Arquivo

Textos com Etiquetas ‘Segurança’

Cinco maneiras de garantir a segurança da sua rede.

17, maio, 2013 Sem comentários

Vinte e quatro horas por dia, sete dias por semana, 365 dias por ano – isso está ocorrendo. Estando você de olho ou cochilando, em uma reunião de negócios ou passando férias em Cancun, eles estão testando a sua rede, procurando uma maneira de entrar, explorar ou roubar seus dados, armazenar conteúdo ilegal, remover a home do seu site, ou simplesmente estragar algo pelo simples fato de poder fazer.

Estou falando dos scanners de rede. Os caras maus utilizam isso todos os dias, para acessar redes alheias em todo o mundo, essa ferramenta é a mais eficiente e fácil de usar para encontrar brechas em uma armadura. Se você quer proteger a sua rede, deve olhar com os olhos de quem ataca, e o scanner de rede é a ferramenta.

Os scanners de rede fazem testes automáticos na rede, não precisam de agentes instalados, e avaliam um ambiente de acordo com o que podem acessar. É o mesmo tipo de varreadura que é realizado o tempo todo por invasores e é por isto que você deve avaliar da mesma forma.

Aqui estão cinco testes que devem ser feitos com um scanner de rede periodicamente:

1. Avaliação de vulnerabilidade

Scanners de rede podem usar bancos de dados de vulnerabilidades conhecidas para verificar se há qualquer coisa que possa representar um risco para os seus sistemas. Atualizar o banco de dados regularmente é obrigatório, pois, novas vulnerabilidades são descobertas o tempo todo.

2. Port Scan

O port scan é o meio mais rápido para determinar quais sistemas estão funcionando em sua rede, e são, provavelmente, o tipo mais comum de reconhecimento. Determine o que deve ser acessível na rede a partir da Internet, valide com um portscan, e, em seguida, use uma combinação de regra de firewall, e desabilite os serviços desnecessários.

3. Senha padrão

Há uma razão para existirem milhares de listas de senha padrão na Internet, elas são umas das formas mais simples de acessar um sistema. Não facilite a vida do invasor, certifique-se que toda a sua rede possui senhas fortes, evitando assim acesso não autorizado.

4. Serviços rodando

Para comprometer um serviço, em primeiro lugar, ele deve estar rodando. Cada servidor tem um propósito específico, rodar alguns serviços, do contrário é apenas um aquecedor. Muitos servidores rodam serviços desnecessários, ou porque são assim por padrão, ou porque o administrador que configurou não tem conhecimento do fato. Use o scanner de rede para descobrir todos os serviços que rodam e desabilite os que não são necessários.

5. Acesso remoto

Use um scanner de rede para encontrar todo tipo de acesso, Telnet, SSH, RDP, GoToMyPC, LogMeIn, PCAnywhere e qualquer outra aplicação que ofereça acesso remoto, a não ser que seja necessário. Descobrir todas as maneiras “secretas”, vai reduzir muito os riscos da sua rede.

Se você e sua empresa não querem correr riscos, e não querem sair por ai procurando qualquer ferramenta, a Mirandell Sistemas comercializa o Security Manager Plus, um produto da ManageEngine que conta com os seguintes recursos:

– Busca por vulnerabilidade (Vulnerability Scanning)

– Aderente ao PCI DSS

– Detecção de portas abertas

– Inventário de hardware e software

– Grupos e usuários do Windows

– Gerenciamento de mudança no Windows

– Relatórios de auditoria

– Gerenciamento pela Internet (Ferramenta 100% web)

– Banco de dados de vulnerabilidade

– Gerenciamento de patch

Mais informações: Security Manager Plus – Mirandell Sistemas

Fonte: The Hacker News

Mirandell Sistemas agora é revenda ManageEngine.

5, julho, 2012 Sem comentários

A Mirandell Sistemas fechou parceria com a Inspirit Tecnologia para revender e oferecer os serviços agregados às soluções da ManageEngine, com essa novidade, a Mirandell Sistemas conquistou mais uma opção para seus clientes, complementando assim, a sua matriz de soluções que abrange sistemas de gestão, gestão de TI, Infra-estrutura e segurança. Os produtos da ManageEngine são ideiais para monitoramento de ativos de TI, atendimento a padrões e normas (compliances) como ITIL e SOX, além de ferramentes essenciais aos profissionais da área de TI.

Os principais produtos da ManageEngine são:

  • Opmanager – Solução integrada de monitoramento de ativos de TI, dentre eles, servidores, roteadores, switches, access points.
  • ApplicationsManager – Solução para monitoramento de aplicações, dentre elas, bancos de dados, sistemas operacionais, frameworks e etc.
  • Netflow Analyzer – Ferramenta de análise e monitoramento de roteadores compatíveis com a tecnologia NetFlow da Cisco.
  • IT360 – A solução ideal para as empresas de gestão de TI, engloba praticamente todas as ferramentas em um ambiente unificado, porém, permite o monitoramento remoto em qualquer tipo de empresa.

Fonte: Mirandell Sistemas

Gartner lista o top ten da TI para 2010.

11, novembro, 2009 Sem comentários

O Gartner indica as dez principais tendências em tecnologia para 2010. A consultoria tratou as indicações como “tecnologias estratégicas”, aquelas “com potencial de causar impacto significativo na organização nos próximos três anos”.

As dez indicações do Gartner são:

Cloud computing – A consultoria enaltece o fato de, neste modelo, os fornecedores entregarem aos consumidores uma série de serviços e soluções que podem ser explorados sem infraestrutura local, mas lembra que usar recursos de cloud não elimina os custos das soluções de TI, embora os “reorganize e, em alguns casos, os reduza”.

Análises avançadas – Ferramentas e modelos analíticos capazes de maximizar os processos de negócio e a eficácia das decisões por meio da análise de resultados e cenários alternativos antes, durante e depois da implementação e execução dos processos.

Segundo a consultoria, isto pode ser visto como um terceiro passo no suporte a decisões de negócios operacionais, já que regras fixas e políticas pré-definidas renderam-se a decisões impulsionadas por informações corretas fornecidas no momento certo, seja por meio de CRMs, ERPs ou outras aplicações.

Client computing – A virtualização criando novas formas de empacotamento de aplicações e capacidades de client computing, o que resulta na escolha de uma determinada plataforma de hardware de PC e, consequentemente, de sistema operacional, tornando o processo menos crítico.

“As organizações deveriam estabelecer, proativamente, um roadmap estratégico de cinco a oito anos para client computing, definindo uma abordagem para os padrões de dispositivos, propriedade e suporte; seleção, implementação e atualização do sistema operacional e da aplicação; e planos de gerenciamento e segurança para administrar a diversidade”, afirma o Gartner.

TI Verde – O uso de documentos eletrônicos e a redução de viagens ao se utilizar teleworking são ressaltados, além da utilização de ferramentas analíticas para que as organizações possam reduzir o consumo de energia no transporte de mercadorias e em outras atividades que envolvam emissões de carbono.

Remodelagem do data center – No passado, planejar princípios para os data centers era simples: descubra o que a empresa tem, estime o crescimento para 15 a 20 anos e, então, faça a construção adequada.

Segundo o Gartner, porém, os custos serão “realmente menores se as organizações adotarem uma abordagem pod-based, método de engenharia de estrutura para a construção e expansão dos data centers” que “corta despesas operacionais, uma parte não trivial das despesas gerais de TI na maioria das empresas”.

Computação social – Cada vez mais, os trabalhadores não quererão dois ambientes distintos para suportar seu trabalho e para acessar informações externas. Assim, as organizações deverão focar o uso de software e redes sociais, possibilitando a integração com comunidades externas patrocinadas pela própria empresa e públicas.

“Não ignore a função do perfil social de reunir as comunidades”, diz o Gartner.

Segurança (monitoramento de atividades) – Tradicionalmente, o foco da segurança tem sido estabelecer um muro perimetral para manter os outros de fora.

Agora, segundo a consultoria, ela evoluiu para monitorar atividades e identificar ações maliciosas em um fluxo constante de eventos distintos que normalmente estão associados a um usuário autorizado e são gerados a partir de múltiplas redes, sistemas e fontes de aplicações.

Memória flash – Esta memória está se movendo para um novo nível no plano de storage, como dispositivo semicondutor familiar por seu uso em pendrives e cartões de câmeras digitais.

Mais rápida do que os discos giratórios, mas consideravelmente mais cara, esta memória tende a ficar cada vez mais barata, o que levará a taxas de crescimento anual acima de 100% nos próximos anos.

A memória flash irá “se tornar estratégica em muitas áreas de TI, incluindo dispositivos de consumo, equipamentos de entretenimento e outros sistemas de TI incorporados”, prevê o Gartner.

Virtualização para disponibilidade – A consultoria destaca novos elementos da virtualização, como a migração dinâmica, ou movimento de execução de uma máquina virtual enquanto seu sistema operacional e outros softwares continuam sendo executados como se estivessem no servidor físico original.

Aplicações móveis – Até o final de 2010, 1,2 bilhão de pessoas carregará consigo dispositivos capazes de realizar transações comerciais móveis, proporcionando um ambiente rico para a convergência da mobilidade e da web, projeta o Gartner.

“Já há algumas milhares de aplicações para plataformas como Apple iPhone, apesar do mercado limitado e da necessidade de uma codificação única. Isto pode levar a uma nova versão que seja projetada para operar de forma flexível tanto nos PCs quanto nos sistemas em miniatura”, ressalta a empresa.

Fonte: Site Baguete

Encontrando o Equilíbrio.

22, outubro, 2009 Sem comentários

Pressões de negócio, mercado e regulatórios colocam o profissional de segurança da informação em uma situação difícil.

O profissional de segurança da informação já há algum tempo não tem que lidar somente com os aspectos operacionais da área, mas também com aspectos regulatórios, demandas de negócio, mitigação de riscos e etc. Os aspectos regulatórios provem de diferentes tais como regulamentações federais, regulamentações de mercado e regulamentações financeiras internacionais, e aparecem de acordo com fatores que não estão no controle deste profissional. Diante de tantas demandas, como este profissional pode encontrar o equilíbrio para lidar com tanta pressão?

Como vivemos em uma economia global, o quê acontece em um país muito provavelmente afetará outros. A lei Sarbanes Oxley é um exemplo clássico. Quando uma empresa americana, como a Enron e WorldCom faliu, isto mudou a maneira das empresas gerenciar seus controles internos.

Por exemplo, se uma empresa no Brasil ou Europa que ter suas ações negociadas na Bolsa de Nova York (NYSE), elas tem que implementar todos os controles requeridos e obter os relatórios independentes sobre a eficácia destes controles. Mesmo empresas que não são afetadas por algumas regulamentações, acabam seguindo o mesmo caminho para se manterem competitivas no mercado.

Adicionalmente, cada país tem suas próprias regulamentações com relacionados direta ou indiretamente com segurança da informação e o profissional de segurança deve estar bem informado sobre elas e estar atualizado sobre o quê está ocorrendo em outros países.

Por exemplo, não existe lei específica a cerca de privacidade no Brasil como as existentes nos países norte americanos e europeus, mas outras regulamentações, especialmente as chamadas regulamentações de mercado como, o Payment Card Industry Data Security Standard (PCI- DSS), estão se tornando populares e de fato requeridas pela indústria para que haja uma padronização de controles que já se provaram efetivos em outros países.

Nesta linha de pensamento, o profissional deve entender o funcionamento das leis de privacidade consolidadas em outros países, pois muito provavelmente elas serão algum dia sancionadas por aqui e antecipando-se, o profissional já terá as estrutura de controles internos de sua empresa preparada para acomodar estas leis.

Obviamente o negócio, TI e segurança, não vive somente em função de conformidade com leis e regulamentações.

A implementação de controles de segurança por meio do uso de soluções tecnológicas, incluído software e hardware, suportados por processos corretamente implementados, pode garantir esta conformidade combinado com a efetiva mitigação de riscos. Mas para que este objetivo seja atingido, o profissional de segurança deve obter o orçamento e apoio da alta administração adequado.

Muitas regulamentações devem ainda aparecer e o profissional de segurança deve implementar um processo, ou quem gostar da expressão em inglês um framework, com o objetivo de se encontrar controles que possam atender diversas regulamentações, mitigar riscos, atender as demandas de negócio utilizando recursos e investimentos que já foram efetuados. Caso contrário, o aporte financeiro será mais difícil, pois a alta administração não verá efetividade na forma que o profissional está gerindo e concentrando os investimentos em segurança.

Para conseguir equilíbrio para atender as demandas de negócio, regulamentações e mitigar riscos de forma eficaz, existe uma receita muito bem conhecia. O profissional de segurança deve convencer a alta administração e gestores de que eles fazem parte do problema e da solução.

Afinal, é a empresa e não a área de segurança que deve estar aderente às leis ou somente a área de segurança sofrerá as conseqüências de perda ou vazamento de dados, interrupções e outras materializações de riscos. O profissional de segurança não deve ser o “cowboy” solitário tentando fazer o que é correto ou criar um feudo isolado de toda a organização com uma visão limitada de sua visão e missão.

A alta administração e os gestores devem ser trazidos para a briga por meio de comitês ligados a segurança da informação, campanhas maciças de conscientização e outras medidas para que todos conheçam suas responsabilidades, suportem as iniciativas lideradas pela área de segurança.

Caso estas iniciativas deixem de ser cumpridas por impactarem estratégias e processos de negócios, além da famosa frase “não temos orçamento”, todos terão consciência e compartilharão conseqüências no advento da materialização de um risco de segurança.

Walmir Freitas é CISO da Fidelity Processadora e Serviços e membro do (ISC)2 Advisory Board of the Americas.

Fonte: Site Baguete