Pesquisadores usam bugs para reduzir falhas em softwares

bug

A nova estratégia consiste em treinar ferramentas para encontrar vulnerabilidades nos sistemas

Pesquisadores desenvolveram uma técnica experimental que usa bugs para, acredite, reduzir a quantidade de falhas dos softwares. A ideia consiste em inserir uma quantidade conhecida de vulnerabilidades no código para entender quantos deles são descobertos por ferramentas que buscam brechas.

A partir dessa rotina, é possível analisar as razões que permitiram que aqueles bugs escapassem dos sistemas de detecção e, com isso, possibilitar que desenvolvedores possam criar métodos mais efetivos.

O modelo vem sendo testado por pesquisadores da Universidade de Nova York e do MIT, que criaram a técnica de baixo custo de adição de vulnerabilidades automatizadas em larga escala (Lava, na sigla em inglês).

“A única forma de avaliar um sistema que encontra bugs é controlar o número de bugs em um programa, o que é exatamente o que estamos fazendo com o Lava”, afirmou Brendan Dolan-Gavitt, professor de engenharia e ciência da computação na NYU.

A pesquisa revelou que as ferramentas de varredura eram pouco eficientes na detecção de falhas. Não apenas isso, esses sistemas encontravam problemas que não existiam, gerando um esforço desnecessário de limpeza para garantir a qualidade do código.

O time inseria nos programas um número conhecido que foi chamado de “vulnerabilidades sintéticas”, atributos que simulavam falhas. A ideia é que o avanço da pesquisa ajude a reduzir consideravelmente os custos de desenvolvimento de sistemas.

Fonte: IDG NEWS

Desenvolvedores insistem em códigos vulneráveis para criar softwares

dado

Mesmo sabendo que alguns desses pedaços de sistemas comprometidos, programadores os utilizam em aplicações corporativas

Empresas que desenvolvem software corporativos baixam, em média, mais de 200 mil componentes open source todos os anos. Um em cada 16 desses elementos vem com vulnerabilidades de segurança.

O contexto afeta a qualidade. Ao analisar 25 mil aplicações corporativas, foi constatado que 6,8% dos componentes usados possuem, no mínimo, uma vulnerabilidade.

Segundo a Sonatype, fornecedora de ferramentas para controlar o ciclo de vida das aplicações, esses componentes pegos junto a bibliotecas de terceiros contribuem com entre 80 e 90% da base de código de um software empresarial nos dias de hoje.

Esse é um indicativo preocupante da qualidade da cadeia de suprimento de sistemas, um problema que se torna pior a medida que as empresas aumentam os níveis de terceirização da criação de aplicações.

A Sonatype estima que uma empresa com cerca de 2 mil aplicações gastaria US$ 7,4 milhões para remediar apenas 10% dos defeitos e vulnerabilidades introduzidas por esses componentes afetados.

Práticas de gestão da cadeia de suprimento são comuns em diversas indústrias. A prática, talvez, devesse chegar ao setor de software, o que ajudaria a reduzir os custos de manutenção.

 Fonte: IDG NOW

Dez prioridades de segurança da informação, segundo o Gartner

Consultoria afirma que empresas precisam aprender a aplicar tecnologias emergentes a suas práticas de proteção e gestão de risco.

Consultoria afirma que empresas precisam aprender a aplicar tecnologias emergentes a suas práticas de proteção e gestão de risco.

Segurança da informação virou um ponto crítico para toda organização. Isso se intensifica a medida que a transformação digital puxa os investimentos em políticas e ferramentas de proteção e governança. De olho na evolução constante desse mercado, novas abordagens se fazem necessárias.

“As equipes devem se adaptar aos requisitos de negócios digitais emergentes e, ao mesmo tempo, estarem preparadas para lidar com um ambiente cada vez mais hostil”, observa Neil MacDonald, vice-presidente do Gartner.

Segundo ele, os profissionais de segurança precisam aprender a trabalhar com tendências tecnológicas se quiserem definir, alcançar e manter programas eficazes de proteção que ofereçam, de forma simultânea, oportunidades de negócios digitais com a gestão de riscos.

Veja os prontos prioritários na visão do especialista:

1. Agentes de segurança de acesso à nuvem – Os Cloud Access Security Brokers (CASBs) veem para ajudar profissionais de segurança a fazerem o controle do uso seguro, em conformidade com os serviços em nuvem de seus diversos provedores. Esse tipo de abordagem, segundo o Gartner, preenche muitos espaços em branco dos serviços cloud, permitindo aos líderes de segurança realizarem tarefas simultâneas.

2. Detecção e resposta de endpoints (EDR) – O mercado de soluções de EDR cresce rapidamente para suprir necessidades de proteção mais eficaz, detectando e reagindo de forma mais ágil diante de falhas. Essas ferramentas registram e armazenam informações relativas a diversos eventos. A consultoria aconselha pegar os indicadores coletados nessas ferramentas e processá-los a partir de sistemas analíticos, criando uma rotina mais eficiente de combate a falhas.

3. Abordagens sem assinatura para prevenção de endpoints – “As abordagens para a prevenção de malwares baseadas apenas em assinaturas são ineficazes contra ataques avançados e específicos”, afirma o Gartner. De acordo com MacDonald, novas técnicas de proteção e prevenção automatizada baseadas em aprendizado de máquinas tornam mais efetivos os mecanismos tradicionais de segurança.

4. Análise de comportamento – Usar práticas de análise de comportamentos permite que a empresa realize processos mais amplos de segurança. A correlação das análises de vários fatores, usuários e empresas, tornam os resultados mais precisos e a detecção de ameaças mais eficaz.

5. Microssegmentação e visibilidade do fluxo – Quando os ataques conseguem acessar os sistemas corporativos, eles podem se mover horizontalmente pela rede antes de serem detectados. Para resolver esse problema, o Gartner aponta a necessidade de criar uma segmentação mais granular do tráfego nas redes, com a possibilidade de aplicar criptografia isolada entre cargas de trabalho.

6. Testes de segurança para DevOps – A segurança precisa se tornar parte dos fluxos de desenvolvimento e operações. Justamente por isso, é preciso ficar atento ao surgimento de modelos e padrões para o estabelecimento de uma abordagem automatizada de DevSecOps.

7. Orquestração do centro de operações baseado em inteligência – Na visão do Gartner, um SOC inteligente precisa ir além das tarefas de defesa tradicionais, com uma arquitetura adaptada e com uso de componentes capazes de correlacionarem e darem respostas de acordo com contextos. Para isso, é importante desenvolver um modelo inteligente, suportado por automação e orquestração dos processos.

8. Navegador virtual – A maioria dos ataques começa com um malware entregue aos usuários finais via e-mail ou URLs infectada. Para mitigar esse risco, a consultoria aconselha a adoção de um “servidor de navegação”, que funciona localmente ou em nuvem. Ao isolar a função de navegação do resto do dispositivo e da rede da empresa, a ameaça fica fora do PC do usuário, reduzindo significativamente sua área de ataque ao deslocar o risco para as divisões do servidor, que podem ser facilmente reinicializadas a cada sessão de navegação, ou a cada abertura de uma nova página.

9. Deception – Essas tecnologias são definidas pelo uso de artifícios ou truques destinados a limitar os processos cognitivos do atacante, interromper suas ferramentas de automação, atrasar suas atividades ou evitar o progresso de seus ataques. Ferramentas desse tipo estão surgindo para redes, aplicativos, endpoints e dados. O Gartner prevê que, até 2018, 10% das empresas usarão ferramentas e táticas com tecnologia Deception contra invasores.

10. Serviços universais de segurança – A área de TI está sendo acionada para estender suas capacidades de proteção para a tecnologia operacional e para Internet das Coisas. Dessa forma, novos modelos devem surgir para entregar e administrar a confiabilidade em escala. Os serviços de segurança devem ser projetados para elevar e apoiar as necessidades de bilhões de aparelhos.

Fonte: Computerworld

Juniper Networks lança novo antimalware avançado

A Juniper Networks anuncia um avançado antimalware (software para proteger contra ameaças) que oferece proteção diária na nuvem, gestão de segurança redesenhada, e os mais recentes firewalls para rede de campus e filiais de empresa, como parte de sua nova arquitetura Juniper Networks Unite®. As mais recentes soluções de segurança incluem a prevenção de ameaças Juniper Networks® Sky Advanced Threat Prevention, Junos® Space Security Director e os Services Gateways da Série SRX, para fornecer aos clientes sofisticada proteção contra ameaças na gestão da segurança, automação e escalabilidadenecessária para se defender das ameaças em qualquer ponto da rede, sem prejudicar o seu desempenho. Esses avanços oferecerão melhor visibilidade da rede por meio de uma plataforma de gerenciamento simplificada e intuitiva, bem como assegurarão proteção dinâmica e total contra ameaças, com inteligência automaticamente distribuída na nuvem pelos firewalls SRX em todos os pontos da corporação.

A implantação de ações planejadas para impedir riscos cibernéticos (cyber risks), não é mais uma opção para as empresas — é uma necessidade — na medida em que as empresas enfrentam ameaças mais sofisticadas possibilitando a invasão de redes internas, burlando muitos dos métodos de segurança para sua detecção. Soluções de segurança que apenas detectam malwares (softwares maliciosos) já conhecidos e atividades suspeitas não são mais suficientes. As empresas enfrentam crescente demanda por acesso às informações críticas em qualquer lugar, a partir de dispositivos móveis e aplicações na nuvem, os quais trazem novos riscos para a segurança da rede. Como resultado, as empresas necessitam ter visibilidade em toda a rede e detectar as mais novas e perigosas ameaças aplicando a políticas de segurança que são dinâmicas e globais. A solução para esta difícil situação pode ser alcançada por meio de redes definidas por software.

A Juniper Networks está transformando a forma pela qual as empresas protegem e gerenciam suas redes com uma abordagem abrangente, aberta e simples. Esta abordagem permite executar uma política aberta para aplicações contando tanto com a colaboração dos feeds da Juniper ou de terceiros (third-party feeds) para ampliar a identificação de ameaças dinâmicas pelos firewalls físicos ou virtuais do gateway de serviços SRX.

Fonte: Risk Report

Governo não define onde ‘pendurar’ a Segurança da Informação

Autor: Luis Osvaldo Grossman

O governo parece confuso sobre o que fazer com as funções de segurança da informação e comunicações, que até a mais recente reforma ministerial ficavam com o Gabinete de Segurança Institucional. As tarefas foram primeiro deslocadas para a nova Secretaria de Governo, via Medida Provisória 696, em vigor. Nesta ultima sexta, 27/11, porém, um Decreto transfere a missão para a Casa Militar da Presidência.

O cargo de ministro do GSI foi um dos eliminados no rearranjo para a redução de ministérios. Ele e outros oito postos semelhantes foram extintos em 2/10, com a edição da Medida Provisória 696/15. Em seu artigo 3o, a MP lista entre as funções da nova Secretaria de Governo a “coordenação das atividades de inteligência federal e de segurança da informação”. Em essência, o comando sobre a Abin e o Departamento de Segurança da Informação e Comunicações.

O Decreto 8.577 indica, no entanto, que a presidenta Dilma Rousseff mudou de ideia. Ao formalmente extinguir o GSI e rearranjar a Casa Militar da Presidência, resgatou aquela função. Daí que “entre as atribuições da reestruturada Casa Militar está: (…) III – coordenar atividades de segurança da informação no âmbito da administração pública federal”.

Segundo o Decreto, que entra em vigor em 17/12, essa tarefa ficará alojada em uma nova “Assessoria Especial da Secretaria-Executiva do Conselho de Defesa Nacional”. Além de coordenar e supervisionar o Sistema de Proteção ao Programa Nuclear Brasileiro, a Assessoria Especial deve “coordenar a execução de ações de segurança da informação e comunicações no âmbito da administração pública federal”.

Segov

Já o Decreto 8.579, também publicado no Diário Oficial da União desta  ultima sexta, 27/11, cuida da estruturação da nova Secretaria de Governo. Nascida no movimento de redução de ministérios, essa pasta absorveu, além do GSI, as secretarias de Relações Institucionais, da Micro e Pequena Empresa e a Secretaria-Geral da Presidência.

Pois entre várias subdivisões dessa nova Secretaria de Governo, há uma Diretoria de Tecnologia, um dos 13 “órgãos de assistência direta e imediata ao Ministro”. A ela compete “planejar, executar, coordenar, supervisionar e controlar” atividades que também tratam de segurança da informação e comunicações. São elas:

a) a política, as diretrizes e a administração de recursos de tecnologia da informação, incluindo a segurança de informações eletrônicas, e de recursos de telecomunicações, eletrônica e segurança eletrônica”.

  1. b) o desenvolvimento, a contratação e a manutenção de soluções de tecnologia;
  2. c) a articulação com órgãos do Poder Executivo federal e dos demais Poderes com empresas de telecomunicações e com o órgão regulador nacional de controle das telecomunicações em assuntos sobre uso de tecnologia da informação e de telecomunicações;
  3. d) a especificação de recursos, a implementação, a disseminação e o incentivo ao uso de soluções de tecnologia”.

Fonte: Convergencia Digital

Riscos de fraudes na Internet das Coisas desafiarão operadoras de telecom

Fraudadores estão desenvolvendo técnicas mais efetivas para obter o que eles querem de serviços e produtos. A IoT não será exceção

Autor: Luis Bras (gerente de serviços profissionais e fraude da WeDo technologies.)

investigação lupa

O mundo de hoje, cada vez mais conectado, está introduzindo uma variedade grande de elementos de comércio em objetos do cotidiano, dos automóveis aos medidores de energia. No entanto, a realidade de saber se estamos prontos para abraçar o conceito de Internet das Coisas (IoT) e aproveitá-lo ao máximo – a partir de uma perspectiva de receita – é bem diferente.

A Internet das Coisas está conduzindo progressivamente diferentes comportamentos e dinâmicas entre as empresas, trazendo com ela um novo conjunto de desafios e de perturbações – especialmente quando se considera o contexto de proteger clientes, ativos e receitas. Como resultado, a discussão sobre receita deixará de ser uma função puramente financeira. Haverão implicações para os gastos em TI e na cultura da empresa como um todo.

A progressão para a Internet das Coisas vai introduzir novos fabricantes de dispositivos e provedores de aplicações que a indústria de telecomunicações ainda não trabalhou e que não entende profundamente os riscos. Isto resultará em um risco adicional de segurança e fraude, uma vez que estas “partes confiáveis” terão de ser auditadas para garantir que as expectativas das operadoras sejam alcançadas.

Considerações para uma estratégia de gestão de risco bem-sucedida

Riscos de fraude e receita associados com a Internet das Coisas podem significar coisas diferentes para pessoas diferentes, dependendo de onde elas residem dentro da cadeia de fornecimento de produtos e serviços.

A fim de permanecer à frente da curva, as organizações precisam considerar e avaliar, com uma perspectiva de risco, quais elementos de sua exposição aos tipos de fraudes existentes irá aumentar (ou diminuir) como resultado do lançamento dos novos dispositivos e serviços, e entender todos os riscos que podem ser causados pela IoT; tanto os que podem resultar de falhas com a tecnologia quanto os que os fraudadores têm a possibilidade de ganhar com ataque ao serviço.

Como parte do ciclo de vida do produto e do serviço, as funções de fraude e de segurança terão de ser diretamente envolvidas na realização de “avaliações de risco de produtos e serviços” que são, em última instância, ligadas à definição das estratégias necessárias.

Ao fazer uma avaliação exaustiva dos riscos, as empresas podem garantir que estão adotando uma abordagem equilibrada, com tecnologia, pessoas e processos trabalhando juntos para criar uma estratégia eficaz.

Quais defesas podem ser definidas?

As operadoras têm a responsabilidade de armazenamento e gerenciamento de dados altamente sensíveis e confidenciais associados aos seus clientes e parceiros de negócios. Será necessário considerar a forma como estes novos dispositivos conectados à Internet das Coisas irão manter a integridade das informações armazenadas ou trocadas com seus parceiros.

Riscos para proteção de dados e privacidade deverão incluir o potencial de espionagem de outros usuários, os dados transmitidos de um dispositivo através da rede pelo fraudador que aparece como dispositivo do cliente, ou ID de rede, e informações fornecidas ilegalmente a terceiros.

Como temos visto, os fraudadores estão tornando-se cada vez mais inovadores, desenvolvendo novas técnicas mais efetivas para obter exatamente o que eles querem de serviços e produtos a que se dirigem. A internet das Coisas não será exceção.

As operadoras não podem nunca ser complacentes ou esquecer que estes fraudadores altamente organizados operam seus próprios negócios e precisam “servir” seus clientes. Seus modelos de negócio para cometer fraudes abrangem todos os tipos de tecnologia e atravessam fronteiras internacionais. Baseiam-se, tradicionalmente, na incapacidade das operadoras responderem e recuperarem-se em tempo hábil.

Um dos requisitos essenciais de negócio para as operadoras será considerar continuamente o risco, implementar modelos de fraude, segurança e proteção de riscos claramente definidos para a Internet das Coisas.

A demanda e os requisitos para essa progressão vai levar a resultados mais interessantes na formação de parcerias estratégicas. As operadoras devem, no entanto, considerar as implicações e as exigências que lhes permitam minimizar a exposição a riscos de fraude associados aos dispositivos móveis, aplicações, processos e modelos de negócios diferentes.

Acredito que uma abordagem de Enterprise Business Assurance permite às empresas encarar a inovação, tais como a introdução de uma nova gama de dispositivos conectados – como parte da IoT – de cabeça em pé, aproveitando a oportunidade para o crescimento, ao mesmo tempo que mantem um firme controle sobre processos de negócios, experiência do cliente e receita.

Fonte: Computer World

Instituto lança certificado de segurança em cloud no Brasil

CCSP é recomendada para especialistas envolvidos com aquisição, proteção e gerenciamento de ambientes ou serviços em nuvem.

seguranca internet

A (ISC)² e a Cloud Security Alliance trouxeram para o mercado latino-americano uma certificação de segurança em cloud computing. O Certified Cloud Security Professional (CCSP) é direcionado a profissionais envolvidos com aquisição, proteção e gerenciamento de ambientes ou serviços em nuvem.

“A Certificação Profissional de Segurança em Nuvem é ainda mais relevante diante das atuais preocupações legais e regulamentares presentes em todo o mundo”, classificou Elise Yacobellis, diretora de desenvolvimento de negócios do (ISC)² para países das Américas.

O atestado é focado aos profissionais de segurança da informação com mais de cinco anos de experiência em TI, dos quais três têm que ser em segurança da informação, e um em segurança em nuvem,

Segundo os certificadores, a certificação é recomendada para especialistas envolvidos com arquitetura de TI, engenharia de web, segurança da informação, governança, risco, compliance (conformidade) e auditoria de TI.

O CCSP avalia os profissionais nas seguintes competências: Conceitos de arquitetura e Requisitos de Design, Segurança de dados em Nuvem, Plataforma em Nuvem e Infraestrutura de Segurança, Aplicação de Segurança em Nuvem, Legislação e Compliance.

“Pesquisas revelam que o mercado de infraestrutura de serviços na nuvem crescerá mais de 30% em 2015. A partir desta informação, é fundamental ter profissionais certificados e preparados para a correta gestão de sistemas e de aplicações”, enfatiza a executiva.

Fonte: IDG NOW!