras entidades para lá das instituições bancárias acedam à conta dos utilizadores, caso estes cedam permissão para tal, com o objetivo de fazer pagamentos e fornecer serviços de informação sobre as contas. Consta na lei que os bancos que não cumprirem podem ser responsabilizados por eventuais roubos ou fraudes nas contas. Caso tenha cartão de refeição ou um cartão pré-pago vai poder continuar a usufruir deles utilizando as suas bandas magnéticas, uma vez que a finalidade incide na aquisição de bens ou serviços pré-limitados (parques de estacionamento, autoestradas, entre outros). Fonte: Exame Informática
Bug no kernel de dispositivos Android permite privilégios
Bug no kernel de dispositivos Android permite privilégios
Os investigadores descobriram um zero-day kernerl bug que permite privilégios ao atacante e que pode resultar no comprometimento total de certos dispositivos Android e aparentemente está a ser explorado livremente. Dispositivos conhecidos por serem afetados pela vulnerabilidade de alto nível "use-after-free", incluem o Pixel 1, 1X:, 2 e 2 XL; o Huawei P20; o Xiaomi Redmi 5A; o Xiaomi Redmi Note 5; o Xiaomi A1; o Oppo A3; o Moto Ze; os Oreo LG; e os Samsung S7, S8 e S9. De acordo com um relatório de vulnerabilidade publicado por Maddie Stone investigadora de segurança do Project Zero, o mesmo bug foi corrigido anteriormente em Dezembro de 2017 no 4.14 LTS kernel, o AOSP Android 3.18 kernel, o AOSP Android 4.4 kernel e o AOSP Android 4.9 kernel. Mas, aparentemente, não foi corrigido universalmente em todos os dispositivos Android. Citando o Threat Analysis Group (TAG) da Google, Stone escreve que a vulnerabilidade pode ser explorada através da sandbox do Chrome, observando que a exploração in-the-wild é atribuível ao Grupo NSO, com sede em Israel, um dos principais fornecedores comerciais de ferramentas ofensivas cibernéticas. O Grupo NSO negou qualquer envolvimento, de acordo com um relatório da ZDNet. Oficialmente designado CVE-2019-2215, “A vulnerabilidade pode ser explorada nos processos de renderização do Chrome sob o domínio SELinux‘ isolated_app ’do Android, o que nos leva a suspeitar que o Binder é o componente vulnerável”, observa Stone. “Se a exploração for fornecida pela web, ela só precisa ser emparelhada com uma exploração do renderizador, pois essa vulnerabilidade pode ser acedida por meio da sandbox.” A equipa do Android afirmou que um patch será disponibilizado como parte da atualização do sistema operacional de Outubro. Fonte: SCmagazine
Ransomware: 30 organismos públicos atacados desde o início de 2019
Ransomware: 30 organismos públicos atacados desde o início de 2019
As duas fontes oficiais apresentam uma discrepância numérica – mas ambas são reveladoras dos estragos que os códigos maliciosos de sequestro de dados fizeram em entidades do Estado nos últimos meses: desde o início de 2019, o Centro Nacional de Cibersegurança (CNCS) já foi informado de 21 casos de ransomware que afetaram organismos da Administração Pública nacional; a Unidade Operacional de Combate ao Cibercrime e à Criminalidade Tecnológica da PJ (UNC3T) contabilizou cerca de 30 casos que no mesmo período terão resultado em queixas relacionadas com este método conhecido por ransomware. Questionado pelo JN, que avança com estes números em primeira-mão, o CNCS recorda que «os números indicados espelham os incidentes reportados» ao próprio centro que tem como função apoiar instituições públicas e empresas a lidar com as diferentes ameaças tecnológicas, e devem ser encarados como a única fonte de informação descritiva do panorama nacional. O facto de o sequestro de dados pressupor uma prática criminosa que, obrigatoriamente, tem de ser comunicada à PJ ajuda a explicar o facto de a PJ ter contabilizar um número superior ao registado no CNCS (que é uma entidade operacional de apoio técnico e não uma entidade de investigação criminal). Entre todos estes casos mais prementes da atualidade, destaca-se o da Câmara Municipal de Vinhais, distrito de Bragança, que teve de mudar de procedimentos para se manter operacional e investiu seis mil euros junto de uma empresa especializada para superar a encriptação aplicada pelos cibercriminosos com o objetivo de impedir o acesso aos repositórios da autarquia transmontana. Durante a análise aos sistemas camarários foram detetados 11 tipos de códigos especializados em ransomware. Os hackers exigiam entre 20 mil e 30 mil euros para devolver o acesso aos dados da Câmara de Vinhais. Durante o período de sequestro, os hackers terão sido obrigados por várias vezes a trabalhar à “moda antiga” – com caneta e papel. Fonte: Exame Informática
Hacker publica passwords de 515 mil routers, servidores e dispositivos iot
Hacker publica passwords de 515 mil routers, servidores e dispositivos iot
O hacker não teve de se esforçar muito para conseguir “adivinhar” as credenciais de acesso de cada um dos dispositivos – bastou-lhe recorrer às bases de dados de passwords e nomes de utilizador que são definidos, de origem, pelas várias fábricas, ou em alternativa, tentar a sorte com denominações e senhas fáceis de descobrir Um hacker identificado pelo site ZDnet, mas mantido em anonimato, é apontado como o responsável pela publicação das credenciais de acesso de mais de 515 mil routers, servidores domésticos e dispositivos da denominada Internet das Coisas. A publicação foi levada a cabo num fórum especializado em atividades de hackers, que a ZDNet também preferiu não nomear. As vítimas têm todas em comum o facto de terem portas Telnet vulneráveis. Na longa lista de potenciais vítimas de ataques figuram não só passwords, como também números de IP e descrições que ajudam a perceber as redes ou os operadores de telecomunicações que conectam os dispositivos protegidos. O hacker não teve de se esforçar muito para conseguir “adivinhar” as credenciais de acesso de cada um dos dispositivos – bastou-lhe recorrer às bases de dados de passwords e nomes de utilizador que são definidos, de origem, pelas várias fabricantes ou, em alternativa, tentar a sorte com denominações e senhas fáceis de descobrir. Aparentemente, a lista de dispositivos vulneráveis terá sido criado com o propósito de criar uma “bot list” – que mais não será que um “exército” de computadores infetados por códigos maliciosos, que poderá ser usado para lançar ataques de negação de serviço, que bloqueiam sites ou redes inteiras, entre muitas outras ameaças possíveis. Questionado pelo ZDnet, o hacker justificou a publicação da lista de dispositivos contaminados com o facto de ter evoluído para uma lógica de atuação diferente, que privilegia o recurso a ataques lançados a partir de servidores alojados em cloud computing. FONTE: Exame Informática
Campanhas de coronavírus espalham malware Emotet
Campanhas de coronavírus espalham malware Emotet
THE ONGOING GLOBAL SPREAD OF THE DISEASE PRECIPITATES MALWARE INFECTIONS. As the coronavirus originating in the Wuhan province of China continues to stir widespread fears about a global public health crisis, some see an opportunity in the outbreak. A recent spate of malicious, botnet-driven emails is using the coronavirus as a theme, according to telemetry from IBM X-Force and Kaspersky. In the campaign seen by IBM X-Force, the emails purport to have attached notices regarding infection-prevention measures for the disease. And rather ironically, one virus is being used as a pretext to distribute another – specifically, the notorious Emotet trojan. Most of the emails have been seen written in Japanese, researchers said – suggesting that the operators are intentionally targeting geographic regions that may be more impacted by the outbreak given their locations in Asia. The subject of the emails contains the current date and the Japanese word for “notification,” in order to up the ante on giving a sense of urgency. “The emails appear to be sent by a disability welfare service provider in Japan,” according to a writeup from IBM X-Force, issued this week. “The text briefly states that there have been reports of coronavirus patients in the Gifu prefecture in Japan and urges the reader to view the attached document.” Other versions have the same language, but warns of infection reports within different Japanese prefectures, including Osaka and Tottori. The emails also have a footer with a legitimate mailing address, phone and fax number for the relevant public health authority for the targeted prefectures, to lend an air of authenticity. “Previously, Japanese Emotet emails have been focused on corporate style payment notifications and invoices, following a similar strategy as emails targeting European victims,” said the firm. “This new approach to delivering Emotet may be significantly more successful, due to the wide impact of the coronavirus and the fear of infection surrounding it.” Aside from the lure used, the campaign is otherwise a fairly run-of-the-mill Emotet effort, researchers said. The attached document, when opened, surfaces an Office 365 message that asks the user to “enable content” if the document has been opened in protected view, according to IBM X-Force’s analysis. As with most Emotet email-borne attacks, if the attachment is opened with macros enabled, an obfuscated VBA macro script opens Powershell and installs an Emotet downloader in the background. “The extracted macros are using the same obfuscation technique as other Emotet emails observed in the past few weeks,” IBM X-Force analysts said. It’s not just Emotet that is looking to sow infections on the back of the growing threat. Kaspersky has seen several spam campaigns emerging in the last weeks that contain a range of coronavirus-themed attachments. “The discovered malicious files were masked under the guise of .PDF, .MP4, .DOC files about the coronavirus,” researchers said in an analysis released Thursday and shared with Threatpost. “The names of files imply that they contain video instructions on how to protect yourself from the virus, updates on the threat and even virus-detection procedures, which is not actually the case.” The files contain a bevy of threats, including trojans and worms that are “capable of destroying, blocking, modifying or copying data, and interfering with the operation of computers or networks,” according to the firm. So far, 10 different documents have been seen circulating. With the number of coronavirus cases unfortunately surpassing the SARS outbreak of 2003 – 8,200 confirmed as of this writing – the disease will likely be an enduring lure for some time to come, researchers said. “As people continue to be worried for their health, we may see more and more malware hidden inside fake documents about the coronavirus being spread,” wrote Anton Ivanov, Kaspersky malware analyst, in the report. IBM X-Force too warned that Emotet operators will probably expand their targeting beyond Japan soon. “We expect to see more malicious email traffic based on the coronavirus in the future, as the infection spreads,” according to the posting. “This will probably include other languages too, depending on the impact the coronavirus outbreak has on the native speakers. In these first samples, Japanese victims were probably targeted due to their proximity to China. Unfortunately, it is quite common for threat actors to exploit basic human emotions such as fear – especially if a global event has already caused terror and panic.” Cybercriminals attempting to capitalize on current events or zeitgeist is nothing new, as seen in the World Cup campaigns that crop up every four years. Emotet itself recently turned up in a timely spam campaign in December that used climate-change activist and Time Person of the Year Greta Thunberg as a lure. The copy within the email included a few different themes, including Thunberg’s Time nomination, the Christmas holidays, and general environmental awareness and activism. Fonte: threatpost.com
Modelos de SOC – Security Operations Center
Modelos de SOC – Security Operations Center
De uma forma resumida, pode dizer-se que o SOC é um Centro de Operações que fornece recursos centralizados e consolidados de monitorização, deteção e resposta a incidentes de segurança, através da utilização de soluções de segurança, com processos, procedimentos e pessoal especializado. É cada vez mais importante para as instituições garantirem a sua segurança cibernética independente da sua dimensão, indústria ou mercado de atuação. Dado o atual cenário de ameaças, o SOC não pode ser considerado como um “luxo”, mas sim como uma necessidade e uma ferramenta que permite às instituições um nível mais elevado de monitorização, prontidão e capacidade de resposta face a ameaças que podem conduzir, entre outras consequências, à interrupção de negócio ou perda de credibilidade. De acordo com a Gartner, há 5 principais modelos de SOC, e em publicações sobre este tema, recomenda o SOC as a Service, como o melhor modelo de implementação devido aos seus custos e benefícios. É importante realçar que este modelo de SOC as a Service, torna-se uma vantagem competitiva principalmente para as médias empresas, que normalmente enfrentam os mesmos desafios e necessidades de segurança das grandes empresas, no entanto, possuem menor orçamento com falta de pessoal especializado para dar resposta a estas ameaças. Os 5 modelos de SOC segundo a Gartner 1 - Virtual SOC Este SOC não operacionaliza em instalações e infraestruturas dedicadas. É desenvolvido com base em tecnologias de segurança descentralizadas, com uma equipa virtual que se torna ativa em caso de incidente, tornando-o mais adequado para pequenas e médias empresas. É principalmente reativo e pode ser melhorado por meio de técnicas de fine tunning de soluções de segurança (como o SIEM). 2 - Multifunction SOC/NOC Este modelo de SOC pressupõe a utilização de uma equipa, instalações e infraestrutura dedicadas que além de segurança, fazem por exemplo, operações de TI, conformidade e gestão de riscos. É mais adequado para PMEs com baixa exposição ao risco. Este modelo possui menor foco na segurança, com utilização partilhada de recursos, infraestrutura e instalações. 3 - Co-managed SOC Geralmente é adequado para empresas de médio e grande dimensão, cujo principal conhecimento não é sobre operações de TI ou segurança. Normalmente, é uma operação 8x5 com monitorização 24x7. Os principais fatores para este modelo de SOC são as restrições de recursos e orçamento limitado. 4 - Dedicated SOC Um SOC dedicado é um SOC centralizado que possui uma infraestrutura, equipa e processos dedicados. É autossustentado para fornecer uma contínua operação. Geralmente tem uma equipa constituída entre 5 a 8 especialistas em segurança para monitorização e operações 24x7. É mais adequado para grandes empresas e organizações governamentais que estão constantemente sob risco de ataques. Este modelo de SOC é essencial para instituições globais com dados privados armazenados e/ou tratados em vários locais e que devem estar em conformidade com regulamentos e políticas de segurança. 5 - The Best Choice: Soc as a Service O SOC como um serviço é um modelo terceirizado que amplia os recursos da equipa de TI de uma organização, oferecendo segurança ponto a ponto. Inclui um serviço de MDR- Managed Detection and Response que elimina o ônus de determinar a melhor metodologia ou tecnologia para deteção e resposta a ameaças. Apesar dos investimentos significativos em segurança em redes, sistemas, aplicações/Bases de Dados, muitas organizações continuam a enfrentar ataques e a sofrer violações de segurança com elevado impacto financeiro com exposição não tangível perante o público. A Hardsecure fornece o hSOC - SOC as a Service aos seus clientes, e destaca que a sua organização irá beneficiar de um modelo de SOC de quarta geração, para o qual não irá precisar de uma equipa de segurança, infraestrutura ou instalação dedicada in house. Ao abrigo deste serviço fornecemos toda a estrutura, tecnologia, inteligência e equipas dedicadas consoante as suas necessidades específicas de negócio e o nível de serviço acordado. *Este artigo foi baseado no paper da Gartner “Five Models of Security Operations Center”.
Cibersegurança: Comunicar, Responder e Prevenir
Cibersegurança: Comunicar, Responder e Prevenir
Sabemos que existem diversos processos e procedimentos que podem ser utilizados para o plano de resposta a incidentes de segurança na sua organização. Também sabemos que esta temática nem sempre é algo que desperte muito interesse nos demais departamentos de uma empresa, tornando-se um desafio aos departamentos de TI/Cibersegurança transmitir a sua real importância e impacto a todos. Atualmente, pensar em segurança do sistema de informação tornou-se essencial para as organizações, independentemente da sua dimensão, indústria ou mercado de atuação. É uma componente vital das empresas e que deve ser levada a sério por todos. Tendo em conta este contexto, este artigo tem como objetivo resumir e simplificar algumas premissas importantes sobre o desenvolvimento de um plano de processos de resposta a incidentes de segurança. Então, o que é um processo de resposta a incidentes? Especificamente, um processo de resposta a incidentes é um conjunto de procedimentos destinados a identificar, investigar e responder a possíveis incidentes de segurança de uma maneira que minimize o impacto e rápido suporte à recuperação. No final do dia, é um processo de negócio, pois permite que a sua organização mantenha, tanto quanto possível e com o menor impacto possível, as suas habituais atividades. Qual é a diferença entre “processo” e “procedimento” de resposta a incidentes? Embora estes termos sejam frequentemente usados de forma intercambiável, possuem significados diferentes. Um processo de resposta a incidentes é o ciclo de vida de uma investigação ao incidente, enquanto o procedimento de resposta a incidentes é a tática específica na qual a equipa estará envolvida durante um processo de resposta ao incidente. Premissas e Preparação - O que devemos considerar antes de iniciar o plano? Antes de pensar nos procedimentos específicos de resposta a incidentes, a sua organização precisa de se preparar, sugerimos que considere, entre outras, as seguintes premissas: 1. PRIORIZAÇÃO DE ATIVOS Listar ativos e impacto: É importante pensar em quais são os servidores, aplicações, utilizadores, redes e sistemas que são essenciais para manutenção do trabalho diário, ou seja, quais os ativos que poderiam gerar algum tipo de prejuízo/impacto no negócio caso sofressem um ataque ou ficassem offline por um determinado tempo. Para além dos recursos, a mesma análise deve ser feita, para o tipo de dados disponibilizados nessas ferramentas e qual é o potencial impacto caso estas informações sejam obtidas por terceiros não autorizados. Quantifique os valores dos ativos com a maior precisão possível, pois isso ajudará a justificar o orçamento de Segurança e TI. 2. PADRÕES DE TRÁFEGO Capture padrões de tráfego e linhas de base de forma a criar uma imagem precisa do que se considera como "normal". A sua equipa precisará dessa base para detetar anomalias que possam indicar um possível incidente. 3. CONECTE, COMUNIQUE E COLABORE Reúna-se com a liderança executiva, partilhe a sua análise da atual postura de segurança da organização, reveja as tendências do setor, as principais áreas de preocupação e suas recomendações. Defina expectativas sobre o que a equipa fará, juntamente com o que outras organizações estão a fazer, bem como o que esperar em termos de comunicações, métricas e contribuições. Descubra a melhor maneira de trabalhar com as equipas jurídicas, recursos humanos e comerciais para acelerar solicitações durante procedimentos essenciais de resposta a incidentes. Nos próximos meses iremos dar continuidade a uma série de artigos sobre Comunicar, Responder e Prevenir no contexto de segurança dos sistemas de informação e cibersegurança. Fique atento aos nossos principais canais de comunicação para apreender mais sobre tendências e boas práticas neste segmento de atuação.
Responder e Prevenir - Tipos de Vetores de Ataque
Responder e Prevenir - Tipos de Vetores de Ataque
A cada dia evoluímos as nossas capacidades de resposta a incidentes de segurança, no entanto, é necessário destacar que as ferramentas e técnicas utilizadas por hackers também estão em constante evolução, demonstrando capacidades furtivas e camufladas. Especialistas em cibersegurança indicam que no atual cenário a melhor prática é a utilização de ethical hacking, ou seja, monitorizar a rede de operações sempre na perspetiva do hacker, procurando os principais indicadores e áreas de exploração e de risco, antes de serem explorados. A sua equipa de TI está preparada para fazer face a incidentes de segurança? Este artigo tem como objetivo dar continuidade à nossa série Comunicar, Responder e Prevenir (poderá aceder ao primeiro artigo clicando aqui. Hoje iremos falar sobre como identificar os vários tipos de incidentes de segurança. A melhor forma de determinar a resposta adequada ao incidente, será através do entendimento dos tipos de ataques podem ser utilizados contra a sua organização. Veja a lista do NIST sobre os diferentes vetores de ataque: Media Externo/Removível» Um ataque executado a partir de medias removíveis (por exemplo, unidade flash, CD, PENs USB) ou outro dispositivo periférico. Email» Um ataque executado através da utilização do serviço de e-mail, onde no seu conteúdo existem links e/ou anexos (por exemplo, injeção de malware). Attrition» Um ataque que emprega métodos de* brute force* para comprometer, degradar ou destruir sistemas, redes ou serviços. Uso impróprio» Qualquer incidente resultante da violação das políticas de uso aceitáveis de uma organização, por um utilizador autorizado, excluindo as categorias acima. Web» Um ataque executado a partir de um site ou aplicação na web (por exemplo,* download* via drive-by). Perda ou roubo de equipamento» A perda ou roubo de um dispositivo de computação ou media utilizado pela organização, como um* laptop, smartphone.* Outros» Um ataque que não se enquadra em nenhuma das categorias anteriormente referidas. Agora que já conhece a lista de categorias de ataque do NIST, é importante rever as suas políticas de segurança, controlo e mitigação para garantir que estes vetores de ataque estão contemplados. Utilize esta lista para guiar a sua equipa no processo de classificação dos vários tipos de incidentes de segurança. Também é importante identificar que tipos de equipamentos, podem causar o maior risco em caso de perda ou roubo, isto inclui os laptops dos CFOs, como também qualquer disco HDD que contenha informação da rede de dados ou dados sensíveis. No nosso próximo artigo iremos falar sobre Triagem de Incidentes de Segurança, destacando como combinar inteligência de ameaças (local e global) para uma triagem mais eficaz, e categorização de incidentes na perspetiva do hacker.
Responder e Prevenir – Triagem de Incidentes de Segurança
Responder e Prevenir – Triagem de Incidentes de Segurança
Neste artigo iremos abordar Triagem de Incidentes de Segurança, como combinar inteligência de ameaças local e global para uma triagem eficaz. Ao analisar e categorizar incidentes de segurança da informação é importante pensar como o hacker. No que diz respeito à prevenção, não podemos supor exatamente qual o caminho que um hacker seguirá para acesso à rede de dados, no entanto cada ataque funciona por meio de um determinado padrão, que segundo Lockheed Martim é denominado de “cyber kill chain.” The “cyber kill chain” é uma sequência de estágios necessários para que um hacker entre e obtenha dados de uma rede, sendo que cada estágio revela um objetivo específico ao longo do percurso. Projetar o plano de monitorização e resposta em torno do modelo de cadeia de destruição cibernética é um método eficaz, pois foca-se nos atuais cenários e vetores de ataque. Esta abordagem para pensar como o potencial Hacker, pode ser resumida em 4 etapas: 1 - Attacker’s Goal - Reconhecimento e Scan: Encontrar o alvo e desenvolver plano de ataque com base nas oportunidades para exploração. 2 - Delivery & Attack - Colocar o mecanismo de entrega online e utilizar a engenharia social para induzir o alvo a aceder malware ou outro exploit. 3 - Exploitation & Installation - Explorar vulnerabilidades em sistemas alvo para adquirir acesso, escalar os privilégios do utilizador e instalar payload. 4 - System Compromise - Filtrar dados de elevado valor sem ruido e o mais rápido possível. Utilizar o sistema comprometido para obter acesso adicional, “roubar” recursos de computação e / ou utilizar como ataque contra outro ativo. Quais os eventos de segurança que a sua organização se deve preocupar? Para ajudar a categorizar cada tipo de incidente, poderá alinhar os tipos de eventos à “Cyber Kill Chain” para determinar a prioridade apropriada e a estratégia de resposta a incidentes. A tabela abaixo exemplifica como poderá ser feito: table { font-family: Kumbh Sans, Lato; border-collapse: collapse; width: 100%; } td, th { border: 1px solid #0F0F0F; text-align: justified; padding: 8px; } tr:nth-child(even) { background-color: #ECF5E8; } Tipo de Incidente Etapas Cyber Kill Chain Nível de Prioridade Recomendações Port Scanning Activity* (pre‑incident) Reconnaissance & Probing Baixa Ignore a maioria destes eventos, exceto quando o IP de origem tenha uma reputação maliciosa e que haja vários eventos desse mesmo IP num pequeno intervalo de tempo. Malware Infection Delivery & Attack Média-Baixa Corrija qualquer infeção por malware o mais rápido possível antes que estas progridam. Faça um scan na rede de forma a procurar indicadores de comprometimento associados a este evento (ex. MD5 hashes). Distributed Denial of Service Exploitation & Installation Alta Configurar servidores expostos na web para proteger contra solicitações de pedidos extremos por HTTP e SYN. Coordene com o seu ISP durante um ataque para bloquear os IPs de origem. Unauthorized Access Exploitation & Installation Média Detete, monitorize e investigue as tentativas de acesso não autorizado - com prioridade para aquelas que são essenciais e / ou contêm dados confidenciais. Insider Breach System Compromise Alta Identifique os utilizadores com privilégios para todos os domínios, servidores, aplicações e dispositivos críticos. Certifique-se de que a monitorização está ativada para todos os sistemas e para todos os eventos do sistema e também certifique-se de que está a alimentar a sua infraestrutura de monitorização (SIEM). Combine a inteligência de ameaças local e global para uma eficaz triagem Frequentemente pensamos na resposta a incidentes como um trabalho forense detalhado e meticuloso, observando de perto um sistema de cada vez. No entanto, a grande maioria do trabalho de monitorização da segurança pode ser resolvida por meio de uma visão maior e mais holística do estado e da atividade na sua infraestrutura. Cyber Threath Intelligence permite afastar do foco nas vulnerabilidades, explorações e patches e concentrar nos elementos que estão ativamente causar danos à confidencialidade, integridade e disponibilidade dos dados da sua organização. A primeira etapa é entender o máximo possível sobre o seu atual ambiente. Alguns especialistas referem-se a isso como consciência ambiental, situacional ou contextual. Na Hardsecure a abordagem refere-se como inteligência de ameaças face ao cenário em análise. Depois de combinar informações valiosas sobre sua própria rede com a mais recente inteligência de ameaças globais (detalhes sobre ferramentas, técnicas e tendências do hacker), a sua organização poderá alcançar uma triagem eficaz e preditiva. Para ir de encontro com esta abordagem a Hardsecure possui uma equipa dedicada - Intelligence and Security Analysis Team (ISAT). Para saber mais sobre os serviços de Cyber Threat Intelligence da Hardsecure entre em contato connosco.
Responder e Prevenir – Security Environmental Awareness
Responder e Prevenir – Security Environmental Awareness
Neste artigo apresentamos o TOP 4 da realidade relativo à Security Environmental Awareness, pois acreditamos que para garantir boas prática de cibersegurança é muito importante ir para além das tecnologias utilizadas para garantir a cibersegurança e segurança das instituições. Em resumo, quase sempre, não é sobre a “ferramenta”. É sobre como, quando e porquê usá-la. TOP 4 - Security Environmental Awareness 1. Diariamente o seu ambiente tecnológico está em constante mudança Isto só não é verdade, se a sua infraestrutura for totalmente estática e imutável, o que é praticamente impossível dado que a todo o momento estão a ser detetadas novas vulnerabilidades e a ser criadas formas tanto de as alterar como de as explorar. É importante ter a noção de que, independente da sua devida importância, alguns serviços como por exemplo uma auditoria, vulnerability scans e pentest, fazem uma fotografia num determinado momento. A sua organização pode ter uma fotografia positiva nesse momento, mas não se esqueça de que a todo o instante novas vulnerabilidades podem surgir. Por isso, devemos tratar da segurança dos sistemas de informação de forma continua. 2. Report e alarmísticas são fundamentais Bons processos de gestão de TI e de Segurança são fundamentais para minimizar as vulnerabilidades, mas o analista de segurança precisa de estar ciente das mesmas, de forma a contextualizar cada uma de forma a poder tomar as melhores decisões. Muitas opções de configuração estão relacionadas com certos padrões de conformidade - alertar (ou relatar) sobre estes, será uma boa forma de gerir, do que esperar que sejam descobertos durante a próxima auditoria. A sua organização pode possuir uma excelente equipa de TI e de Segurança, e o seu plano e definição de processos de resposta a incidentes, pode ser consistente e muito bem estruturado, no entanto se as potenciais vulnerabilidades não forem bem identificadas e em tempo útil para ação, a sua organização estará sujeita a ataques que podem ter um impacto significativo no seu negócio. 3. Nem sempre as ameaças são externas Mudanças inesperadas na configuração dos sistemas podem indiciar a tentativa, por alguém hostil, de controlar um sistema por meio de credenciais e outros métodos, por isso é necessário estar atento. Para além disso, é importante considerar a engenharia social, que consiste numa estratégia não-técnica usada pelos hackers e que, em grande parte, dependem da interação humana e que induzem os utilizadores a comportar-se de forma a desrespeitar práticas de segurança, como abrir links maliciosos, efetuar download de ficheiros ou partilhar informações confidenciais que permitam ao hacker executar um conjunto de ações com determinados fins. Ações de conscientização e injeção de incidentes são boas práticas que devem ser adotadas pela sua organização. 4. Entender bem o seu ambiente, funcionamento e stakeholders deve ser uma prioridade no planeamento estratégico Não é possível fazer a segurança dos Sistemas de Informação procurando apenas ataques e vulnerabilidades. Deve ter-se uma visão global do que, a cada momento, está a acontecer na rede e nos sistemas em utilização na organização e ter a possibilidade de detetar padrões comportamentais que não se ajustam ao padrão normal de funcionamento. Conclusões: Compreendendo o que está a acontecer na sua infraestrutura (Security Environmental Awareness) e associando-o a informações sobre fontes conhecidas de atividades maliciosas (Global Threat Intelligence), torna-se possível obter de forma consistente informação sobre ameaças ativas na sua infraestrutura. Atualmente, os ataques podem vir de qualquer lugar, especialmente de sistemas comprometidos em redes remotas legítimas. Os hackers dificultam a identificação dos sistemas que controlam com o seu malware, enquanto mantêm o malware ativo e a aguardar instruções para execução de tarefas. Na Hardsecure entendemos a importância de um acompanhamento contínuo do estado de segurança dos sistemas de informação dos nossos clientes e parceiros. Poderá adquirir os nossos serviços de forma pontual, ou como um serviço continuo, de forma a garantir a constante análise, prevenção, mitigação e resposta a incidentes de segurança.
Responder e Prevenir – Ferramentas de Resposta a Incidentes de Segurança
Responder e Prevenir – Ferramentas de Resposta a Incidentes de Segurança
Quando o tema é Resposta a Incidentes de Segurança, devemos manter um olhar atento sobre as ferramentas necessárias para deteção, triagem, contenção e respostas eficazes. Neste artigo, iremos falar sobre algumas ferramentas e boas práticas para auxiliar a sua organização a tomar a decisão mais adequada em cada fase de investigação. É importante começar pela tríade A: Ammunition, Attribution e Awareness. Em resumo para uma defesa eficiente da rede, é necessário que tenha as capacidades (ferramentas e recursos) certas, para identificar as atribuições necessárias, como também, aumentar a consciencialização como uma forma de redução do volume e impacto de incidentes cibernéticos. Ammunition: São as ferramentas de resposta a incidentes. Mais adiante iremos destacar algumas das principais ferramentas open source. Attribution: É importante entender de onde vem um ataque de forma a compreender a intenção e técnica do hacker. Sempre que possível utilizar técnicas de Cyber Threat Intelligence para fazê-lo em tempo real. Awareness: O controlo de segurança mais fundamental é o utilizador instruído e consciente. É importante pensar em ações e programas de consciencialização de segurança na sua organização. Ferramentas Open Source É importante destacar que iremos indicar algumas das ferramentas open source mais utilizadas no mercado, no entanto, em alguns casos pode ser necessário examinar opções comerciais para determinados recursos, consoantes as necessidades e especificidades da sua organização. Estas ferramentas serão destacadas com base no OODA, que foi desenvolvido pelo estratega militar da Força Aérea dos EUA, John Boyd, onde o ciclo OODA fornece uma estrutura eficaz para resposta a incidentes. table { font-family: Kumbh Sans, Lato; border-collapse: collapse; width: 100%; } td, th { border: 1px solid #747A74; text-align: justified; padding: 8px; } tr:nth-child(even) { background-color: #ECF5E8; } OBSERVAR: Utilizar a monitorização da segurança para identificar um comportamento anómalo que pode requerer investigação. Ferramenta Porque é necessária Open Source Intrusion Detection Systems (IDS) — Network & Host-based DS'es (HIDS e NIDS) monitorizam a atividade do servidor e da rede em tempo real e normalmente usam assinaturas de ataque ou linhas de base para identificar e emitir um alerta quando ataques conhecidos ou atividades suspeitas ocorrem em um servidor (HIDS) ou em uma rede (NIDS ). Snort Suricata BroIDS OSSEC Netflow Analyzers Examinam o tráfego real dentro de uma rede (e através dos gateways de perímetro). Se a sua organização está a rastrear um determinado segmento de atividade ou apenas tendo uma ideia adequada de quais protocolos estão em utilização na sua rede e quais ativos estão a comunicar entre si, o netflow é uma excelente abordagem. Ntop NfSen Nfdump Availability Monitoring O objetivo principal da resposta a incidentes é evitar o tempo de inatividade tanto quanto possível. Uma falha na aplicação ou serviço pode ser o primeiro sinal de um incidente em execução. Nagios table { font-family: Kumbh Sans, Lato; border-collapse: collapse; width: 100%; } td, th { border: 1px solid #747A74; text-align: justified; padding: 8px; } tr:nth-child(even) { background-color: #ECF5E8; } ORIENTAR: Avaliar o que está a acontecer no cenário de ameaças cibernéticas e dentro da sua organização.Faça ligações lógicas e contexto em tempo real para focar em eventos de prioridade. Ferramenta Porque é necessária Open Source Asset Inventory Para saber quais eventos priorizar, precisará compreender a lista de sistemas críticos na sua rede e qual software que está instalado. Essencialmente, é preciso entender o seu ambiente para avaliar a criticidade do incidente como parte do processo de Orientação / Triagem. A melhor maneira de fazer isso é ter uma descoberta automática de ativos e inventário que pode atualizar. OCS Inventory Threat Intelligence Security Research A inteligência de ameaças fornece informações globais sobre ameaças no mundo real, tais como: indicadores de comprometimento, endereços IP de má reputação, servidores de comando e controlo entre outros, podem ser aplicados nos seus próprios ativos de rede, para fornecer um contexto completo para a ameaça. AlienVault OTX AlienVault Labs table { font-family: Kumbh Sans, Lato; border-collapse: collapse; width: 100%; } td, th { border: 1px solid #747A74; text-align: justified; padding: 8px; } tr:nth-child(even) { background-color: #ECF5E8; } DECIDIR: Com base em observações e contexto, escolha a melhor tática para mínimos danos e recuperação mais rápida. Ferramenta Porque é necessária Open Source Política de segurança corporativa da sua organização Não existem ferramentas de "Decisão" e até que a AI esteja num nível mais elevado de desenvolvimento, a decisão continua a ser através do recurso humano. Decida com base nas informações de que dispõe, que incluem as ferramentas indicadas neste documento, bem como a política de segurança da sua organização. N/A table { font-family: Kumbh Sans, Lato; border-collapse: collapse; width: 100%; } td, th { border: 1px solid #747A74; text-align: justified; padding: 8px; } tr:nth-child(even) { background-color: #ECF5E8; } AÇÃO: Remediar e recuperar. Melhorar os procedimentos de resposta a incidentes com base em lições aprendidas. Ferramenta Porque é necessária Open Source Data Capture & Incident Response Forensics Tools As ferramentas de captura de dados e análise forense de resposta a incidentes são uma categoria ampla que cobre todos os tipos de meios.São ferramentas para meios digitais com o objetivo de identificar, preservar, recuperar, analisar e apresentar fatos e opiniões sobre a informação digital, tudo com o objetivo de criar um track para auditoria jurídica. SANS Investigative Forensics Toolkit (SIFT) Sleuthkit System Backup & Recovery Tools Patch Mgmt. and Other Systems Mgm Ferramentas de gestão de patch e backup do sistema não são novidade, mas é importante incluí-las aqui, uma vez que num incidente será necessário o seu recurso. Opsi (Open PC Server Integration)
Cibersegurança em contexto de Trabalho Remoto
Cibersegurança em contexto de Trabalho Remoto
A pandemia acelerou exponencialmente a adoção do trabalho remoto, por forma a permitir que as organizações se mantivessem “vivas” embora tendo de adaptar-se rapidamente a novos métodos de trabalho e de comunicação. O trabalho remoto veio demonstrar a agilidade e a capacidade de adaptação tanto dos colaboradores como das organizações. No entanto, foi também visível que a “superfície de ataque” foi bastante aumentada e traduziu-se num substancial incremento do número de ciberataques de variados tipos. Embora “100% seguro” em cibersegurança seja um conceito inexistente, há medidas tanto do lado da organização como do lado do colaborador que podem e devem ser tomadas de forma a minimizar o risco. O teletrabalho consubstanciou-se em grande parte dos casos, na utilização de equipamentos, fornecidos pela organização ou propriedade do colaborador, para acesso aos sistemas de informação da organização de forma a manter o acesso às ferramentas que permitem o adequado desempenho das funções do colaborador. De uma forma simplista poder-se-ia dizer que estendemos a infraestrutura de Tecnologias de Informação até à casa dos colaboradores. E se este é o nosso entendimento, é fácil admitirmos que estes equipamentos, embora fora das instalações da organização, devem ter o mesmo nível de proteção que está disponível dentro dessas mesmas instalações. Tão importante como os “equipamentos remotos” estarem seguros é que a comunicação destes equipamentos com os recursos de TI/SI da organização se faça de forma segura e controlada. Poderíamos agora falar da importância da defesa de perímetro, e de como pode ser estendida ao equipamento do colaborador que está em casa; do estabelecimento de um canal de comunicação seguro entre o equipamento e a infraestrutura da organização; da importância de aplicar de forma automatizada as políticas de defesa de endpoint dentro e fora da organização; do diferenciador que é poder saber se determinado equipamento se pode ou não ligar à rede de dados da organização e automaticamente impedir a ligação ou isolar o equipamento se necessário; do relevante que é utilizar camadas de autenticação de duplo fator; do crucial que é garantir a correta gestão de identidades e acessos ou de como pode ser crucial ter a capacidade de realização de backups a estes equipamentos e da sua consequente inclusão nas politicas de backup da organização. Claramente, com o aumento do número de ataques de phishing e spam, poderíamos falar do real interesse de mecanismos de URL Filtering, Anti-SPAM e outros. Podemos, também, falar do benefício da encriptação da informação nos equipamentos remotos, para inviabilizar a utilização da informação em caso de roubo ou extravio dos equipamentos, ou do conforto adicional dado por uma ferramenta que permita a formatação do disco dos equipamentos extraviados caso seja conseguido um acesso à internet por esses equipamentos. Depois, podemos pensar em mecanismos que possam conduzir a tramitação de documentos digitais dentro da organização, ou de dentro para fora, baseados em critérios de classificação dos documentos e eventualmente até com a possibilidade de encriptar os documentos de forma a que os respetivos conteúdos possam ser acedidos só por quem realmente deva ter acesso à informação. Desta forma poderemos evitar que inadvertidamente um colaborador possa tornar disponível um conteúdo a quem não lhe deveria ter acesso. Provavelmente pensámos em reforçar da nossa equipa de helpdesk, seja para resolver pequenas “tecnicalidades” resultantes da mudança tecnológica, seja para dar resposta atempada aos colaboradores de forma a sentirem-se devidamente acompanhados nesta nova forma de exercer as suas funções. É claro que uma boa parte de tudo o que foi anteriormente dito cai no âmbito da organização. E do lado do colaborador? Para se ligar à empresa, provavelmente, o colaborador utilizará a rede doméstica. Deverá ser preocupação do colaborador, até pela utilização pessoal que dela faz, que a rede doméstica, quase sempre wireless, esteja adequadamente protegida através de um protocolo WPA, WPA-2, WPA-PSK ou outro. Dependendo do tipo de equipamento utilizado pelo colaborador e deste ser ou não propriedade da organização, medidas deverão ser tomadas para que a utilização desse equipamento ser feita de forma tão segura quanto possível. Até aqui falámos de aspetos fortemente ligados à tecnologia. Há um fator essencial na criação da cultura de segurança da organização que é o fator HUMANO. Este fator é tão válido para trabalho remoto como para trabalho on-site e mesmo para a postura que os colaboradores venham a adotar como ciber-cidadãos. Será que, enquanto organização, formamos e informamos os colaboradores que têm acesso aos Sistemas de Informação da organização? Temos um plano de formação que preveja ações de refrescamento de conhecimentos e refrescamento dos conteúdos e canais para sua divulgação? Estão os colaboradores aptos a fazer uso adequado dos sistemas e das permissões que lhes foram atribuídas? Será que estão suficientemente informados dos riscos associados à utilização incorreta dos dados e sistemas a que têm acesso? Têm já um grau de maturidade que lhes permita manterem uma postura adequada no que respeita aos critérios de segurança que devem adotar no exercício das suas funções? Foram divulgadas as políticas de “utilização aceitável” dos recursos da organização e, tendo sido, contemplam a utilização em trabalho remoto? Informamos os utilizadores dos comportamentos de risco a evitar e dos cuidados a ter quando trabalham em modo remoto? Quando são utilizadas infraestruturas dos colaboradores (ex: acesso internet, laptop pessoal, …) informamos como tornar o uso desses meios mais seguros? É cada vez mais importante que estejam disponíveis os mecanismos necessários à correta securização dos ativos das organizações, mecanismos pró-ativos de prevenção e gestão de risco e mecanismos de resposta a incidentes de segurança. Não podemos nem nos devemos esquecer que a formação dos utilizadores e a criação de uma adequada cultura de segurança na organização, pois são a primeira linha de defesa contra muitos dos ataques a que as organizações possam estar sujeitas.
Backup e Segurança da Informação
Backup e Segurança da Informação
A informação é um recurso essencial para qualquer organização, independentemente da sua dimensão e área de atuação. É constituída por todos os dados das empresas, desde informações a respeito dos produtos ou serviços, nomes e informação de documentos particulares de colaboradores e/ou fornecedores, faturação, contabilidade, entre outros, que estão disponíveis nos sistemas utilizados. É muito importante que a informação seja protegida e interdita a quem não pertence à organização, para evitar ataques e qualquer prejuízo à operação. Embora cada organização crie a sua própria política de segurança de uma forma adaptada às suas características, há sempre aspetos comuns que têm que fazer parte de qualquer política, como a realização de Backups. Fazer Backup dos dados e informações mais importantes da organização pode ser a única forma de salvá-los em caso de ataques ou incidentes de segurança. São várias as razões que justificam a sua importância: Proteção de dados e informação: os Backups protegem a organização de diferentes ameaças (ataques informáticos, erro humano, falhas de energia, acidente), e a sua existência pode fazer a diferença entre restabelecer rapidamente a operação da organização após um incidente ou ter que pausar a atividade; Aumentar a operacionalidade e competitividade: uma organização que consiga garantir, após um ataque ou incidente de segurança, uma recuperação rápida e eficiente transmite maior credibilidade ao mercado. Esta garantia é a confirmação que não tem quebras de produtividade e, consequentemente, de rendimentos; O negócio torna-se mais eficiente: a execução regular de Backups obriga a reestruturações e reorganizações que tornam o negócio mais organizado e eficiente; Garantir o cumprimento da lei de Proteção de Dados: numa época em que as leis sobre a proteção de dados são cada vez mais apertadas e cujas infrações são punidas com multas elevadas, ter Backups garante que toda a informação é corretamente controlada e está em conformidade com a lei. É igualmente relevante a seleção do tipo de arquivos que se vão incluir nos backups. De uma forma transversal, o backup deve contemplar tudo aquilo que não pode ser substituído facilmente. Devido à importância dos Backups torna-se fundamental perceber a melhor forma de os fazer: de uma forma geral, a regra 3 – 2 – 1 consegue conferir segurança a este procedimento. Esta regra recomenda três Backups dos dados, guardadas em dois locais (e em equipamentos diferentes) e uma cópia externa (por exemplo, num serviço da Cloud). Relativamente à frequência de execução, há 3 frequências recomendadas: Backup diário: executado todos os dias, sendo bastante utilizado em sistemas críticos para a organização e que tenham atualizações constantes; Backup completo (semanal ou mensal): executado sobre informação que não exige muita manipulação, atualização e não é tão crítica para a organização; Backup incremental: os ficheiros ou informação nova são adicionados a um backup completo existente. Normalmente é executado em informação sem necessidade de atualização. Existem alguns aspetos a considerar para uma melhor execução de Backups: Rever os relatórios dos Backups diariamente: os relatórios de Backup devem ser analisados diariamente, manualmente, ou através de um sistema de monitorização e alerta. A análise diária é muito importante porque irá permitir detetar qualquer problema, impedindo que o mesmo aumente, criando um cenário que cause danos graves; Verificar os Backups: a maioria dos sistemas de backup verificam as cópias após a conclusão do Backup, mas devem ser realizados testes regulares para garantir a recuperação de ficheiros, caso seja necessária; Ter um plano de recuperação de incidentes: executar backups não constitui um plano de recuperação de incidentes. A organização deverá identificar e avaliar os riscos à sua operação, documentar o que está a ser feito e comunicar o que deverá ser feito, caso haja necessidade de executar uma recuperação. Este plano deve permitir avaliar todos os riscos e implementar controlos adequados para os mitigar; Armazenamento dos Backups: normalmente os Backups são feitos em discos ou locais remotos (na Cloud), mas é importante perceber qual o tempo de recuperação dos dados quando for necessário. A recomendação é duplicar localmente uma certa quantidade de dados de backup recentes para permitir uma recuperação rápida, e que estejam alojados na cloud. Isto permite que estes dados fiquem disponíveis em segundos ou minutos, em vez de dias; Encriptar Backups: uma vez que as cópias de segurança vão para fora dos sistemas e rede da organização, deverão ser encriptadas para garantir que ninguém que não pertença à organização tenha acesso a esses dados.
O que deve saber antes da aquisição do SIEM
O que deve saber antes da aquisição do SIEM
O SIEM (Security Information and Event Mangement) é uma tecnologia utilizada para apoiar na deteção de Incidentes de Segurança e/ou como ferramenta para estar em conformidade com regulamentação e compliance que a organização tenha de respeitar. É no SIEM que se vai concentrar a informação proveniente de múltiplas fontes (firewall, EPP, EDR, IDS/IPS, aplicações, …) que vai ser monitorizada, registada, correlacionada e analisada em tempo real. Utilizar um SIEM aporta benefícios às organizações, como por exemplo, a integração de informação proveniente de várias fontes, o apoio à monitorização centralizada, a análise de informação em contexto, a adaptação dos processos de controlo à realidade da organização, a disponibilização de mecanismos de alerta e a produção de relatórios de conformidade. Usualmente as ferramentas de SIEM disponibilizam vários tipos de recursos, múltiplas possibilidades de configuração suportando distintos tipos de arquiteturas, terão, uns mais que outros, capacidade de customização e darão resposta a vários casos de uso. De uma forma geral, o SIEM deverá entre outras, ter as seguintes características: Capacidade de integração: Como elemento agregador de informação de várias fontes, a capacidade de integração do SIEM é essencial. O SIEM deve, por um lado, permitir integrar informação proveniente de vários tipos de ferramentas (firewall, IDS/IPS, EPP, EDR, Diretório de Utilizadores, Scanner de vulnerabilidades, Feeds de informação, …) de uma gama alargada de fabricantes e consumindo vários formatos de dados, por outro lado, deve ter a capacidade de integrar com ferramentas de notificação (traps SNMP, SMS, email, …) e registo e acompanhamento de incidentes de segurança (Sistemas de Ticketing, Service-Desk, …). Monitorização: Capacidade de monitorização da segurança dos serviços ativos e de interrupções indesejadas do serviço ou serviços que estejam em execução. Capacidade de relacionar eventos: É imprescindível que o SIEM tenha a capacidade de potenciar a análise rápida da informação que coleta e de deteção de padrões anómalos. No mínimo deverá ter a capacidade de fazer o correlacionamento de informação, disponibilizar funcionalidade analítica e incorporar capacidades de Machine Learning, Segregação de funções: Para ser eficaz na resposta às necessidades de diferentes equipas e funções, o SIEM deve ter a capacidade de gerir permissões de acessos à informação que apresenta ou produz por grupo/função/ambiente a monitorizar. Os acessos às funcionalidades e aos domínios de monitorização deverão ser geridos consoante a necessidade de conhecimento de cada grupo. Produção de Relatórios: É importante a capacidade de produzir relatórios técnicos, relatórios para a gestão (por categorias, ativos, malware, aplicações,…) e automatizar a produção e envio desses relatórios. Relatórios de Conformidade: A capacidade de permitir produzir relatórios sobre as normas que interessem à organização (Standards ISO27001:2013, RGPD, … ) e respetiva customização . Inviolabilidade dos Logs: É imprescindível que o SIEM garanta a integridade dos Logs que armazena, seja por questões de conformidade e auditora interna ou externa, seja pela eventual necessidade de realização de ações forenses.
Engenharia Social
Engenharia Social
A Engenharia Social abrange vários tipos de manipulação psicológica e consiste num conjunto de métodos e técnicas com o objetivo de obter informações confidenciais e importantes (como dados pessoais ou financeiros), através de técnicas de persuasão, que exploram a ingenuidade do alvo. É uma das técnicas mundialmente utilizadas para iniciar, estruturar e executar fraudes pessoais ou organizacionais e baseia-se na manipulação psicológica, para que o comportamento do alvo se traduza em ações que sejam do interesse de quem executa o ataque. A Engenharia Social é uma das mais antigas técnicas de roubo de informações, sendo que quem executa o ataque pode fazer-se passar por outra pessoa, assumindo outra identidade pessoal ou profissional. A melhor maneira de evitar estes ataques é desconfiar, sempre! Saber identificar este tipo de ataques é a melhor forma de os prevenir. Há algumas componentes tecnológicas que poderão ajudar a identificar este tipo de ataque quando executado através de alguns veículos tecnológicos como email ou páginas web: Por exemplo, a utilização de soluções de anti-spam e de url-filtering. Outras componentes tecnológicas poderão ajudar em situações em que, por exemplo, o veiculo do ataque foi um dos anteriores e o utilizador foi incauto: Por exemplo, a utilização de soluções de End-Point Protection desempenhando funções de antivírus, anti-malware e anti-ransomware. A componente comportamental poderá ser a maior barreira à Engenharia Social. Alguns comportamentos que podem ajudar a identificar e evitar uma ação de Engenharia Social: Por exemplo, pesquisar a origem do e-mail (sms ou telefonema) que foi recebido. Mesmo que a comunicação pareça legítima, após verificação poderão ser encontrados indícios de se tratar de uma ação com objetivos ilegítimos; Ou, estar atento ao conteúdo das mensagens ou e-mails (que, muitas vezes, passam por ser ofertas de dinheiro ou prémios bastante apelativos, como férias), à forma e conteúdo do texto e a eventuais sentidos de urgência na comunicação. Nem todas as técnicas de Engenharia Social recorrem a tecnologia. Mesmo as técnicas que não requerem a utilização de tecnologia podem ser utilizadas tanto para preparar ataques por via tecnológica como para obter vantagens sem recurso a tecnologia. A Engenharia Social explora o “Fator Humano”. A prevenção da engenharia social, nas organizações, deve começar pela formação e sensibilização dos utilizadores para a Segurança da Informação, Segurança em Sistemas de Informação e Cibersegurança. A promoção de uma cultura de segurança na organização, é fundamental.
IDC Porto Internacional Cybersecurity Conference 2019
IDC Porto Internacional Cybersecurity Conference 2019
A Hardsecure esteve representada em mais um evento por três elementos da sua equipa operacional (Jorge Ferreira, Vitor Magalhães e Catarina Cunha), desta vez no IDC Porto Cybersecurity Conference 2019. O evento teve lugar no Sheraton Porto Hotel & Spa, estando repleto de profissionais da área, que pretendiam adquirir conhecimentos, explorar novas ferramentas desenvolvidas pelos principais fornecedores da indústria, ou simplesmente contactar com outros profissionais e partilhar experiências. Ainda que algumas das apresentações tivessem subtilmente um cariz comercial, certo é que foram divulgadas as tendências atuais de tecnologias orientadas à salvaguarda das organizações, bem como os modelos atuais de Machine Learning e AI no desenvolvimento de soluções de deteção de comportamentos exploratórios de vulnerabilidades, bem como conjuntos de boas práticas que devem ser tidas em consideração para minimizar os riscos e potenciar o nível de conformidade das organizações. Serviços e gestão de segurança profissionais, requisitos de segurança para IoT, problemas de proteção e privacidade de dados e drivers de conformidade, inovação em identidade, autenticação multifatorial e biometria, e segurança da cloud, para a cloud foram ainda tópicos abordados no evento. Como alguns oradores fizeram questão de sublinhar, o surgimento de instrumentos normativos, como o GDPR, veio impulsionar o crescimento da indústria de segurança informática, sendo que cada vez mais as organizações parecem preocupar-se com a sua imagem relativamente à maturidade que apresentam na salvaguarda dos seus colaboradores e consumidores. Assim, novas oportunidades de negócio surgem, sendo uma boa oportunidade de a Hardsecure demonstrar as suas mais-valias no contexto atual.
CyberTalks - Webinar RGPD
CyberTalks - Webinar RGPD
O projeto CyberTalks, que teve início este mês de Maio de 2020, tem como principal objetivo a partilha de informação, metodologias e melhores práticas nas áreas de Segurança e Cibersegurança, através de ciclos de webinars gratuitos. Nos dias 13, 14 e 19 de Maio de 2020 foram realizadas 4 sessões do primeiro ciclo deste projeto. O tema abordado foi o Regulamento Geral de Proteção de Dados, contando com a participação de cerca de 100 convidados, distribuídos nas respetivas sessões. A oradora Lara Silva - Legal & Compliance Security Auditor da Hardsecure, abordou os seguintes temas: Sobre o RGPD Porquê proteger os nossos dados Objetivo Cronologia do RGPD O que mudou A quem se aplica Legislação Estados de Exceção (COVID-19) Framework Hardsecure Metodologia e Best Practices Entidades Reguladoras Consulte alguns insights sobre o que mudou para entidades e organizações a partir desta obrigatoriedade, que também pode ter impacto muito positivo na reputação, confiança e posicionamento das organizações. RGPD: O QUE MUDOU Mudança de paradigma e passagem de um Princípio de Heterorregulação para um Princípio de Autorregulação (inversão do ónus da prova, através de evidências de conformidade e responsabilidade acrescida do processador de dados); Aplicação territorial mais abrangente e extensível a organizações fora da UE que fornecem produtos e serviços a residentes da UE ou monitorizam residentes na EU; Notificação de violação obrigatória às autoridades de supervisão no prazo de 72 horas para os controladores de dados (caso se verifique “risco para os titulares”); Multas mais elevadas, até 4% da faturação global ou 20 milhões de euros (por incumprimento RGPD); Maior rigor quanto ao consentimento; Definição de dados pessoais passou a ser também toda a informação/dados que tornam o indivíduo identificável. Poderão ser endereços IP, cookies e identificadores de dispositivos; Encarregado de Proteção de Dados (EPD / DPO); One-stop shop, novo conceito de balcão único para transações e proteção de dados. Inclusão dos direitos de ao “apagamento” e à portabilidade de dados, nos direitos dos titulares; Princípios de proteção de dados desde a conceção (by design) e por defeito (by default), estabelecidos pelo art. 25 do RGPD. As próximas sessões de CyberTalks serão sobre: Pentest - Segurança da Informação, Gestão e Mitigação de Riscos, a decorrer nos dias 27 e 28 de Maio de 2020; SOC - Resposta a Incidentes de Segurança, a decorrer no mês de Junho de 2020.
CyberTalks Webinar Pentest
CyberTalks Webinar Pentest
A Hardsecure realizou nos dias 27 e 28 de Maio de 2020, três sessões de Webinar sobre Pentest - Segurança da Informação, Gestão e Mitigação de Riscos. Durante as sessões foram apresentadas Frameworks de Análise, Metodologias de Execução de Ataques, Exploitation, Reporting e de que forma, o Pentest pode ajudar a sua organização. O PENTEST consiste na execução de testes de intrusão para deteção e correção do estado de segurança dos serviços publicados na internet/intranet (independentemente do serviço, porta ou protocolo), sendo executados um conjunto de controlos e técnicas ao nível de ethical hacking, no sentido de garantir que ataques realizados por hackers com intenções maliciosas sejam minimizados. Para tal, a Hardsecure segue diversos standards internacionais, de forma a garantir uma maior capacidade na obtenção de resultados e fornecimento de maior detalhe sobre os findings recolhidos e analisados. O webinar com duração de cerca de 1h foi ministrado pelo orador José Duque - Account Manager da Hardsecure, e contou com a participação do Pentester Daniel Malaco para responder as questões técnicas dos participantes no final da apresentação. Para além da partilha de um resumo sobre os tipos de Pentest, etapas de avaliação, frameworks, metodologias e o nosso serviço de Pentest as a Service - HardSiteMonitor, foi feita uma demonstração de um ataque tipo Black-Box. Esta iniciativa faz parte do Projeto CyberTalks, que tem como principal objetivo sensibilizar e fornecer informação nas áreas de Segurança em Sistemas de Informação e Cibersegurança através de webinars gratuitos. As próximas sessões de CyberTalks serão sobre: SOC - Resposta a Incidentes de Segurança, a decorrer neste mês de Junho.
SOC: o porquê de ser tão necessário
SOC: o porquê de ser tão necessário
O objetivo de um Security Operations Center (SOC) é, de forma contínua, monitorizar, prevenir, detetar, responder e investigar as ameaças (internas e externas) ao sistema de informação da organização. Para desempenhar a função, o SOC é constituído por recursos humanos, tecnologia, processos e procedimentos, que têm como objetivo desenvolver e garantir uma metodologia de Resposta a Incidentes de Segurança. É utilizando esta metodologia que vão ser geridos, mitigados ou eliminados e analisados os Incidentes de Segurança que uma organização possa ter. Os modelos de implementação de um SOC vão ser determinados por vários fatores, como por exemplo a obrigatoriedade de os dados recolhidos ficarem, ou não, nas instalações da organização, a ferramenta de Security Information and Event Management (SIEM) ser ou não licenciada à organização ou ter de “residir”, ou não, nas instalações da organização, a existência de capacidade interna de afetar recursos à operacionalização parcial ou integral do SOC. Os modelos de implementação mais frequentes, são: implementação como projeto, em que após projeto a equipa interna operacionalizará o SOC; implementação como projeto, e a externalização total ou parcial da operacionalização do SOC; externalização completa do SOC sendo este dado como um serviço (SOCaaS). Independentemente do modelo de SOC que melhor se adeque à organização, importante é que exista essa valência e, mais do que isso, que exista uma capacidade estruturada de prevenção, deteção, análise e resposta a Incidentes de Segurança. Dado o volume, frequência e diversidade de ataques a que os Sistemas de Informação estão sujeitos a necessidade de um SOC é real. Vamos, de uma forma macro, perceber porquê : Monitorização Contínua: Os ciberataques não têm intervalos ou pausas e podem acontecer a qualquer momento, sem qualquer consideração pela operação de uma organização. Por norma, é nos horários pós laborais ou fins de semana que os ataques ocorrem, para aumentar a probabilidade de sucesso. Também os ataques internos não têm data ou hora para acontecer e são hoje uma das ameaças potencialmente mais destrutivas que a organizações têm de combater. A monitorização contínua e permanente que um SOC proporciona é uma defesa fundamental nestas situações. Gestão e Visibilidade centralizadas: As redes das organizações estão a aumentar seu nível de complexidade, quer através da aceleração da transformação digital que tem acontecido nos últimos anos quer através da recente adoção generalizada do trabalho remoto. Os variados tipos e frequência de acessos externos e internos às aplicações e sistemas, todos os componentes de proteção das redes e sistemas de informação e os mecanismos de interação com parceiros de negócio geram um elevado volume de informação a circular na rede, volumetria de Logs elevada e um número considerável de alertas. É uma sobrecarga de informação, dificilmente analisável e gerível, que é obtida de várias consolas de gestão, que consome tempo de análise e normalmente sem informação de contexto ou de correlacionamento de eventos e informação. A falsa sensação de segurança por ter implementados vários mecanismos isolados que não contribuem para uma imagem global integrada é,por si só, um risco de segurança. É fundamental para as organizações terem uma solução integrada que permita a visibilidade do estado de segurança da organização como um todo, permita monitorizar esse estado a partir de um ponto único, ter a possibilidade de entender situações que por si só nada representam, mas conjugadas com outras podem representar ameaças. Pelo conjunto das ferramentas que integra e pelo nível de especialização de quem o opera, o SOC é um elemento fundamental no acompanhamento do estado de segurança da organização e um recurso decisivo na ajuda à deteção precoce e na resposta aos incidentes de segurança. Redução dos Custos de Cibersegurança: Manter uma capacidade de cibersegurança apropriada à organização pode traduzir-se numa despesa, que pode ser tida como elevada, pelo investimento nos recursos humanos e tecnológicos necessários. Um SOC prestado como um serviço poderá permitir reduzir estes custos e pode ser uma medida de gestão importante para que os custos do SOC não sejam atribuídos a um único departamento mas sim à organização como um todo. Além disso, um SOC pode promover a poupança a longo prazo, por poder ajudar a prevenir ataques que podem prejudicar a saúde financeira ou a reputação da organização - um ataque bem sucedido pode gerar custos elevados caso cause indisponibilidade total ou parcial dos Sistemas de Informação e com isso afetar o normal funcionamento dos processos de negócio (faturação, logística, produção, …). Se for possível evitar uma multa, por exemplo, por falha na proteção a informação que esteja ao abrigo de regulamentações específicas (RGPD, PCI-DSS, …) por si só já é uma poupança considerável. A própria reputação da organização pode ser afetada e os parceiros de negócio podem vir a manifestar relutância em manter a relação existente. Os custos intangíveis daqui decorrentes podem ser difíceis de calcular. Aumento do nível de colaboração dentro da organização: A colaboração entre equipas é essencial para detetar e responder rápida e eficazmente a incidentes de segurança. Quando uma organização não desenvolve ou comunica processos claros para identificar, notificar e responder a um incidente de cibersegurança, a probabilidade de sucesso de um ataque aumenta. O levantamento de informação necessário ao Plano de Resposta a Incidentes de Segurança vai promover a colaboração entre vários departamentos, incluindo entre outros as Unidades de Negócio, Recursos Humanos e Comunicação, levará à identificação dos interlocutores apropriados à resposta a determinados tipos de incidentes e ao levantamento dos riscos mais prováveis bem como à listagem de respostas tanto tecnológicas como de Negócio para as minimizar e ultrapassar. A organização obterá um maior grau de consciencialização e maturidade em cibersegurança. A equipa de primeira intervenção alicerçará a sua resposta em trabalho previamente realizado, contactará os interlocutores (externos e internos) apropriados, atuará do ponto de vista técnico como, eventualmente, já tenha sido previsto, a comunicação dentro da organização fluirá para os elementos apropriados e as decisões técnicas e de negócio serão tomadas com base em elementos tanto quanto possível tangíveis e em contexto, de forma a diminuir o impacto do incidente no normal funcionamento da organização. É através da intervenção coordenada e colaborativa de vários constituintes da equipa de primeira intervenção que se pretende minimizar o tempo que decorre entre a deteção e a mitigação ou eliminação da ameaça. Em 2016, a Hardsecure criou uma estrutura dedicada a prestar um serviço que disponibiliza uma Metodologia de Resposta a Incidentes de Segurança para monitorizar, gerir, controlar e reportar Incidentes de Segurança nos Sistemas de Informação. Além de recursos Humanos qualificados, políticas e procedimentos, o serviço h-SOC da Hardsecure possui recursos tecnológicos contra as últimas ameaças com atualização contínua de inteligência face a novos vetores de ataque, num formato 24x7x365.
Decreto-Lei nº65/2021, de 30 de Julho
Decreto-Lei nº65/2021, de 30 de Julho
REGULAMENTA O REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO E DEFINE AS OBRIGAÇÕES EM MATÉRIA DE CERTIFICAÇÃO DA CIBERSEGURANÇA EM EXECUÇÃO DO REGULAMENTO (UE) 2019/881 DO PARLAMENTO EUROPEU, DE 17 DE ABRIL DE 2019 A 30 de julho de 2021 foi publicado o Decreto-Lei 65/2021. Este DL regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da Cibersegurança, em execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019. Tal como é afirmado no preâmbulo do mesmo, “o carácter transfronteiriço da cibersegurança e o esforço da cooperação internacional que lhe está subjacente permitem a produção de conhecimento em permanente atualização e o desenvolvimento contínuo de um conjunto de boas práticas”, igualmente transfronteiriças. Na sua generalidade, este DL reconhece a importância de promover políticas e melhorias práticas de cibersegurança, criando um ciberespaço cada vez mais seguro. Para tal, não podemos deixar de referir três pontos essenciais: 1. O papel cada vez mais decisivo que as tecnologias de informação assumem no desenvolvimento da vida em sociedade; 2. O desafio da transição digital; 3. A emergência de novas tecnologias disruptivas, como a inteligência artificial, a realidade virtual e aumentada e a Internet das coisas. Este diploma vem assim regulamentar dois aspetos que a Lei n.º 46/2018, de 13 de agosto (Regime Jurídico da Segurança do Ciberespaço) remetia para legislação complementar, ou seja, a: definição dos requisitos de segurança das redes e sistemas de informação, e definição das regras para a notificação de incidentes. O DL 65/2021 aplica-se então, quer a entidades públicas como privadas, tais como prestadores de serviços essenciais, operadores de infraestruturas, prestadores de serviços digitais e a quaisquer outras entidades que utilizem redes e sistemas de informação (art. 2.º DL). Entre princípios basilares adotados pelo diploma em causa, as entidades, públicas ou privadas, terão de obedecer aos princípios de adequação e proporcionalidade, devendo garantir-se as condições normais de funcionamento das redes e sistemas, bem como uma série de situações extraordinárias, as quais estão identificadas no art. 3.º DL. As entidades identificadas e abrangidas por este diploma, deverão indicar um “ponto de contacto permanente”, o qual deve assegurar os fluxos de informação a nível operacional e técnico com o Centro Nacional de Cibersegurança (CNCS), com uma disponibilidade contínua 24/7. Das demais obrigações existentes, geridas por um responsável de segurança (o qual também irá gerir o conjunto das medidas adotadas quanto a requisitos de segurança e de notificação de incidentes), as entidades devem elaborar e manter atualizado um inventário de todos os ativos essenciais para a prestação dos respetivos serviços, o qual deve ser assinado por esse mesmo responsável (arts. 4.º, 5.º e 6.º DL). Devem ainda as entidades elaborar e manter um plano de segurança, bem como um relatório anual, dedicado a uma descrição sumária das atividades desenvolvidas em matéria de segurança das redes e serviços de informação (arts. 7.º e 8.º DL). Este diploma vem ainda reforçar obrigações de análise de risco de implementação e medidas para cumprimento dos requisitos de segurança, nos seus arts. 9.º e 10.º respetivamente. No que se refere à ocorrência de algum incidente, as entidades em causa deverão notificar o CNCS, devendo submeter três tipos de notificação: notificação inicial, notificação de impacto relevante ou substancial e notificação final (arts. 13.º, 14.º e 15.º DL). De facto, os requisitos previstos neste DL são os requisitos mínimos a assegurar pelas entidades abrangidas pelo Regime Jurídico da Segurança do Ciberespaço, podendo vir a ser estabelecidas regras adicionais por parte de outras entidades (p.e., Ministério Público, Autoridade Nacional de Comunicações, Comissão Nacional de Proteção de Dados e demais entidades), em função da natureza das entidades abrangidas, das atividades desenvolvidas ou do seu contexto. Existindo a necessidade de articular a aplicação destas novas disposições legais com normativos complementares sectoriais já existentes, consagra-se a possibilidade do CNCS, na qualidade de Autoridade Nacional de Cibersegurança, proceder a uma avaliação de equivalência dos requisitos constantes de legislação sectorial, quando considere que é necessário e em articulação com as entidades reguladoras e de supervisão sectorial. Por outro lado, considerando que a certificação de produtos, serviços e processos de tecnologia de informação e comunicação, é complementar para a promoção de um ciberespaço mais seguro, este DL: consagra o CNCS como Autoridade Nacional de Certificação de Cibersegurança, definindo igualmente as respetivas competências; implementa na ordem jurídica nacional um quadro nacional de certificação da cibersegurança, denominado Quadro Nacional de Referência para a Cibersegurança, o qual se assume como referencial de análise de risco para o fortalecimento da resiliência de cada organização, face às ameaças que afetam o ciberespaço. No âmbito das disposições finais, determina-se que o regime sancionatório previsto no Regime Jurídico da Segurança do Ciberespaço, seja aplicável às infrações ao disposto neste DL, ou seja, o não cumprimento das regras estabelecidas neste diploma constituirão contraordenação, podendo as entidades ser punidas pelo CNCS com coima até € 50.000,00. Além disso, constitui contraordenação punível com coima de € 1.000,00 a € 3.740,98, no caso de pessoa singular ou, de € 5.000,00 a € 44.891,81 no caso de pessoa coletiva, a prática de infrações relativas à certificação da cibersegurança. Finalmente, quanto à entrada em vigor do diploma, há que ter em atenção não apenas o prazo geral estabelecido – décimo dia seguinte ao da sua publicação-, mas ainda às restantes disposições constantes do art. 23.º DL. Nas palavras do CNCS e com as quais concordamos, este é, de facto, “um instrumento jurídico importante para promover o reforço da resiliência contra incidentes de segurança nas redes e nos sistemas de informação, os quais assumem um papel cada vez mais importante e incontornável na vida quotidiana”. Por: Mara Almeida Pereira, Legal & Compliance Security Auditor na Hardsecure
Typosquatting: O que é?
Typosquatting: O que é?
“Typosquatting” é um esquema que os hackers usam para tirar partido de erro de digitação, especificamente os erros ortográficos cometidos ao digitar um endereço web num navegador. Normalmente, quando um endereço é escrito incorretamente, o nosso navegador permite-nos saber que houve um erro. No entanto, com typosquatting, os hackers compraram um nome de domínio e criaram um endereço que inclui intencionalmente erros de digitação mais frequentes e construíram o site para se parecer exatamente com o que um utilizador pretende visitar. Por exemplo, um hacker pode comprar www. xxx. cm e construir o site para se parecer com www. xxx. com e, de seguida, incluir malware que infeta no dispositivo ou código que retira informações pessoais. Muitas ferramentas de segurança não têm a capacidade de detetar este tipo de esquemas, uma vez que teria de navegar para o campo da Ciber-Inteligência. A principal preocupação com este tipo de esquema é por um lado o risco de reputacional para alguns dos seus ativos críticos, como o domínio do website, e o outro é o aumento de tentativas bem-sucedidas de esquemas de phishing e ransomware usando nomes de domínio semelhantes para atrair os funcionários para a abertura de "mensagens importantes" na sua caixa de correio. Com a pandemia a forçar-nos a ir ainda mais digitais, este tipo de esquemas está a aumentar cada vez mais, e os seus Web Assets precisam de ter uma reputação limpa, e é por isso que obter mais informações provenientes de fontes de inteligência cibernética está a tornar-se cada vez mais necessário. A Hardsecure está responder a essa necessidade, fornecendo aos seus clientes uma equipa de Cyber-Inteligência que possibilita obter informações importantes na Dark e Deep Web relacionadas com eles e até mesmo ser capaz de prever potenciais ataques e impedi-los ou criar estratégias para reduzir a probabilidade de estes virem a acontecerem.
Compliance: O foco de uma gestão consciente e sustentável
Compliance: O foco de uma gestão consciente e sustentável
O Compliance, mais do que estar em conformidade, refere-se a um estado de integridade empresarial, e assume a função de garantir que individual e corporativamente, as regras de conduta e as políticas da organização são efetivamente cumpridas, elevando a sua missão e valores, exigindo um alinhamento permanente neste sentido. Tendencialmente, as abordagens no sentido de estar em conformidade com normativos e regulamentos, quer externos, quer internos, de agir de acordo com um conjunto de regras, pedidos ou ordens (tradução literal de “to comply”, origem do termo “compliance”), evolui para níveis de rigor e exigência cada vez mais elevados e abrangentes. A crescente preocupação com o Compliance deve ser encarada como uma evolução natural e condição sinequanone de sobrevivência das organizações, dada a importância crescente do fator Humano em todo o processo e a complexidade daí resultante. **Não podemos mais limitar-nos à responsabilidade de cumprir o que que é imposto, é-nos exigida responsabilização dos nossos atos e o assumir das consequências, por respeito aos direitos e liberdades do Ser Humano. **Porque também estes direitos e liberdades, começam a estar intrinsecamente ligados ao sucesso das organizações, pelo princípio da autorregulação e da transparência, o Compliance assume contornos que extrapolam designadamente os princípios de anticorrupção, aprofundando o tema no que diz respeito a um dos ativos que tem vindo a assumir relevância extrema: os dados pessoais. A gestão das organizações torna-se gradativamente, uma gestão que assenta na transparência, na gestão vs mitigação do risco e nos princípios de ética e conduta, recorrendo a processos de auditoria, procedimentos e políticas internas e à promoção de padrões comportamentais que levem a evitar e a denunciar irregularidades. Os resultados expectáveis de rigor e de uma melhoria contínua, passam claramente, também, por ter como referências nas *frameworks* de trabalho, as guidelines e os requisitos que advêm de normas ISO, aliando estes controlos a uma mudança comportamental, que conduza a uma consciencialização da responsabilidade individual e do seu impacto nas organizações e na sociedade. A abrangência não pode tornar o rigor um detalhe. Sedimentar os nossos projetos visando níveis de qualidade, de segurança de informação e de Compliance elevados, pressupõe a observância de normas como a ISO 9001(Gestão de Qualidade), a ISO 19600 (também conhecida como a ISO Compliance, pois trata-se de uma norma de diretrizes sobre sistemas de gestão de compliance), ISO 31000 (Gestão de Risco, que poderá comprometer o Compliance), bem como as ISO27000, ISO 27001 e ISO27002, referentes a requisitos e guidelines de implementação de Sistemas de Segurança de Informação. Se viável e estrategicamente definido, será sempre uma mais valia para as organizações, contar com a chancela da(s) própria(s) certificação(ões), independentemente do âmbito ser mais ou menos alargado, relativamente à segurança da informação, mais ou menos específico relativamente a questões de conformidade, nomeadamente quanto à proteção de dados e de dados pessoais. Na verdade, as linhas mestras, neste contexto serão as mesmas e irão requerer planeamento, ações e reações em “tempo real”, face ao mundo digital em que vivemos e face a uma evolução que, de tão célere e de cenários tão inesperados e únicos, como o é a Pandemia atual da Covid-19, já não se compadece com a ausência de uma resposta cabal e igualmente ágil, por parte das organizações. Por: Lara Silva, Legal & Compliance Security Auditor na Hardsecure
O regime da reprodução e/ou retenção do Cartão de Cidadão à luz do RGPD
O regime da reprodução e/ou retenção do Cartão de Cidadão à luz do RGPD
Desde sempre que, as entidades públicas e/ou privadas, para prestar a maioria dos seus serviços, nos pedem uma cópia do nosso Cartão de Cidadão. Mas será que é mesmo necessário, as entidades ficarem ou reterem o nosso documento identificativo? A verdade é que este é um hábito entranhado na sociedade desde os tempos em que o nosso documento identificativo era o Bilhete de Identidade. Este sim seria o verdadeiro documento identificativo onde constava (para além do número de identificação civil), nome, fotografia, assinatura, filiação, naturalidade, residência (freguesia e concelho), data de nascimento, estado civil, altura e validade do documento – apenas e só documentos identificativos do titular. Contudo, com o Cartão de Cidadão, à vista, temos outros dados, para além dos identificativos, tendo que ter outros cuidados. De acordo com o art. 2.º da Lei n.º 7/2007, de 05 fevereiro: “O cartão de cidadão é um documento autêntico que contém os dados de cada cidadão relevantes para a sua identificação e inclui o número de identificação civil, o número de identificação fiscal, o número de utente dos serviços de saúde e o número de identificação da segurança social.” Se a principal questão, quando nos pedem uma cópia do Cartão do Cidadão é, justamente, para provar a identidade do seu titular, porque deveremos nós permitir o acesso aos restantes dados, os quais constam no Cartão de Cidadão? Aliás, a Lei n.º 7/2007, de 05 fevereiro, com as suas atualizações, prescreve, no seu art. 5.º (Proibição de Retenção), o seguinte: “1. A conferência de identidade que se mostre necessária a qualquer entidade pública ou privada não permite a retenção ou conservação do cartão de cidadão, salvo nos casos expressamente previstos na lei ou mediante decisão de autoridade judiciária. 2. É igualmente interdita a reprodução do cartão de cidadão em fotocópia ou qualquer outro meio sem consentimento do titular, salvo nos casos expressamente previstos na lei ou mediante decisão de autoridade judiciária.” Ou seja, a Lei proíbe a reprodução do Cartão de Cidadão em fotocópia ou qualquer outro meio, como a digitalização, sem o consentimento do titular (salvo as exceções legais). A Lei n.º 7/2007, de 05 fevereiro, quando refere que as entidades públicas ou privadas estão proibidas de reter ou conservar o documento identificativo para verificar a identidade do titular, elas deverão introduzir os dados no sistema informático, formulário ou plataforma, na presença do titular dos dados. Nem mesmo online é legítima a exigência, uma vez que o Cartão de Cidadão tem chip e código PIN, o qual permite fazer a identificação à distância. Ora, no que reporta ao consentimento do titular dos dados, de acordo com a definição constante do art. 4.º n.º 11 do Regulamento Geral de Proteção de dados (RGPD) é: “uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”. Este conceito deve ser conjugado com vários outros preceitos do RGPD, bem como os considerandos, porém temos sempre que dar destaque aos arts. 6.º, 7.º, 8.º, 9.º e 22.º do RGPD. Sejamos realistas, nestes casos, o consentimento para fornecer uma cópia ou reprodução por qualquer outra forma do Cartão de Cidadão é uma ficção. Pouco importa que o titular consinta formalmente, quando, na esmagadora maioria das vezes não tem hipótese de não o fazer sem incorrer em pesados riscos (os dados são pedidos por uma entidade pública para que um projeto prossiga, p.e.), ou o consentimento é necessário para aceder a bens e serviços indispensáveis, como o contrato de fornecimento de energia, p.e. Mas todos nós sabemos que a realidade é bastante diversa de todo o exposto, devendo tomar outra atitude perante a exigência do Cartão de Cidadão. Em primeiro lugar, quando nos exigem a cópia do Cartão de Cidadão, devemos sempre relembrar que esse pedido é contrário à Lei, mas, se mesmo assim a exigência persistir, devemos questionar qual a Lei que identifica essa obrigatoriedade. Na maior parte das situações não existirá qualquer argumento legal, estando assim aberto o caminho para exigir o Livro de Reclamações, fazer a denúncia ou apresentar queixa nas autoridades judiciais, sendo ao Instituto dos Registos e Notariado (IRN) quem cabe instaurar e instruir o processo de contraordenação, arrecadando o mesmo 40% das coimas como receita própria. É certo e consabido (menos por quem nos exige a cópia do nosso Cartão de Cidadão), que o legislador quis acautelar os perigos existentes e cada vez mais atuais, do furto de identidade. É bastante fácil substituir a fotografia e assinar um contrato com os dados pessoais do verdadeiro titular, causando consequências imensuráveis até se apurar a responsabilidade criminal e não só. Os perigos do furto de identidade são uma realidade cada vez mais presente no nosso dia-a-dia, devendo tomar as devidas medidas para nos salvaguardar, mas este tema fica para uma próxima vez. Por: Mara Almeida Pereira, Legal & Compliance Security Auditor na Hardsecure
A importância da centralização da comunicação - SOC
A importância da centralização da comunicação - SOC
Quando uma organização planeia a sua estratégia e os processos de comunicação interna, é comum que surjam dúvidas sobre qual o melhor caminho a seguir, principalmente se for pretendido criar mecanismos de comunicação centralizada. A comunicação é de extrema importância para as empresas de cibersegurança e principalmente para as equipas de SOC, que são a primeira linha de defesa informática em tempo real, pois com a informação estruturada, para além de reduzir possíveis erros operacionais, simplifica as relações entre as diferentes equipas e departamentos que atuam em prol do mesmo fim (exemplo: equipas/departamentos de SOC, Pentest e Cyber Intel), como, garantir uma melhor compreensão do ambiente, defesa e proteção da infraestrutura dos seus clientes. Assim, surge a seguinte questão: "empresas que fornecem serviços de cibersegurança devem centralizar a comunicação ou mantê-la descentralizada?" Para ajudar a responder à questão, seguem algumas das suas características. De um modo geral a Centralização possibilita: Tomadas de decisões e informação divididas entre departamentos; Responsabilidade superior na gestão, por departamento; Maior autonomia para os colaboradores, que deste modo faz apelo à contribuição de cada um, com ideias, produtos ou processos, mas apenas na sua atividade; Acesso limitado à informação (documentos, dados, etc.) relativamente a outros departamentos; Menor partilha de informação interdepartamental; Risco de desencontro de informações; Probabilidade acrescida do surgimento de informação duplicada (dados, emails, entre outros). Já na Descentralização: Maior comunicação entre colaboradores; Comunicação interdepartamental facilitada, contribuindo assim para um objetivo geral comum; Gestão de documentos, dados, emails e transmissão de comunicações; Partilha de informações nos meios que considerem mais adequados e eficazes; Melhor supervisão da informação interna partilhada. Conclusão Estas são apenas algumas das vantagens e desvantagens ao adotar uma comunicação centralizada ou descentralizada. A centralização reduz custos e tempo com possíveis erros por falta de informação, como, por exemplo, a repetição de trabalhos ou a criação de incidentes de segurança (Falsos Positivos) gerados pela atividade de um colaborador do departamento de Pentest durante a sua “atividade normal”, sem que haja comunicação interna sobre o que está em curso, pois ao testarem os sistemas de um cliente, acabam por gerar diversos alarmes para os técnicos que estão a monitorizar a rede do mesmo. Apesar da descentralização ser uma prática muito utilizada por diversas empresas, na área de cibersegurança a centralização da comunicação e das informações é um fator crucial para um melhor funcionamento e contributo global dos diversos serviços prestados. Por: Hugo Moreira, Incident Response Analyst na Hardsecure
SOC as a Service
SOC as a Service
Com a atual evolução digital, o número de ataques e ameaças às organizações aumentaram de uma forma exponencial. Como forma de resposta, estas decidiram tomar medidas adequadas por forma a protegerem os seus dados e os seus sistemas de segurança, evitando assim perdas e prejuízos. Assim surge o SOC as a Service, no qual consiste num serviço contínuo de monitorização, deteção, análise e relatórios, dando resposta a incidentes e procedendo à gestão de vulnerabilidades, permitindo assim um comportamento inovador e trazendo diversas vantagens para a área de Segurança de Informação. Como funciona o SOC as a Service? O SOC as a Service é um serviço fundamentado em monitorização, executado de forma remota nas redes, aplicado a todos os equipamentos e outros ativos ligados à organização monitorizada (âmbito dentro de um scope pré-estabelecido). Ou seja, o SOC recolhe eventos de diferentes fontes, analisa, identifica as anomalias e filtra este processo por forma a gerar alertas. Sempre que os equipamentos produzem logs e eventos, estes são recolhidos e correlacionados através de regras de segurança permitindo uma avaliação rápida de milhões de eventos, com o objetivo de identificar irregularidades e posteriormente serem analisadas pelos operadores de SOC. A mais-valia do SOC as a Service deve-se à constante monitorização dos eventos juntamente com os recursos de segurança usados nas organizações, recursos estes que podem ser diversos, entre eles Firewalls, Antivirus, ativos de rede, servidores, aplicações, entre outros. Através dos mecanismos de correlação, este analisa os dados sobre os eventos, enviando estes resultados para uma plataforma chamada Security Information and Event Management (SIEM), com o objetivo de transmitir todos os ataques a um sistema ou rede. Vantagens do SOC as a Service Nos dias de hoje, onde cada vez mais se verificam ataques a infraestruturas ou mesmo roubo de informação, torna-se necessário a constante visibilidade do ambiente de forma a proteger e reduzir a exposição das informações e mitigar os riscos. Assim, através do serviço SOC as a service, todas estas componentes são abrangidas, pois o SOC proporciona uma visão generalizada de todo o ambiente de forma segura e robusta, através de uma operação 24x7, protegendo assim contra os criminosos que podem permanecer escondidos dentro do nosso ambiente corporativo. Portanto, podemos determinar diversos benefícios com a aquisição do SOC as a Service, tais como: Vigilância Constante – monitorização dos sistemas 24x7; Segurança – análise e identificação de ofensas originadas por terceiros; Garantia de Integridade, Disponibilidade e Confidencialidade; Flexibilidade no modelo de gestão do serviço – 100% outsourced, híbrido ou equipa em casa; Avaliação e melhoria continua como componente preventiva; Acesso a profissionais de Cibersegurança altamente qualificados; Acesso a tecnologias de monitorização e inteligência; Relatórios estratégicos para partilha com C-levels; Mais informação qualificada para o suporte na tomada de decisão. O SOC as a Service parte do princípio da continua deteção, contenção, visibilidade, correção e agregação de inteligência. Assim, pode-se concluir que as organizações com este serviço, são muito mais eficientes no que diz respeito a identificar ataques e responder aos incidentes, possuindo uma capacidade preventiva face a novos vetores de ataque. Por: Renato Rodrigues, Incident Analyst na Hardsecure
Poderão ser os Sistemas de IA eticamente corretos?
Poderão ser os Sistemas de IA eticamente corretos?
Se é verdade que a Inteligência Artificial (IA) não é um conceito novo, nem tão pouco recente, também é uma constatação que este ramo da Informática assume maior relevância à medida que impacta no nosso quotidiano e na sociedade, de forma cada vez mais complexa e controversa, pois o seu principal objetivo é a execução de tarefas que seriam consideradas inteligentes, caso fossem executadas por um Humano. Paralelamente, o respeito pelos Direitos Fundamentais do Ser Humanos, como a Privacidade e a Proteção de Dados Pessoais, são igualmente temas não recentes e com uma preponderância crescente, que adquirem contornos legais e impõem requisitos técnicos para o seu cumprimento, cada vez mais definidos e incontornáveis. Na verdade, a dicotomia entre o desenvolvimento de sistemas de IA e os valores éticos, é uma constante da atualidade e a busca do seu equilíbrio é um tema ao qual, natural e progressivamente, dedicamos mais tempo, pois a perceção de que é vital para a nossa sobrevivência assim o impõe. A atravessar a Quarta Revolução Industrial (Indústria 4.0), o ritmo a que a Sociedade evolui, a par das possibilidades e soluções tecnológicas e informáticas emergentes, a recolha de dados em larga escala (Big Data), nomeadamente através de dispositivos ligados à Internet (IoTs), a necessidade destes recorrerem à IA para interpretar a informação que recolhem e gerarem respostas, criando redes inteligentes, já não se compadece com a inércia em relação ao que são os requisitos de privacidade e segurança de informação, nem com a isenção de responsabilidade, quer individual, quer coletiva, quanto às nossas ações e quanto à informação de que somos ou nos tornamos responsáveis. Com efeito, o nosso sentido crítico e a forma como agimos e reagimos, determinam as nossas escolhas e o nosso percurso e evolução, enquanto indivíduos. Permitindo-nos assumir um paralelismo a este nível, poderíamos dizer que a IA artificial concretiza “escolhas” com base em algoritmos, enquanto a inteligência humana, com toda a sua complexidade, nos permite conscientemente assumir as nossas escolhas, as nossas decisões e os nossos comportamentos, mediante o contexto e os nossos valores. Ser eticamente correto, é, definitivamente uma dessas escolhas e é, sem margem de dúvida, na sua génese, uma característica humana. Assumimos frequentemente, e fruto de alguma especulação, que aos sistemas de IA são mais aproximados do raciocínio de um Humano e da plenitude do cérebro humano, do que são de facto. Prova deste receio é a necessidade constante de balizar os limites de atuação e do próprio desenvolvimento/suas repercussões, de forma a evitar que se invertam os papéis. Os algoritmos permitem efetivamente a resolução de problemas, com base na leitura e compreensão da linguagem e a aprendizagem, recorrendo a raciocínios lógicos. Mas, qual o caminho a percorrer até obter informação que permita gerar algoritmos a ponto de atingir este patamar? O Próprio Ser Humano, a forma como organicamente se geram os pensamentos, as decisões, serão algum dia, possíveis de “replicar”? E se forem, não estaremos nós a desvirtuar os princípios de Individualidade, de respeito pelos direitos e liberdades do Ser Humano e a subverter os princípios éticos que deverão preceder e acompanhar qualquer processo de desenvolvimento (tecnológico)? Por outro lado, poderá algum dia um algoritmo definir o que precede a tomada de decisão individual e todas as vivências e variáveis quer ambientais, quer individuais, que a determinam? Quando um software desenvolvido com base em IA, por exemplo “machine learning”, “toma decisões” recorrendo a um algoritmo, não estará a considerar o Ser Humano apenas um “robot artificialmente inteligente” e a reduzi-lo a um conjunto de informações e raciocínios lógicos, menosprezando a sua génese? Quando definimos um perfil, com base em inputs e informações recolhidas de um indivíduo, como é o caso do que se obtém a partir dos dados pessoais a que temos acesso e podemos tratar, não estaremos nós também a assumir exatamente este pressuposto, quanto aquele ou aqueles indivíduos? Na verdade, não será de todo irrealista considerar a hipótese de que a IA poderá assemelhar-se à “consciência Humana”, na tomada de decisões. Mas esta semelhança pressupõe ação humana e programação e, no caso de “machine learning”, por exemplo, a aprendizagem está limitada à informação que é recolhida e tratada até ao momento e que permite inferir resultados. Se bem que existem já exemplos controversos que nos levam a questionar a capacidade de sistemas de IA comunicarem em linguagem própria e poderem aprender a ser criativas, até ao momento, podemos considerar que recriar o cérebro humano em todas as suas valências e conseguir recriar uma das suas maiores potencialidades, a que permite desenvolver a criatividade, enquanto, ainda será uma completa utopia, sendo que cada sistema de IA é limitado a um conjunto de ações para cada finalidade, no âmbito em que é criado. Assim, teríamos de repensar o próprio conceito de criatividade e do ato de criar, que pressupõe criar algo novo sem partir de nenhuma informação pré-existente ou assumir que aprender por repetição um processo criativo, se pode considerar uma nova abordagem à definição de criatividade. De qualquer das perspetivas, CRIAR implica SER e SENTIR… Andreas Kaplan e Michael Haenlein definem a inteligência artificial como “uma capacidade do sistema para interpretar corretamente dados externos, aprender a partir desses dados e utilizar essas aprendizagens para atingir objetivos e tarefas específicas através de adaptação flexível”. No entanto, e não sendo possível, prever como evoluirá a ciência, e a neurociência, e como esta “integração” poderá vir a ser possível, é necessário tomarmos consciência dos riscos associados aos benefícios, quando falamos de progresso e desenvolvimento. Idealmente, devemos tentar antecipar-nos a consequências danosas e prejudiciais que desvirtuem o benefício que deverá ser o foco primordial do desenvolvimento. A capacidade para coletar, tratar, interpretar toda a informação, proveniente de todos os nossos sentidos, permitindo ter emoções, memórias e SER, é o que nos define enquanto Indivíduos e nos distingue de uma “máquina ou sistema”, mas também o que nos torna permeáveis a influências e a ser “parcialmente programáveis”. O equilíbrio entre o desenvolvimento de sistemas de IA, a sua influência no comportamento humano e a recolha e tratamento de informação acerca desse mesmo comportamento humano, definindo perfis, de forma a permitir este “ciclo de influência” e resultados através da programação e da aprendizagem pelo raciocínio lógico, impõe-se que seja uma constante quando falamos de IA e de desenvolvimento. Como poderemos assegurar o respeito pelos direitos fundamentais do Ser Humano, como é o caso da sua privacidade, se assumirmos que o Ser Humano está ao serviço da tecnologia e do desenvolvimento e não o inverso? Para além das questões basilares de licitude e legitimidade de tratamento dos dados pessoais, ser-nos-á realmente possível reconhecer os limites inerentes a uma finalidade, quando falamos de desenvolvimento de sistemas de IA? Regulamentações de proteção de dados, como o Regulamento Geral sobre Proteção de Dados, têm surgido com o objetivo de impor também estes limites, de normalizar procedimentos, de promover a implementação de medidas de controlo e de promover o desenvolvimento de padrões de ética, apelando ao sentido de responsabilidade pessoal, corporativa e coletiva. A reflexão que se impõe: serão as medidas atuais, os mecanismos existentes e os quadros legislativos em vigor, suficientes para que, na corrida ao desenvolvimento com base na IA, onde buscamos reproduzir e aperfeiçoar comportamentos/ações humanas, salvaguardemos o respeito pela Individualidade, pela privacidade e pelos direitos e liberdades do Ser Humano? Inevitavelmente, as motivações que impulsionam o desenvolvimento, nomeadamente o que assenta em IA, são reflexo da forma como os mercados condicionam as organizações a preterir os princípios éticos a favor do retorno financeiro. Urge conseguir este equilíbrio, impondo e ajustando os limites e os requisitos legais, mas também promovendo e assumindo visões e posturas cada vez mais humanistas, mais conscientes, responsáveis e eticamente corretas, que visem claramente o desenvolvimento da tecnologia e da IA como alavanca de crescimento e evolução das Sociedades e do Indivíduo. Por: Lara Silva, Legal & Compliance Security Auditor na Hardsecure
Oportunidades de Trabalho
Sales Development Representative (SDR)
Sales Development Representative (SDR)
Estamos a reforçar a nossa equipa com Sales Development Representative (SDR) para o mercado internacional (m/f). Queres fazer a diferença? Na Hardsecure, sabemos que o segredo para o crescimento está numa equipa de vendas de alta performance. Por isso é que estamos a contratar um Sales Development Representative (SDR) qualificado para encontrar e selecionar LEADS que possam ter interesse em beneficiar dos nossos serviços. OS SDRs estão na primeira linha de comunicação com as LEADS. Os SDRs através da forte perceção do processo de vendas, destacam-se na procura de oportunidades, começam novas relações e preparam o fecho de vendas para o sucesso. Deverás aprender rápido, ter fortes skills de comunicação e ter a capacidade de mostrar os nossos serviços de forma atraente. Cada LEAD é uma oportunidade para impulsionares o crescimento da receita, os níveis de aquisição de clientes e o lucro. Objetivos da Função: Representar os serviços da Hardsecure, começando com um conhecimento abrangente e pesquisar negócios, para identificar como os nossos serviços correspondem às necessidades das LEADS; Gerar LEADS e construir relações, encontrando potenciais pontos de venda; Gerir e manter um pipeline de potenciais clientes interessados ​​e envolver os executivos de vendas para as próximas etapas; Identificar práticas recomendadas para nutrir a geração de LEADS da Hardsecure. Responsabilidades Diárias e Mensais: Utilizar ferramentas de CRM, cold calling e e-mail para gerar novas oportunidades de vendas; Identificar as necessidades dos potenciais clientes e sugerir produtos / serviços apropriados; Construir relações de confiança de longo prazo com potenciais clientes, para qualificar LEADS em oportunidades de vendas; Procurar pró-ativamente novas oportunidades de negócio no mercado; Marcar reuniões ou chamadas entre (potenciais clientes) e executivos de vendas; Reportar ao Sales Manager os resultados semanais, mensais e trimestrais. Qualificações e Skills: Experiência de trabalho relevante na área; Vontade de liderar e superar as metas de vendas; Fortes capacidades de comunicação via telefone e e-mail; Resolução de problemas de forma criativa e fortes capacidades de análise; Fluência em inglês e castelhano (preferencial). Nice to have: Utilização de software CRM; Experiência, , comprovada na obtenção de cotações. As repostas devem ser enviadas por email com a referência no assunto HS-SDR, enviadas para o email: geral@hardsecure.com
Network e Segurança
Network e Segurança
Estamos a reforçar a nossa equipa com consultor de segurança (m/f) para os nossos escritórios de Lisboa ou Porto. Descrição da função: Levantamento de requisitos técnicos e aconselhamento relativo às soluções e serviços de segurança e cibersegurança (preferencial) mais ajustadas às necessidades dos clientes; Suporte à equipa comercial na apresentação e elaboração de soluções; Apresentação das nossas soluções junto dos clientes e em eventos promocionais, dando apoio técnico quando necessário; Identificação de novas soluções e serviços que possam ser relevantes para acompanhar as necessidades / exigências do mercado. Requisitos: Licenciatura em engenharia informática (ou similar); Fortes conhecimentos em tecnologias de segurança (palo alto networks, Fortinet, bitdefender, cisco, são as tecnologias preferenciais); Fortes conhecimentos em networking (protocolos de routing, switching, VoIP, wifi e segurança) e System Admin; Certificações CCNP e CCNP Security; Conhecimentos em TSHOOT – Troubleshooting and Maintaining Cisco IP Networks; Forte capacidade na execução e gestão de projetos no âmbito de networking e segurança de perímetro e de endpoint; Experiência mínima nas funções: 3 anos. Perfil Comportamental: Sentido de responsabilidade; Dinâmico e pró-ativo; Capacidade de trabalho sob pressão; Bom relacionamento interpessoal e trabalho em equipa. O que oferecemos: Participação em projetos de relevo no panorama nacional e internacional. Integração em equipa dinâmica e experiente. Integração com participação transversal em projetos onde a empresa esteja envolvida. Pacote salarial atrativo adaptado aos conhecimentos e experiência evidenciados pelo candidato(a). As repostas devem ser enviadas por email com a referência no assunto net.20.hs, enviadas para o email: geral@hardsecure.com
Como podemos ajudar?
Fale Connosco