Nova norma ABNT estabelece critérios para Segurança em Serviços em Nuvem

Está em fase de Consulta Nacional a próxima norma referente à segurança da informação, a ABNT NBR ISO/IEC 27017 que estabelece um “Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem”.

Disponibilizado no último dia 6/Maio em Consulta Nacional, a norma deve receber os últimos ajustes e sugestões até dia 06/Junho para a seguir ser publicada como norma oficial pela ABNT.

A nova norma trata sobre controles de segurança para a prestação de serviços em nuvem, tanto para clientes quanto para fornecedores, indicando pontos de controles, políticas e requisitos de segurança a serem adotados por ambos os lados.

Como é baseada na ABNT NBR ISO/IEC 27002, muitas partes do texto fazem referência à mesma, então é aconselhável fazer a leitura em conjunto para um melhor entendimento.

Os principais temas tratados nesssa norma são:

  • Gestão de Ativos
  • Gestão de Fornecedores
  • Segurança Física
  • Criptografia
  • Monitoramento
  • Continuidade dos Negócios

Recomendamos a leitura e aplicação da norma para os provedores de serviços e clientes já usam ou pretendem usar serviços críticos em nuvem. Para ter acesso a essa versão prévia na íntegra basta se cadastrar no portal de Consulta Nacional da ABNT nesse link e buscar a norma dentro do CB-21.

 

 

Sobre o autor
Fernando Ulisses dos Santos
Diretor de P&D na Blue Solutions e Business Monitor
Especialista em Segurança da Informação
Certificado VCAP-DT

 

 

 

Leia também:

Oito grandes problemas com a computação na nuvem

O que é computação em nuvem e quais os principais tipos?

Avaliação de Plataformas em Nuvem: Microsoft Azure vs Amazon AWS vs Google Cloud vs Oracle Cloud

Qual provedor de Computação em Nuvem vai fazer chover primeiro? Office 364 ou AmazOff? Uma crítica sobre Computação em Nuvem

A nuvem pode ficar mais cara

Read More

Novos Ataques preocupam especialistas em Segurança da Informação

Uma nova forma de ataque tem preocupado os especialistas e deveria preocupar o cidadão comum também.

Nesses ataques, o simples fato de abrir um e-mail ou site malicioso, sem necessariamente clicar em um link, fazer um download ou instalar algum executável é o suficiente para redirecionar o tráfego do usuário para sites indesejados.

O ataque

Nessa nova modalidade, em um e-mail por exemplo, são invocados endereços de imagem apontando para endereços de roteadores locais dos usuários, com o objetivo de trocar a configuração dos mesmos. Num código HTML ficaria assim:

<img src=”https://192.168.0.1/?setDNS=8.8.8.8″>

Nesse exemplo, ao tentar carregar essa imagem, o computador do usuário trocaria a configuração de DNS do roteador no IP 192.168.0.1 para o IP 8.8.8.8 (endereços fictícios e não nocivos).

Esse exemplo foi bem simples e específico, mas um mesmo e-mail pode conter centenas ou até milhares de URLs de diversos modelos de roteadores, contendo inclusive senhas padrões para os ataques. Veja um exemplo de código fonte malicioso aqui (CUIDADO).

Essa característica presente em diversos roteadores domésticos e até alguns profissionais, permite que configurações sejam alteradas apenas pela chamada de uma URL e é chamado de Cross-site Request Forgery ou apenas referenciado pela sigla CSRF e é bem comum em diversos equipamentos.

Esse ataque não é possível em sites de bancos por exemplo, pois normalmente não estamos logados no mesmo por muito tempo (a sessão expira rapidamente), e mesmo quando estamos, é comum o banco pedir uma segunda senha a cada transação realizada.

Consequências

Para o ataque ser bem sucedido, basta o usuário abrir um site ou e-mail com o código malicioso, se bem feito o ataque, não aparecerá nenhuma mensagem de erro ou imagem quebrada.

Assim que o usuário reiniciar seu computador ou reconectar nessa rede, receberá a nova configuração de DNS do roteador e passará a fazer as consultas por lá. Dificilmente perceberá algum problema, no máximo um pouco de lentidão, mas a partir daí as chamadas para sites de bancos por exemplo podem ser roteadas para sites mantidos pelos criminosos de forma transparente.

Porque isso acontece?

Para o ataque funcionar, o roteador precisa estar configurado com usuário e senha padrões. Caso o ataque seja feito contra algum roteador com senhas definidas pelo usuário, uma caixa de autenticação aparecerá para o usuário, ainda assim o ataque pode ter efeito, se a senha estiver gravada no computador do usuário e o mesmo simplesmente confirmar a autenticação.

Alguns roteadores mais antigos (e bastante populares) permitem a alteração de configurações sem necessariamente autenticar o usuário, esses são os mais perigosos e uma saída alternativa seria trocar o IP padrão dos mesmos.

Como evitar?

Nossa recomendação para evitar esse tipo de ataque é trocar imediatamente a senha padrão dos roteadores.

Também, onde possível, trocar o endereço IP padrão dos mesmos e atualizar o firmware.

Dentro de empresas, evite usar os equipamentos domésticos para esse tipo de serviço, principalmente roteadores Wireless. A maioria deles possui vulnerabilidades conhecidas e não tratadas pelos fabricantes como pode ser visto nesse site, contendo mais de 60 vulnerabilidades, ou se tratadas, precisam de atualização de firmware para serem aplicadas.

Matéria publicada originalmente no site TI Especialistas
Sobre o autor
Fernando Ulisses dos Santos
Diretor de Tecnologia na Blue Solutions
Especialista em Segurança da Informação
Certificado VCP-DCV, VCAP-DT, VCP-DT
Fernando Ulisses dos Santos
Read More

Sua empresa já usa Shadow IT?

Alguns estudos indicam que num futuro próximo o CMO terá mais verba de TI do que o CIO, enquanto outros indicam que já estamos em período de transição.

Isso se deve principalmente pela falta de capacidade do CIO e da TI como um todo de atender as necessidades dos negócios.

Outros departamentos, além do marketing e até mesmo os próprios usuários, tendem a buscar soluções alternativas dentro de um ambiente corporativo quando a TI não é responsiva ao atender suas necessidades.

Algumas dessas iniciativas até trazem benefícios como o BYOD (Bring Your Own Device), mas junto vem os desafios de gerenciamento dos ativos, suporte aos equipamentos e segurança das informações.

Chamamos de Shadow IT ou Stealth IT todas as iniciativas de TI tomadas pelos próprios usuários ou departamentos, sem conhecimento, análise ou administração pela equipe de TI.

Por exemplo, quando o departamento de marketing resolve adotar uma nova ferramenta para disparo de e-mails pode instalar um software na rede local que prejudique o servidor de e-mail e a conexão da empresa, ou pode contratar um serviço de terceiro e ter problemas para fazer o disparo por falta de configuração de registros no DNS.

Até algumas ações dos usuários, como usar a conta do Gmail pessoal para uso profissional, ou armazenamento no iCloud ou Dropbox para arquivos da empresa são considerados como Shadow IT, e são um reflexo da TI da empresa não ter conseguido atender as necessidades de seus usuários.

Motivos

Isso acontece por diversos motivos, mas o principal é que a TI pode estar muito engessada, não estando preparada para responder as requisições rapidamente ou muito ocupada mantendo os sistemas legados no ar.

Também, se a TI possuir um ambiente onde a adoção de novos serviços e instalação de novos servidores demore meses, pode ser um motivador para que os usuários busquem por si só as soluções e acabem contratando e usando os mesmos serviços que usam na sua vida pessoal para resolver seus problemas corporativos.

Problemas

É de se esperar que essa adoção de tecnologias sem integrações e planejamento gere problemas para o departamento de TI e para a empresa como um todo, os mais críticos são:

  • Quebra de Conformidade – para empresas que tem obrigações legais de conformidade, como financeiras ou de saúde, expor dados sensíveis de clientes pode levar a multas e restrições por órgãos reguladores.
  • Desperdício de recursos – a contratação isolada de recursos na nuvem pode trazer altos custos diretos (como as faturas) e indiretos (como uso de links), sendo que se fosse feita uma contratação em um único fornecedor com um único contrato seria possível ter ganhos de escala, além do planejamento para uso de links e integrações.
  • Risco de perda de dados e vazamento de informações – em muitos serviços na nuvem o backup ou redundância é contratado a parte e o usuário comum pode não ter conhecimento disso. Também, se a transmissão e acesso não for feita de maneira adequada, pode expor dados sensíveis a acesso indevido.
  • Afeta o departamento de TI – no final, quando precisar de algo mais avançado o usuário vai buscar pela ajuda do departamento de TI. Por ser uma iniciativa não estudada e conhecida anteriormente, irá necessitar de mais horas do que o normal para diagnóstico e solução.

Os problemas extremos

Os casos mais extremos que já observamos foi a compra de equipamentos e sua instalação na rede sem conhecimento da equipe de TI.

Alguns casos mais inocentes como a compra de impressoras jato de tinta para atender um determinado departamento ou diretor, afeta os custos com impressão e pode demandar suporte da TI para instalação e manutenção do novo equipamento.

Outros casos extremos, como a instalação de Access Point Wireless, podem habilitar serviços DHCP que afetam o funcionamento das estações nas proximidades, conflitar IP com algum servidor crítico ou até expor a rede da empresa para invasores usando protocolos fracos de autenticação ou mesmo autenticação nenhuma.

Como evitar

A melhor forma de evitar que os próprios funcionários tomem iniciativas de TI é se a equipe de TI tiver tempos de resposta adequados ao negócio e for um facilitador de tecnologias, ao invés de um burocrata ou complicador que só fala em termos técnicos.

Os executivos de TI devem se aproximar de outros executivos e indicar possibilidades de uso da tecnologia para algumas operações. Também devem permitir aos demais executivos serem co-responsáveis pelo uso de tecnologias, permitindo inovação e redução de custos.

As principais sugestões de ações a serem adotadas são:

  • Liberar a TI de trabalhos repetitivos e que não agregam valor ao negócio, permitindo a mesma focar a tecnologia a favor do negócio.
  • Ser um facilitador entre tecnologia e negócios, orientando os usuários na adoção e tomando a frente nas iniciativas para colocar a tecnologia a serviço do negócio.
  • Buscar no mercado e estudar as plataformas sugeridas pelos usuários para realização de tarefas não específicas do negócio, como e-mail marketing, hospedagem, etc.

Desafios

A parte mais difícil é gerir os custos compartilhados. Em muitas empresas a TI tem um orçamento próprio e é visto como centro de despesas apenas. O ideal é a TI conseguir mensurar por departamento seus custos e compartilhar as decisões de investimento com os mesmos.
A segurança também é um fator a ser considerado, devem-se estudar quais dados serão usados fora da empresa, como serão transportados e armazenados.
Se a equipe de TI está sempre ocupada, pode ser a hora de terceirizar algumas operações que não são do negócio e principalmente se exigem alto conhecimento técnico. Empresas de serviços gerenciados de TI ou serviços gerenciados de segurança são uma opção.

Conclusão

Por fim, não recomendamos que a TI seja contra esse movimento, pelo contrário, se você encontrar ações dessa natureza na sua empresa, veja no que é possível ajudar na adoção e integração das mesmas.

É importante também adotar plataformas de gerenciamento, integração e documentação dos processos.

Por exemplo, o usuário do marketing deve usar uma conta corporativa (marketing@empresa.com.br) para cadastro na ferramenta de e-mail marketing e não sua conta pessoal.

Também, fazer o uso de virtualização de servidores com ferramentas de gerenciamento de Cloud integradas é uma boa opção, pois fornece escalabilidade rápida e facilidade, ao mesmo tempo que mantém a gerência centralizada.

No final, garantir a segurança dessas iniciativas, e não baní-las.

Enfim, que venha a mudança.
Sobre o autor
Fernando Ulisses dos Santos
Diretor de Tecnologia na Blue Solutions
Especialista em Segurança da Informação
Certificado VCP-DCV, VCAP-DT, VCP-DT
Fernando Ulisses dos Santos
Read More

Dell divulga Relatório de Tendências em Segurança da Informação: crescem ataques a pontos de venda e malwares

Estudo analisa os ataques mais comuns observados em 2014 e como as ameaças crescentes vão afetar as organizações ao longo de 2015.

A Dell, uma das maiores fornecedoras de soluções de TI do mundo, anunciou os resultados do Relatório Anual de Ameaças. O estudo se baseou em pesquisas realizadas, ao longo de 2014, pelo Dell GRID (Global Response Intelligence Defense) e nos dados de tráfego de rede dos equipamentos Dell SonicWALL. A partir das informações, colhidas em mais de 200 países – incluindo o Brasil -, a empresa mapeou os principais riscos à segurança da informação a que as empresas ficaram expostas no último ano, bem como quais as grandes tendências para 2015.

Entre as principais conclusões, o relatório identificou o surgimento de novos malwares (códigos maliciosos) voltados aos equipamentos usados em pontos de venda, um aumento do tráfego de códigos maliciosos dentro de sites criptografados (https), bem como detectou que, ao longo do último ano, dobrou o número de ataques a sistemas SCADA (para supervisão e aquisição de dados).

“Atualmente, praticamente toda empresa está ciente de que os riscos à segurança da informação existem e que eles podem trazer consequências catastróficas para as organizações”, afirma Vladimir Alem, Gerente de Produtos de Segurança da Dell para América Latina. “No entanto, os ataques tem crescido em volume e em sofisticação e, o pior, vêm afetando companhias em todo o mundo, independentemente do seu porte ou segmento de atuação. O que mostra que, apesar de terem consciência dos perigos, as empresas ainda não têm tomado contra medidas adequadas para evitar a atuação de cibercriminosos”, acrescenta.


Mais empresas expostas a ataques em sites que utilizam protocolo HTTPS

Por muitos anos, as instituições financeiras e outras empresas que lidam com informações sensíveis optaram pelo protocolo web HTTPS, que criptografa as informações compartilhadas. Mais recentemente, sites como Google, Facebook e Twitter passaram a adotar essa prática, em resposta a uma demanda crescente pela privacidade e segurança do usuário. “Inclusive o Google em seu serviço de busca, vem ranqueando positivamente os sites, que usam este tipo de tecnologia”, complementa Alem.

Embora essa mudança para um protocolo mais seguro para os sites seja uma tendência positiva, os cibercriminosos têm identificado maneiras de explorar falhas dentro do HTTPS com o objetivo de ocultar códigos maliciosos. Na prática, os criminosos virtuais usam a criptografia para trafegar os malwares e, assim, burlar os firewalls tradicionais.

O relatório aponta que os ataques de malware que utilizam sites criptografados já começaram a visar ambientes com grande tráfego de usuários. Como exemplo, em dezembro de 2014, uma página da Forbes foi sequestrada por hackers chineses para distribuir malwares durante três dias.

“Gerenciar ameaças contra o tráfego da web criptografado é complicado. Assim como a criptografia pode proteger informações financeiras ou pessoais sensíveis na web, ela infelizmente também pode ser usada pelos cibercriminosos para proteger um malware”, alerta o Gerente de Produtos, que aconselha: “uma forma de reduzir esse tipo de risco é através de restrições em navegadores de web baseados em SSL, aplicando exceções para aplicações de negócios mais comuns, com o intuito de evitar a perda de produtividade da empresa”.


Dobram ataques a sistemas SCADA

O relatório aponta para um aumento de 100% nos ataques voltados a sistemas SCADA (para supervisão e aquisição de dados), normalmente usados pela indústria para controlar equipamentos a distância e recolher dados sobre o desempenho dos mesmos. O principal ponto para esse tipo de ataque são as vulnerabilidades geradas por sobrecarga.

Na maior parte dos casos, os ataques tendem a ter uma natureza política, com o intuito de afetar a capacidade de operação de usinas de energia, fábricas e refinarias. Os especialistas em segurança da Dell que elaboraram o relatório apontam que esse tipo de ataque tende a crescer nos próximos anos. “Ainda não vemos regionalmente muitas notícias sobre esse tema, mas, as empresas precisam ficar atentas para esses dados – o número de ataques dobrou em apenas um ano”, analisa Vladimir.

Alerta para o varejo: ataques aos pontos de venda

Segundo os dados do Relatório Anual de Ameaças da Dell, em 2014, o setor de varejo foi um importante alvo de cibercriminosos, por conta de várias ameaças voltadas aos pontos de venda e que expuseram milhões de consumidores a negociações fraudulentas e colocaram em risco suas informações pessoais. No entanto, esse tipo de ataque tem crescido em vários segmentos da indústria.

Ao todo, a equipe de pesquisa de ameaças da Dell SonicWALL identificou 13 tipos de malwares em pontos de venda em 2014, contra apenas 3 em 2013. O que reflete em um aumento de 333% no número desse tipo de código malicioso.

Previsões para 2015

O Relatório de Ameaças da Dell também identificou as seguintes tendências e previsões para 2015:

• Mais organizações vão usar políticas de segurança que incluem a autenticação de dois fatores. Por outro lado, deve haver um incremento nos ataques contra esse tipo de tecnologia;

• O Android continuará a ser um alvo de cibercriminosos, com aumento de malwares e técnicas mais sofisticadas de ataques;

• À medida em que as tecnologias vestíveis se tornem mais difundidas, devem começar a surgir os malwares voltados a esse tipo de dispositivo;

• Moedas digitais, incluindo Bitcoin, continuarão a ser alvos de ataques:

• Os roteadores domésticos e equipamentos conectados, como sistemas de vigilância, serão alvos e vetores para grandes ataques DDoS.

Faça o Download do Relatório Completo!

Fonte: Segs, por Mathias Simon.

Read More

2014 foi o ano da Insegurança, 2015 será o ano da Segurança da Informação?

Todo início de ano aparecem especialistas indicando as tendências de mercado, principalmente em TI e sempre citam que naquele ano a Segurança da Informação será prioridade para as empresas. Quem previu isso em 2014 errou feio.

O último ano ficou marcado como o ano em que os sistemas de informação provaram ser inseguros por natureza, com múltiplas vulnerabilidades sendo expostas e afetando quase todos os sistemas operacionais e fornecedores.

Entre as falhas mais graves, podemos citar:

Falha na biblioteca OpenSSL, que permitia que conexões criptografadas pudessem ser expostas, afetou a maioria dos sistemas operacionais Linux e BSD e consequentemente grandes fornecedores como Facebook, Tweeter, Amazon e aplicativos da Oracle, IBM, VMware e muitos outros. Cogitou-se que NSA já conhecia essa vulnerabilidade e a utilizava para espionar conexões criptografadas e supostamente seguras.

Vulnerabilidade no bash, responsável pelo acesso shell e scripts no mundo Linux/Unix. Permitia que um usuário com um pouco de acesso escalasse privilégios, afetando grandes provedores de nuvem e praticamente todas as instalações Linux e Mac. Afetou grandes provedores de nuvem como Amazon, Facebook, Tweeter, forçando o reboot de todos os servidores para aplicar as correções. Também afetou versões do Android e iOS.

Vulnerabilidade no Windows permitia infecção de vírus por arquivos do PowerPoint. Normalmente inofensivos e conhecidos por não portar vírus, os arquivos .ppt foram alvo de criminosos para infectar computadores e ter acessos privilegiados.

  • NTP
Várias falhas no protocolo NTP (CVE-2014-9293, CVE-2014-9294, CVE-2014-9295, CVE-2014-9296, CVE-2014-9297, CVE-2014-9298)  permitiam diversos acessos indevidos, desde amplificação de ataques DDoS, até vazamento de informação e possível travamento do serviço de ajuste de hora usado em servidores e roteadores.
Vazamento de fotos privadas de várias celebridades, normalmente nuas. No início foi atribuído a uma falha de segurança no iCloud (serviço de hospedagem e backup da Apple), mas nenhuma evidência foi encontrada e a possível explicação foi devido a senha fraca nos dispositivos dos usuários, apesar de isso ser uma enorme coincidência.

Vazamento de dados de grandes empresas americanas, totalizando mais de 100 milhões de números de cartão de crédito expostos. Também na Sony, dados de clientes e funcionários foram expostos devido a invasões.

Mais algumas vulnerabilidades são explicadas nesse resumo do CAIS, entre elas a vulnerabilidade Poodle.

Como começou 2015

Esse ano não se mostrou diferente, uma vulnerabilidade no software Samba, usado em servidores Linux para acesso de estações Windows permitia acessar os arquivos sem autenticação, afetando algumas distribuições.

O mais recente FreakAtack ou CVE-2015-0204 permite que conexões sobre SSL (https) sejam descriptografadas, dependendo claro de uma série de fatores, incluindo sistemas desatualizados, tanto de servidores, quanto de clientes, e acesso em redes frágeis, com o acesso a um HotSpot WiFi em um café, restaurante ou aeroporto. Sites grandes como o 4shared.com, bloomberg.com, mit.edu, tinyurl.com, groupon.com, entre outros, foram afetados colocando em risco os dados de milhões de internautas.

O que mais será de 2015?

Não se espera nada diferente para esse ano, com os sistemas cada vez  mais complexos, mais dados acumulados nas bases de dados das empresas, maior velocidade de conexão entre as redes e a falta de investimentos em segurança da informação a tendência é continuar igual ou piorar.

Pior que a falta de investimentos, são os investimentos feitos em coisas erradas.

O que fazer no futuro?

Para evitar que sua empresa faça parte dessa estatística, é importante efetuar os investimentos adequados, mas não apenas comprar novos firewalls, IDS/IPS ou antivírus, mas também investir em processos e pessoas.

As principais ações que podemos listar são:

  • Cuidar de processos de Segurança da Informação

    Criar uma Política de Segurança da Informação, criar um modelo de Análise de Riscos, aplicar continuamente a Análise de Riscos, mitigar os riscos encontrados em um ciclo PDCA, criar planos de Contingência de Negócio, estudar a viabilidade e executar um Plano de Recuperação de Desastres deveriam ser focos de investimentos, normalmente não custa nada em termos de aquisição de equipamentos ou ferramentas, apenas em tempo.

    • Treinar as Pessoas

      Como parte do processo, o treinamento deve ser algo constante. A maioria dos ataques parte de agentes internos, mas mesmos os externos podem ter auxílio por descaso ou desconhecimento de agentes internos. Ensinar as pessoas a ficarem atentas para sinais de possíveis fraude, a não divulgar sua senha para terceiros, não clicar em links suspeitos, não divulgarem informações para desconhecidos por telefone é um passo gigante rumo a segurança da informação.

      • Resposta Rápida a Incidentes

      As empresas devem ser capazes de reagir rapidamente a novas ameaças, ter um Grupo de Resposta a Incidentes é o caminho mais natural. Se não puder fazer esse investimento, pode contratar uma empresa terceira para essa operação, normalmente um MSSP. Esse grupo fica responsável por monitorar as principais ameaças que são divulgadas em aplicativos e validar se elas aplicam ao ambiente da empresa, em caso positivo, ações de mitigação dos riscos são tomadas rapidamente.

      • Trabalhar a Confiança entre os Ativos e Processos

      Uma forma de proteger os ativos e processos é estabelecer uma baixa relação de confiança entre eles, isto é, um sistema não deve considerar que as informações que vieram de outro como sempre corretas, e deve fazer sua própria validação de segurança da mesma, isso em sistemas automatizados e mesmo manuais. Isso é muito bem tratado no framework OSSTMM, o Open Source Security Testing Methodology Manual da ISECOM.

      Conclusão

      Enfim, depende de cada empresa e de cada indivíduo garantir que aquele ano vai ser o ano de segurança da informação para si próprio, o investimento em tecnologia está longe de ser a solução correta, pois como já se mostrou no passado, novas tecnologias trarão novas falhas e vulnerabilidades.

      Criar um plano de melhoria contínua para segurança da informação é com certeza a melhor saída. Como já disseram, é preciso fazer segurança, e não comprar segurança.

      E você, acha que existe mais alguma contra medida que vale a pena ser adotada? Deixe seu comentário.

      Sobre o autor
      Fernando Ulisses dos Santos
      Diretor de Tecnologia na Blue Solutions
      Especialista em Segurança da Informação
      Certificado VCP-DCV, VCAP-DT, VCP-DT
      Read More