[Segurança] Novo golpe de engenharia social assusta clientes bancários brasileiros

Recentemente eu tenho ouvido relatos de diversos colegas sobre uma nova modalidade de fraude bancária, baseada em engenharia social - histórias que também ouvi de outros colegas que trabalham em alguns bancos. Resumindo o ciber criminoso liga para a vítima se passando pelo área de fraude do seu banco, tenta obter a senha do cliente para, em seguida, realizar a fraude verdadeira. Tudo começa

Conheça a Solução SADI, uma ferramenta desenvolvida pela Clavis Segurança da Informação

globo1

O Teste de Desempenho tem por objetivo caracterizar o comportamento de redes, sistemas e aplicações web face a cenários de sobrecarga, permitindo ao cliente conhecer os limites dos recursos computacionais de sua empresa e mitigar riscos associados à degradação e à indisponibilidade de tais recursos.

Para executar o Teste de Desempenho, a Clavis conta com a ferramenta SADI que é capaz de gerar cenários simulados de sobrecarga, o que inclui tanto cenários legítimos, como aqueles causados pelo acesso simultâneo de centenas de milhares de clientes a uma rede, sistema ou aplicação, quanto cenários maliciosos, como aqueles decorrentes de ataques distribuídos de negação de serviço.

Produto entregue ao cliente

Ao final do serviço de Teste de Desempenho, será gerado um relatório contendo as seguintes informações:

  • Descrição detalhada de cada um dos cenários de sobrecarga simulados pela Clavis.
  • Descrição detalhada dos efeitos de degradação de serviço associados a cada cenário de sobrecarga, incluindo medidas objetivas tais como “tempo de resposta” e “número de usuários com serviço negado”.
  • Análise de riscos associados aos cenários de degradação e indisponibilidade de serviço.
  • Orientação quanto a ações a serem tomadas com vistas a aumentar a capacidade das redes, sistemas e aplicações testadas.

O relatório entregue ao cliente apresenta em detalhes os cenários testados e os efeitos de degradação e indisponibilidade consequentes, assim como aponta caminhos para aumentar a capacidade dos recursos computacionais em questão — informações valiosas para empresas que dependem destes recursos para tocarem seus negócios.

Benefícios obtidos por meio do serviço de Teste de Desempenho

  • Capacidade de antecipar e prever o comportamento de redes, sistemas e aplicações em cenários de sobrecarga.
  • Caracterização dos cenários limites de funcionamento de suas redes, sistemas e aplicações, entendendo que, para cenários com demandas ainda superiores, tais recursos estarão indisponíveis.
  • Possibilidade de planejar o redimensionamento de recursos críticos para melhorar os parâmetros de disponibilidade de redes, sistemas e aplicações.

Usuários do Teste de Desempenho

O Teste de Desempenho é um serviço interessante para qualquer organização que necessite caracterizar o comportamento de uma rede, sistema ou aplicação face a cenários de sobrecarga, aí incluídos desenvolvedores de sistemas, provedores de infraestrutura de redes, e usuários de redes, sistemas e aplicações. Alguns clientes típicos são listados a seguir:

  • Empresas de comércio eletrônico que desejam avaliar se o aumento súbito de clientes – por exemplo, decorrente de uma promoção – irá causar degradação ou indisponibilidade de seus sistemas de venda.
  • Empresas do setor financeiro que precisam garantir padrões de qualidade de serviço por questões de compliance.
  • Empresas em geral que desejam saber se seu website irá tolerar um cenário de sobrecarga causada pelo lançamento de um produto.
  • Empresas em geral que desejam saber se estão suscetíveis a um ataque distribuído de negação de serviço.
  • Provedores de serviços de rede e internet que desejam executar testes de sobrecarga para determinar os parâmetros de qualidade dos serviços que estão oferecendo.
  • Empresas de desenvolvimento de aplicações web que desejam testar seus produtos em cenários próximos àqueles aos quais os produtos estarão submetidos em produção

Informações adicionais

Para maiores informações sobre o Teste de Desempenho executado pela Clavis, recomendamos a leitura do artigo sobre o Teste de Desempenho no blog da Clavis, a audição do Podcast sobre o Teste de Desempenho no Portal SegInfo, e assistir o webinar sobre as principais vulnerabilidades em aplicações Web.


Security Leaders volta ao Rio de Janeiro – 4ª edição – 27/04

O Security Leaders, o maior evento de Segurança da Informação e Risco do Brasil voltará à cidade maravilhosa com grande entusiasmo para a sua quarta edição, e com expectativa que haja um considerável aumento de participantes em comparação ao ano anterior. Os principais líderes de Tecnologia e Segurança da Informação da região irão debater temas  e conceitos que hoje fazem parte do cotidiano dos profissionais da área, dentre eles,  podemos destacar: Segurança em Nuvem, Blockchain, IoT, a evolução do Ransomware, a necessidade de uma Política Nacional de Segurança da Informação, e muito mais.

O evento acontecerá no Windsor Hotel, localizado em Copacabana,  Av. Atlântica, 1020 – no dia 27/04/2017. Os interessados em participar deverão se inscrever aqui. Para mais informações acesse http://www.securityleaders.com.br/riodejaneiro.html#oeventorio 

 


Deveriam os índio se preocupar com a falta de roupa ?


Quando os portugueses chegaram ao Brasil, os índios não usavam roupa e isso para eles era normal. Suas casas (ocas) não tinham portas, e isso era normal. Culturalmente isso (é) era normal e todos acreditavam e respeitavam essa situação. Depois da chegada dos portugueses alguns costumes forma impostos e depois de um tempo, aceitos como normal.
Faria sentido um índio reclamar que alguém viu a porta aberta (de alguma coisa que não tinha porta ?)  

Atendi uma empresa com suspeita de vazamento de informações (externo/hacking). Após a auditoria verificamos que seu perímetro não era o problema, e sim sua rede interna. Sem controles, todos os usuários eram administradores nas maquinas, com acesso ilimitado a dispositivos USB ,  sistemas, bancos de dados e repositórios, também compartilhavam todas as senhas. Até aqui, nada de mais. :-)

Após a análise, recomendações e entrega de relatórios, fui questionado de como os dados dessa empresa seriam tratados por mim. ( nasceu um especialista, preocupado do dia para a noite )

Fiquei imaginando, porque um cidadão que nunca tomou conta de nada me faria uma pergunta dessas... Pensei em todas piadas sobre tomar ou não conta do que é seu.

Para finalizar e evitar problemas apaguei os dados e fragmentei os documentos que estavam em minha posse.


O mundo corporativo é um mundo interessante, pessoas no desespero de se esconder atrás de suas limitações, acabam tentando jogar a culpa em outros, tentando forçadamente mudar os holofotes de lugar.

Segurança importa?  Alguem se importa? 

[Segurança] Quem quebrou a criptografia do Enigma?

O canal Quite Interesting publicou recentemente um vídeo bem legal e divertido, chamado "Who Cracked Enigma?", que mostra uma conversa que começou com a pergunta "Quem foi o primeiro a quebrar o codigo da Enigma?". Embora o matemático britânico Alan Turing tenha sido imortalizado por Hollywood por ter liderado esse feito na Inglaterra durante a II Guerra Mundial, o apresentador lembrou muito

[Segurança] Buzzword do momento: Machine Learning

Constantemente o mercado de tecnologia (e, em especial, o de segurança) escolhe uma nova Buzzword para divulgar novas tecnologias e produtos. Mal deu tempo de consolidar, ao menos no Brasil, o uso da buzzword "Cyber Threat Intelligence", e ela já foi atropelada por uma nova: Machine Learning Seu produto de segurança consegue identificar novos tipos de ataques? E ataques avançados? Zero Days?

Divulgação da avaliação (média de 9,03) e testemunhos do curso Auditoria de Segurança em Aplicações Web – [Presencial]

writing-1149962_640

Nas últimas semanas a Academia Clavis divulgou as avaliações dos alunos das últimas turmas de seu treinamentos na modalidade Ensino à Distância. Agora chegou a hora de divulgar as notas atribuídas pelos alunos das turmas presenciais e o primeiro treinamento avaliado em 2017 foi  Auditoria de Segurança em Aplicações Web.

O curso foi realizado presencialmente em Janeiro de 2017 e obteve média geral de 9,03 na avaliação dos alunos, que deram suas notas em 17 quesitos – da didática e clareza de informações passadas pelo instrutor às instalações e material fornecidos pela Clavis.

Veja abaixo os resultados da avaliação feita pelos alunos do treinamento Auditoria de Segurança em Aplicações Web:

Perguntas Média
Perguntas formuladas pelo professor focalizaram, estimularam e desencadearam novas ideias? 9,5
As ideias principais foram retomadas, resumidas, esclarecidas ou completadas, quando necessário? 9,5
Os exemplos utilizados foram ilustrativos, simples, relevantes e ajustados aos conceitos principais? 9,4
O vocabulário utilizado na apresentação foi preciso, correto, sendo traduzido quando necessário? 9,4
Houve sequência no desenvolvimento do assunto de modo que facilitasse o entendimento por parte do aluno? 9,4
Qual o grau de profundidade que foi desenvolvido o curso? 8,5
Qual a sua avaliação sobre o material entregue? 8,4
Faça uma avaliação geral para a parte teórica do curso. 8,9
Faça uma avaliação geral para a parte prática do curso. 9,0
O tempo de duração do curso foi adequado? 7,8
Os textos foram adequados, preparados e bem utilizados? 8,9
Como foi o atendimento da equipe administrativa durante o curso? 9,5
Como foi o atendimento da equipe administrativa fora do horário do curso? (emails, lista, telefone, etc) 9,5
O instrutor demonstrou domínio suficiente aos assuntos abordados? 9,5
Os recursos audiovisuais foram utilizados adequadamente? 8,9
As instalações físicas foram suficientes para um bom desenvolvimento do curso? 7,9
Coffe Break? 9,2

Os desafios de encontrar (e manter) talentos na Segurança da Informação

handshake-2056023_640

Uma matéria publicada na versão online do jornal Valor Econômico em fevereiro deste ano ouviu empresários do setor de Segurança da Informação – entre eles o sócio-diretor da Clavis, Bruno Salgado – para entender como a disputa por talentos afeta a área, que passou a ver seus profissionais serem assediados por empresas de vários setores sem relação direta com a segurança, dentro e fora do Brasil.

Para além da disputa, em si, a principal explicação para o aumento na busca por mão-de-obra especializada em cibersegurança é, obviamente, a demanda causada pela evolução (em números e em sofisticação) dos incidentes cibernéticos.

Na última edição do relatório “Global Fraud & Risk Report”, a empresa de cibersegurança Kroll identificou um aumento significativo em fraudes e incidentes cibernéticos ocorridos em 2016. Entre os executivos ouvidos pela empresa, 82% afirmaram que suas companhias sofreram algum tipo de fraude – para efeitos de comparação, em 2015 eram 75%, e em 2013, 70%.  

No Brasil a situação é ainda mais séria; um relatório da CompTIA revelou que 90% das organizações enfrentaram pelo menos um incidente de segurança no último ano e 75% tiveram dificuldade de lidar com uma ou mais violações de dados mais sérias.

São apenas alguns dos dados que reforçam a necessidade de investimentos em equipamentos, processos e pessoal especializado capazes de prevenir, detectar e responder a esses riscos.

No lado da mão-de-obra, no entanto, a dificuldade de encontrar os recursos necessários para responder a esses desafios só faz crescer: para Rogério Reis, sócio da empresa de segurança Arcon, até 2020 faltarão 2 milhões de profissionais de segurança no mundo, o que obviamente deve aumentar ainda mais a disputa por talentos.

E no caso do Brasil, que não está no melhor momento econômico, as empresas ainda têm que enfrentar o assédio de corporações do exterior: “Como a demanda por profissionais é global, a atratividade da carreira internacional aumenta muito”, segundo afirmou Paulo Breitenvieser, diretor de segurança da Cisco, para o Valor Econômico.

Para Bruno Salgado, da Clavis, uma saída é a terceirização, o que nas organizações está sendo chamado de estratégia “1 para 1”: “um time de segurança híbrido em que para cada profissional celetista a empresa contrata um terceirizado” o que, segundo ele, “é o melhor de dois mundos, porque dá uma capacidade de resposta rápida em momentos de baixa ou alta demanda de trabalho”.

Mas empresas que buscam profissionais de nível executivo, com perfil de gestor, enfrentam outros desafios. A demanda por esses profissionais aumentou juntamente com as ameaças, mas diferentemente de outras empresas onde a preocupação é com a escassez de profissionais o desafio aqui é encontrar o perfil correto e definir o papel que esses profissionais têm na organização, a exemplo do que acontece em outros países como os EUA onde os processos e organogramas são mais organizados.

Buscando novos perfis

O artigo “Cresce a busca por executivos de segurança”, também publicado no jornal Valor Econômico mostra que, em geral, esses profissionais têm curso superior em tecnologia e certificações na área de segurança, mas para Rogério Reis, da Arcon, o escopo da segurança é multidisciplinar e tem intersecções com outras áreas; por isso ele destaca que além das habilidades técnicas e de desenvolvimento, outras capacidades como a gestão de negócios vêm sendo consideradas na contratação de profissionais que podem vir a se tornar executivos.

Empresas como o Itaú Unibanco, por exemplo, estão buscando profissionais que, mais do que habilidade técnica, tenham, nas palavras do superintendente de segurança Nelson Novaes Neto,  “espírito empreendedor e flexibilidade para se adaptarem aos cenários que se transformam constantemente”. Atualmente a equipe de Novaes têm vagas abertas para perfis distintos como arquitetura de segurança, engenharia de segurança entre outros. Ele diz que a empresa vem estimulando a formação e especialização dos colaboradores, além de permanecer atenta a novos talentos internos.

Em outro exemplo de tentativa de formar novos profissionais e gestores, a Cisco investe na formação interna em programas de treinamento como o “Alugue um CSO”, em que coloca seus especialistas em segurança para trabalhar em clientes objetivando vivenciar o dia-a-dia das empresas. Para o diretor de segurança da empresa, Paulo Brietenvieser, o profissional de segurança – que já teve um perfil mais “geek”, está se transformando numa “ponte entre o lado técnico e a necessidade dos negócios.

É claro que as certificações e cursos continuam tendo papel importante no mercado, mas não são consideradas essenciais. Bruno Salgado lembra que “os títulos são importantes, mas não garantem que o profissional seja um bom gestor”. O desempenho passado – especialmente nos níveis operacionais – é a melhor forma de avaliar a qualidade de um especialista na área.


Abertura Call For Papers (CFP) da Bsides SP – 20 e 21 de Maio de 2017

programming-593312_640
Está aberta a chamada de trabalhos (CFP) para a próxima edição da BSides São Paulo, que ocorrerá no final de semana dos dias 20 e 21/Maio de 2017.
O evento segue hospedado no Campus Consolação da PUC-SP e com seu formato tradicional (primeiro dia com mini-treinamentos a tarde e segundo dia com grade completa de atividades).
Os detalhes sobre o Call For Papers e o link para o formulário de submissão de propostas estão na página abaixo:
Datas principais:
O deadline para submissão de propostas de atividades é 17/04.
A agenda será divulgada no dia 21/04.
Inscrições serão abertas no dia 21/04.
Participem! Contribuam! Colaborem! Sejam todos bem-vindos!
-Anchises

Octopus: Conheça a ferramenta de Análise de Segurança Orientada por Dados da Clavis

octopus-v2

No fim de 2016 o diretor de soluções industriais da MapR Technologies, Dale Kim, publicou um artigo no site HelpNet Security em que discorria sobre as transformações causadas pelo Big Data na segurança da informação. Segundo Kim, as abordagens tradicionais de cibersegurança tenderão a se tornar cada vez menos eficientes em uma realidade de crescente sofisticação dos ciberataques combinada com uma quantidade massiva de dados sendo criados a todo momento em corporações – segundo a IBM, até 2020 haverá aumento de 42% na quantidade de dados gerados na rede.

Neste cenário, ferramentas de análise de segurança orientada por dados tendem a ser mais eficientes na detecção de qualquer anomalia relacionada à segurança da informação do que os tradicionais sistemas de gestão de eventos de segurança da informação (SIEM). E o mercado já estaria se adaptando a esta nova realidade, segundo Kim: no artigo ele cita outro estudo  que projeta um incremento de mais de 27% nos investimentos nessa área até 2021.

A Clavis Segurança da Informação oferece um serviço de análise e integração de fontes de dados, correlação inteligente de eventos e monitoramento de ameaças baseado em uma ferramenta própria, o Sistema Octopus – Análise de Segurança Orientada por dados (DDS).

Com o Octopus o cliente tem acesso a uma central de gerenciamento que permite monitorar em tempo real os eventos relevantes do ponto de vista da Segurança, auxiliando na tomada de decisão com eficência operacional e redução de custos e riscos. Ele permite a definição de regras personalizadas, cuja violação implicaria em um cenário de alerta. Tais regras podem ser definidas com base em políticas de segurança, normas e padrões internacionais ou critérios definidos pelo cliente com base em sua própria experiência.

Entre suas características estão o monitoramento dinâmico (comportamento dos usuários, surto de eventos, etc), a combinação de diferentes fontes de informações públicas para detecção de novas ameaças, o correlacionamento inteligente de eventos, a manipulação de dados complexos em bases armazenamento não relacionais, a análise de segurança retrospectiva, além de escalabilidade, resiliência e eficácia.

Saiba mais sobre, Big Data, Análise de Segurança Orientada por Dados e sobre o Octopus:

  • No SegInfocast #31 o especialista em Segurança da Informação da área de Pesquisa, Desenvolvimento e Inovação da Clavis, Rodrigo Montoro (@spookerlabs), conversou com o apresentador Paulo Sant´anna sobre o Octopus – as motivações para seu desenvolvimento, suas funcionalidades e benefícios.
  • Aqui, nós publicamos uma lista dos melhores livros sobre Monitoramento de Redes, BigData e SIEM.
  • Um relatório global criado por iniciativa conjunta da CIO, da CSO e da Pricewaterhouse Coopers mostra como a computação em nuvem e a análise de grandes volumes de dados (big data) estão se consolidando como uma parte fundamental das estratégias de segurança da informação das empresas.
  • Como uma nova modalidade de “SIEM como serviço” está atraindo pequenas e médias empresas