11 ferramentas de segurança ofensiva para profissionais de TI

Ferramentas de segurança ofensiva são de grande valia para profissionais de segurança uma vez que permitem testar e demonstrar vulnerabilidades em sistemas. Profissionais de TI também podem se beneficiar dessas ferramentas usando-as tanto no incremento da capacidade de defesa dos sistemas quanto na identificação de ataques, em caso de incidentes.

O site HackerTarget.com listou 11 ferramentas de segurança ofensiva (a maioria delas open source), e incluiu – para cada uma delas – as principais formas de mitigação e defesa contra seu uso.

Entre as ferramentas está o Metasploit Framework, ferramenta de código aberto usada em testes de invasão (pentests), bastante conhecida da comunidade de segurança. O framework consiste em uma série de ferramentas, exploits e códigos que podem ser utilizados através de diferentes interfaces, e é tema de um dos cursos da Academia Clavis.

Outras ferramentas listadas são o Ettercap (uma suite de ferramentas para ataques do tipo Man In the Middle – MITM), o sqlmap (ferramenta para ataques do tipo SQL injection) e o aircrack-ng – suite de ferramentas para ataques a redes sem fio.

Veja a lista completa neste link.


[Cyber Cultura] Sistemas industriais na Internet

O pessoal do projeto Shodan disponibilizou um mapa-mundo com os sistemas industriais conectados na Internet. O problema é grave: diversas empresas colocam seus sistemas industriais, equipamentos automatizados e dispositivos IoT expostos na Internet, muitas vezes sem os controles mínimos de segurança. Em 2013 o pessoal da CNN fez um slideshow apresentando os dispositivos mais críticos expostos

Pesquisa mostra benefícios do ISO 27001 para a segurança da informação nas corporações

iso-27001_face

Uma pesquisa conduzida pela empresa de consultoria britânica IT Governance trouxe dados sobre o impacto da implantação da norma ISO 27001 na postura das organizações em relação à segurança da informação. O estudo aponta que a implementação da norma traz benefícios além da melhora na segurança, porém gestores ainda encontram dificuldade em justificar o investimento.

Entre os motivos para buscar a certificação, quase 70% dos pesquisados mencionaram ter implantado o padrão para melhorar a postura da empresa no que se refere à segurança, mas 67% disseram tê-lo feito também por exigências do mercado no qual atuam; 56% consideraram a melhoria na competitividade da empresa como um motivo para a implementação do padrão.

Mais da metade dos participantes relataram dificuldades para convencer o corpo de diretores sobre a importância da segurança da informação ou para garantir o orçamento e recursos necessários para implantar o padrão.

Mas 55% deles afirmaram ter encontrado melhorias na segurança de toda a organização após a adoção; 11% enxergaram melhora na reputação da empresa no mercado e 8% afirmaram ter percebido melhoras na competitividade.

A norma ISO 27001 compreende um conjunto de padrões para sistemas de gestão da segurança da informação (SGSI) e foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar esses sistemas. Dessa forma, oferece benefícios para a postura de uma organização no que se refere à SI.

Para os profissionais interessados na certificação, a Academia Clavis oferece o curso Information Security Foundation, em parceria com a EXIN. O curso é o ponto de partida para as certificações Security Management Advanced e Information Security Management Expert. Todos são baseados no padrão ISO/IEC 27000. Saiba mais aqui.


[Cyber Cultura] Buzzword: Economia Digital

Se existe uma "buzzword das buzzwords", é a tal "Economia Digital", ou "4ª Revolução Industrial", que prega que nossa sociedade e economia estão baseadas na mobilidade, na computação em nuvem e, agora, também na Internet das Coisas. Nesse novo ambiente, os consumidores exigem que os serviços estejam disponíveis a todo o momento, 24x7, utilizam frequentemente as redes sociais para interagir com

[Segurança] Qual é a senha do seu celular?

O que você faria se a sua vida dependesse da sua esposa desbloquear o seu celular? O pessoal da Porta dos Fundos tem um vídeo ótimo sobre isso, chamado de "Senha".. O vídeo é um pouco antigo, de 2014, mas vale a pena ver ou rever - e, eventualmente, utlizar em uma campanha de conscientização para usuários finais, lembrando que  devemos proteger as informações armazenadas em nossos celulares.

[Segurança] As líderes no mercado de segurança

Segundo dados divulgados recentemente pelo Gartner, cinco empresas lideram o mercado mundial de softwares de segurança, que movimentou US$ 22,1 bilhões em 2015. Mais de um terço (37,6%) desse do mercado está concentrado em apenas cinco fabricantes: Symantec, Intel (dona da McAfee), IBM, Trend Micro e EMC (dona da RSA). Em termos de faturamento em 2015, s empresas se dividiram da seguinte forma:

Clavis oferece vaga para contratação imediata na área comercial

vendedor_face

A Clavis Segurança da Informação divulgou, na última semana, uma oportunidade para os profissionais da área comercial e de vendas interessados em fazer parte do seu time. A vaga é presencial, para atuação na sede da Clavis, no Rio de Janeiro, e a contratação será imediata, na modalidade CLT.

O candidato deve ter disponibilidade para viagens, e atuará no time de vendedores da empresa ofertando principalmente as soluções e treinamentos da Clavis Segurança da Informação. Entre as suas atividades estão a colaboração na prospecção de novos clientes e auxílio na atual expansão da empresa, abertura de mercado para venda das soluções em segurança da informação da Clavis e elaboração de propostas personalizadas que atendam às necessidades dos clientes.

A procura é por profissionais que já tenham atuado pelo menos uma vez em empresas que vendem serviços relacionados à área de segurança da informação. Também são necessários bom inglês técnico e domínio da língua portuguesa, experiência no mercado de Tecnologia da Informação e/ou Segurança da Informação, e habilidade em negociações.

Como benefícios a empresa oferece VT, TR, plano de saúde TOP com abrangência nacional e participação direta nos resultados das vendas.

Interessados devem enviar um currículo com pretensão salarial para o e-mail curriculo @ clavis.com.br mencionando “Vaga Comercial Clavis” no campo de assunto da mensagem.


[Cyber Cultura] A evolução do Mac

Fazendo uma pesquisa no Google Images, eu encontrei várias imagens interessantes sobre a evolução dos computadores da Apple. Algumas imagens eram mais simples e outras mais bem detalhadas, e resolvi compartilhar aqui aquelas que gostei mais.

Investimentos globais em Segurança da Informação devem ultrapassar os US$ 80 bi em 2016, segundo a Gartner

dolar_face

Em sua última projeção sobre o mercado de segurança da informação, a consultoria Gartner prevê que os investimentos em produtos e serviços de segurança chegarão a US$ 81,6 bilhões até o fim de 2016, montante que corresponde a um crescimento de 7,9% em relação ao total investido em 2015.

Atualmente, as categorias que mais recebem investimento são as áreas de consultoria e terceirização de TI, mas até o fim de 2020 devemos assistir a um aumento nos investimentos em segurança preventiva, especialmente em testes de segurança e prevenção de perdas de dados (DLP) – a empresa prevê que 90% das empresas devem implementar ao menos uma forma de DLP até 2018.

Também haverá maior adoção de soluções de gerenciamento de eventos e informações de segurança (SIEM) e gateways web seguros (SWGs), mas devemos ver uma combinação dessas soluções com estratégias de detecção e resposta.

Segundo a analista sênior da Gartner, Elizabeth Kim, “organizações estão focando em detecção e resposta porque uma abordagem preventiva por si só não consegue bloquear ataques maliciosos (…) nós recomendamos fortemente que as empresas equilibrem seus gastos para incluirem as duas coisas”.

Saiba mais neste link.

 


[Segurança] Como descobrem nossas senhas?

O pessoal do The Media Show, um grupo americano que faz alguns vídeos humorísticos sobre tecnologia com marionetes, tem um vídeo curto que mostra como alguém consegue descobrir as senhas de outras pessoas. Utilizando o cenário de uma festa aonde os convidados só podem entrar se apresentarem uma senha para o porteiro, um personagem que é o "penetra", consegue entrar várias vezes utilizando