Carregando...

Blog

O perigo dos plugins desenvolvidos por terceirosPostado por Cristina

Plugins que não foram atualizados há anos são mais propensos a conter vulnerabilidades não corrigidas que podem beneficiar hacker's a assumir o controle de um site, baixar um keylogger, um minerador de criptomoedas ou em qualquer outra armadilha escusa!Em 17/04/2019






O perigo dos plugins desenvolvidos por terceiros

  

 

  Lojas online, portais de notícias e outros recursos geralmente são baseados em plataformas que fornecem aos desenvolvedores um conjunto de ferramentas predefinidas. Por exemplo, nosso blog foi construído nesses parâmetros. As funcionalidades geralmente são disponibilizadas aos usuários por meio de plugins que permitem adicioná-las conforme necessário. Por um lado, é um sistema conveniente que otimiza o trabalho dos desenvolvedores por não precisarem produzir uma ferramenta ou códigos específicos para funções semelhantes em cada projeto. No entanto, ao utilizar muitas aplicações criadas por terceiros em seu site, maiores as possibilidades de que algo dê errado.

 

Os problemas com os plugins

Plugins são pequenos módulos de softwares que adicionam ou melhoraram as funcionalidades de sites. Alguns plugins funcionam como widget de mídias sociais, outros compilam estatísticas, estudos e diversos conteúdos. Se você conectar um plugin de busca em seu site, ele será automaticamente executado, e, só será lembrado dele se ocorrer um problema de operação - quer dizer, se alguém relatar o erro. Aqui está um dos perigos destes módulos: se o desenvolvedor do plugin o abandona ou o vende, provavelmente, não haverá notificação de nada.

 

Vulnerabilidades em plugins

Plugins que não foram atualizados há anos são mais propensos a conter vulnerabilidades não corrigidas que podem beneficiar os cibercriminosos a assumir o controle de um site, baixar um keylogger, um minerador de criptomoedas ou em qualquer outra armadilha com fins escusos.

Mesmo quando as atualizações estão disponíveis, muitos proprietários de sites as ignoram, por isso, módulos com problemas de segurança permanecem ativos por anos, mesmo após a retirada do suporte.

Às vezes, criadores de plugins desenvolvem patches para corrigir vulnerabilidades, mas, por qualquer motivo, mas não são instalados automaticamente. Por exemplo, em alguns casos, os desenvolvedores dos módulos se esquecem de mudar o número da versão na atualização, consequentemente, os usuários que confiaram em atualização automáticas ficam com plugins desatualizados por não ter feito verificações manuais.

 

Como substituir os plugins

Algumas plataformas de gerenciamento de conteúdo de sites bloqueiam o download de módulos que não são recebem mais suporte. No entanto, nem o desenvolvedor, nem a plataforma podem remover os plugins vulneráveis já instalados pelos usuários, pois poderiam alterar a página ou algo muito pior.

Além disso, plugins abandonados podem não ser armazenados na loja da plataforma, mas em serviços disponíveis ao público. Quando o desenvolvedor interrompe o suporte ou remove um módulo, seu site ainda pode acessar o container em que ele estava localizado. Mas os cibercriminosos podem interceptar ou clonar esse container abandonado e forçá-lo a baixar malwares em vez do plugin.

E foi isso que aconteceu com o New Share Counts tweet counter, hospedado no serviço de armazenamento na nuvem, Amazon S3. Quando o suporte ao plugin foi interrompido, o desenvolvedor postou uma mensagem sobre isso em seu site, mas havia mais de 800 clientes que não o leram sobre essa atualização.

Logo, o autor do plugin fechou o container no Amazon S3 e os cibercriminosos aproveitaram a situação. Criaram um armazenamento com o mesmo nome e introduziram um script malicioso. Sites que ainda o usavam, começaram a carregar o novo código, que redirecionava os usuários para um recurso de phishing que prometia um prêmio por fazer uma pesquisa, em vez do container de tweets.

 

 Clientes não estão cientes da mudança de propriedade

Às vezes, os desenvolvedores vendem suas criações, ao invés de abandoná-las diretamente. O problema é que geralmente não há grande rigor na seleção do comprador. Então, se um cibercriminoso adquirir um módulo, na próxima atualização, seu site pode receber de presente um malware.

Detectar este tipo de plugin é muito complicado, na verdade, eles são geralmente atribuídos por puro acaso.

 

Fique atento aos plugins dos seus sites

Como você pode ver, existem diversas maneiras de infectar um site por meio da instalação de plugins. Portanto, recomendamos que você monitore de maneira independente a segurança e a atualização desses módulos em seus sistemas.

Compile uma lista de plugins usados em suas fontes, junto com informações de armazenamento, verifique e atualize periodicamente.

Leia as notificações dos desenvolvedores de software de terceiros que você usa e os sites por meio dos quais eles são distribuídos.

Atualize os plugins e, se não tiverem mais suporte, substitua-os o mais rápido possível.

Se por algum motivo um dos sites da sua empresa não for mais necessário e você interromper seu suporte, não se esqueça de excluir seu conteúdo, incluindo todos os plugins. Caso contrário, é apenas uma questão de tempo até que apareçam vulnerabilidades por meio das quais os cibercriminosos podem aproveitar para comprometer seus negócios.

Os funcionários que trabalham com sites de acesso público devem receber treinamento para lidar com as ameaças virtuais atuais, por exemplo, com a ajuda da nossa plataforma ASAP.




Fonte: Kasperksy 






Ver mais ...

RESOLVA OS DESAFIOS MAIS DIFÍCEIS NA SEGURANÇA NA NUVEMPostado por Cristina

Em um ambiente em constante mudança e com dimensionamento automático, a visibilidade contínua de sua infraestrutura de nuvem pública é vital.Em 12/04/2019





 




  

RESOLVA OS DESAFIOS MAIS DIFÍCEIS NA SEGURANÇA NA NUVEM

  

 

Visibilidade Inteligente da Nuvem, Conformidade e Resposta a Ameaças


Em um ambiente em constante mudança e com dimensionamento automático, a visibilidade contínua de sua infraestrutura de nuvem pública é vital.

O Sophos Cloud Optix combina o poder da inteligência artificial e da automação para simplificar o monitoramento de conformidade, governança e segurança na nuvem.

 

 


Veja tudo. Proteja tudo. 

Descoberta automática dos ativos de sua organização nos ambientes Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP). Dando à sua equipe o poder de responder e remediar riscos de segurança em minutos, com visualização de topologia de rede completa e monitoramento contínuo de ativos.


  

Conformidade de Nuvem Proativa

 

Aumente os padrões sem adicionar pessoal detectando automaticamente alterações em seus ambientes de nuvem

 

 Agilizar o processo

Monitore continuamente a conformidade com modelos personalizados ou prontos para uso em padrões como CIS, SOC2, HIPAA, ISO 27001 e PCI DSS.

 

Colaboração facilitada

 

Gerencie e rastreie a conformidade para garantir que tarefas importantes nunca sejam perdidas, mesmo durante uma versão, usando integrações de terceiros com ferramentas como o JIRA e o ServiceNow.

 

 

Análise e monitoramento de segurança com tecnologia AI

 

Reduza a resposta a incidentes e os tempos de resolução de dias ou semanas para apenas alguns minutos.

Inteligência artificial poderosa detecta comportamento de rede suspeito e atividade de login arriscada rapidamente - com alertas inteligentes e remediação automática de riscos opcional.


 - Monitore continuamente o inventário de carga de trabalho da nuvem, as configurações e os logs do Grupo de segurança

 - Detectar chaves de acesso compartilhado, padrões de tráfego de rede suspeitos, abrir buckets e portas de armazenamento do S3

 - Estabeleça grades de proteção para evitar, detectar e remediar alterações acidentais ou mal-intencionadas na configuração da rede

 

DevSecOps que não espera até o Go-Live

 

Torne o desenvolvimento de software rápido e seguro com a arquitetura baseada em API do Cloud Optix, que integra perfeitamente a segurança ao seu DevOps e sua infraestrutura como processos de código.




         Detecção de Drift e Guardrails

Monitore e detecte continuamente o desvio nos padrões de configuração e evite alterações nas configurações críticas que podem deixar sua organização exposta a vulnerabilidades de segurança.


 

Digitalização Proativa de Modelos de Infraestrutura

Analisar continuamente as alterações do modelo de implantação do Terraform e do Github para configurações incorretas que podem resultar no provisionamento de infraestruturas vulneráveis

 


 Integração da ferramenta SIEM e DevOps

Integrar com ferramentas de segurança de terceiros, como as ferramentas SIEM e DevOps para CI / CD, para simplificar as operações de segurança





Torne a simplicidade uma exigência

 

O serviço baseado em SaaS sem agente Cloud Optix funciona perfeitamente com suas ferramentas de negócios existentes para automatizar os processos de monitoramento, governança, risco e conformidade de segurança em nuvem e DevSecOps.







 Fonte: Sophos 

Ver mais ...

Aplicativos infantis contêm uma média de 7 rastreadores de terceiros, segundo um estudoPostado por Cristina

Pesquisadores analisaram quase um milhão de Apps Android baixados do Google Play Store e dos EUA e descobriram que os usados ​​por crianças, agora incorporam alguns dos maiores números de rastreadores de terceiros de qualquer categoria de aplicativos!Em 10/04/2019






Aplicativos infantis contêm uma média de 7 rastreadores de terceiros, segundo um estudo


 

   Quando se trata de rastrear usuários de aplicativos móveis, as empresas de publicidade na internet preferem iniciar pelos jovens, de acordo com um novo estudo da Universidade de Oxford. Pesquisadores analisaram quase um milhão de aplicativos Android baixados do Google Play Store e dos EUA e descobriram que os usados por crianças, agora incorporam alguns dos maiores números de rastreadores de terceiros de qualquer categoria de aplicativos.

A maioria deles se enquadra na categoria "família" (8.930 aplicativos), que tinha uma média de sete rastreadores cada, um pouco à frente da vasta categoria de jogos e entretenimento (291.952 aplicativos) em seis. Alguns aplicativos familiares tinham ainda mais rastreadores, com 28,3% excedendo 10. A única categoria que poderia corresponder a isso era "notícias" (26,281 aplicativos), 29,9% dos quais tinham mais de 10, ou uma média de sete rastreadores por aplicativo.

Então, se você é alguém que recebe as notícias de um aplicativo, é provável que o que você está fazendo seja observado com muita atenção - algo que é, pelo menos, tão provável se você for uma criança usando um aplicativo da família.

Não é grande revelação de que os anunciantes buscam rastrear as pessoas para fins comerciais, embora a extensão em que os aplicativos se tornaram a linha de frente nesse empreendimento ainda seja bastante surpreendente. A medida em que as crianças estão sendo rastreadas através de aplicativos é ainda mais inesperada, dada a onda de regulamentações que devem limitar a forma como isso é feito, especialmente para qualquer pessoa com menos de 13 anos.

 

Juntar os pontos

O estudo também analisou de onde o rastreamento é feito, descobrindo que 100 mil dos cerca de um milhão de aplicativos enviaram dados para mais de uma jurisdição. Esta é uma porta traseira óbvia para a coleta de dados -  o fato de que a coleta de dados é restrita em uma geografia não significa que os mesmos dados não possam, em tese, acabar em algum outro lugar também, uma complicação regulatória.

Mesmo assim, é quem estava fazendo o rastreamento que provou a descoberta mais interessante, com um pequeno grupo de grandes empresas de internet e suas subsidiárias embutidas em uma grande porcentagem de aplicativos. O Google, por exemplo, teve acompanhamento em 88,4% de todos os aplicativos, à frente do Facebook em 42,5% e do Twitter em 33,8%. Os autores do estudo não dizem se acham que essa onipresença está ligada à questão de rastrear crianças e jovens especificamente. Mas, qualquer que seja a empresa, a questão é se devem ser, moral e legalmente.

"Dado o nível relativamente mais alto de proteção estabelecido na lei em relação ao perfil de crianças para marketing, parece que o rastreamento é mais desenfreado no próprio contexto em que os reguladores estão mais preocupados em restringi-lo." A imagem tirada pela pesquisa é de um free-for-all não regulamentado quando as empresas rastreiam quem eles querem, porque, francamente, não é difícil de fazer, mas é difícil de parar.

Isso está começando a mudar, o que aumenta a perspectiva de que o rastreamento de crianças e jovens (definidos como aqueles com menos de 16 anos em geral) pode ser um escândalo futuro de dados em formação. No início deste ano, organizações de defesa da criança registraram uma queixa na Federal Trade Commission (FTC) alegando que o Google estava ganhando dinheiro com a coleta de dados de crianças no YouTube. Algumas semanas atrás, o procurador-geral do Novo México entrou com uma ação alegando que o Google, Twitter e a empresa de jogos para celulares Tiny Labs "exploram comercialmente" na mesma linha. Com isso as empresas da Internet se vêem diante de uma onda de cinismo pela maneira como exercem o poder na publicidade ao analisar os usuários da web.

 


Fonte: Sophos




Ver mais ...

Falha de Segurança no WinRAR, tem mais de 100 formas de explorar vulnerabilidade Postado por Cristina

Até agora, foram identificadas mais de 100 formas de explorar a vulnerabilidade – e esse número só aumenta.Em 09/04/2019








Usa o WinRAR? Instale essa atualização agora mesmo

 

 

A maioria das pessoas sabe que clicar em um arquivo com a extensão EXE pode ser perigoso. Outras até conhecem o risco potencial de abrir documentos do MS Office e estarem modificados com malwares. Mas o que pode dar errado se você simplesmente descompactar uma pasta pelo WinRAR, Na verdade, muita coisa.

 

 

 

 

Se você for uma das 500 milhões pessoas no mundo usando o WinRAR, poderá ser o alvo perfeito para os golpistas. Descobriu-se recentemente que cada versão do programa, lançada nos últimos 19 anos, tem um bug crítico que permite aos cibercriminosos invadirem seu computador. Até agora, foram identificadas mais de 100 formas de explorar a vulnerabilidade - e esse número só aumenta.

 

Como o bug funciona?

 

A falha de segurança permite aos golpistas criar arquivos RAR maliciosos. Logo que são descompactados, um componente executável é extraído silenciosamente na pasta Setup. No próximo inicialização do sistema, será automaticamente executado, infectando seu computador com a ameaça.

Para passar indetectável, até mesmo pelo mais cuidadoso de nós, os malfeitores normalmente dão ao arquivo EXE nomes aparentemente inocentes, como GoogleUpdate.exe.

Vale dizer que o arquivo malicioso e o e-mail que o contém são feitos para que a vítima seja impelida a apertar o botão de extrair. As iscas variam bastante. Alguns hackers optam por imagens pornográficas, ofertas de trabalho atraentes, alertas de risco de um ataque terrorista. Em alguns casos, golpistas fingem enviar documentos técnicos, ou informar sobre mudanças recentes na legislação local. Alguns até convidam a baixar uma cópia pirata de um álbum do momento, como o da Ariana Grande.

De uma forma de outra, a ideia central é que ninguém veja problema em descompactar o arquivo, tantas pessoas clicam sem pensar duas vezes.

 

O que acontece quando a vulnerabilidade é explorada?

 

O malware pode fazer qualquer coisa: ferramentas de acesso remoto diversas, viabilizando tomada de controle de dispositivos para fotografar a tela e fazer upload ou download de arquivos para o dispositivo, ou ainda instalar banking Trojans, ransomwares, ou qualquer outra espécie de malwares disponíveis por aí.

O exemplo mais recente de malware usando a vulnerabilidade do WinRAR é o JNEC.a, novo ransomware que bloqueia todos os arquivos do dispositivo infectado. No momento, os cibercriminosos pedem por um resgate relativamente modesto para desencriptar os dados: 0,05 bitcoins (por volta de 200 dólares).

 

Como se proteger contra o ataque pelo WinRAR

 

1 Atualize seu WinRAR agora mesmo. Infelizmente, não há atualização automática, então tem de ser feito manualmente. Vá ao site oficial do WinRAR com a versão 5.70 e instale.

2 Para se manter em segurança, não abra qualquer arquivo recebido de desconhecidos.

3 Use uma solução de segurança confiável como o Kaspersky Internet Security para se proteger contra sistemas potencialmente vulneráveis.

 

 


Fonte: kaspersky

Ver mais ...

Ransomware ataca a gigante do alumínio HydroPostado por Cristina

"O time de segurança da Hydro notou atividade anormal nos servidores da empresa às 0h. Testemunharam a infecção espalhando-se e tentaram contê-la. Tiveram sucesso parcial; no momento que isolaram as plantas industriais, a rede global já estava infectada"Em 08/04/2019


  



 Ransomware ataca a gigante do alumínio Hydro

 

 

Durante os últimos anos, discutimos diversos incidentes nos quais ransomware foram direcionados para organizações como hospitais, trânsito, ou até computadores governamentais de um Estado. Depois chegou então a era dos wipers, com as epidemias do WannaCry, ExPetr, e Bad Rabbit espalhando-se pelo mundo e arruinando operações de diversos negócios.

 

 

Felizmente, não passamos por acontecimentos desse tamanho nos últimos 12 meses, não porque os criminosos desistiram. A gigante do alumínio Hydro anunciou ter sido atacada por ransomware que afetaram a empresa inteira.


 

O ataque à Hydro: o que aconteceu?

 

O time de segurança da Hydro notou inicialmente atividade pouco usual nos servidores da empresa às 0h. Testemunharam a infecção espalhando-se e tentaram contê-la. Tiveram sucesso parcial; no momento que isolaram as plantas industriais, a rede global já estava infectada. A Hydro não informou o número de computadores impactados, mas como a empresa possui aproximadamente 35 mil funcionários, esse número é provavelmente enorme.

 

A equipe da Hydro está trabalhando constantemente para mitigar o incidente, e obtiveram pelo menos sucesso parcial. As usinas de energia não foram afetadas por terem sido isoladas da rede prática interessante no contexto de infraestrutura crítica. Entretanto, as fundições não foram isoladas; durante os últimos anos tornaram-se significativamente mais automatizadas. Algumas dessas plantas localizadas na Noruega foram atingidas, mas a equipe conseguiu deixá-las completamente operacionais, embora lentamente, de forma semimanual. Ainda assim, como afirma a Hydro a impossibilidade de conectar-se aos sistemas de produção causam desafios de produção e parada temporária em diversas instalações.

 Apesar da escala imensa, o ataque não destruiu as operações da Hydro completamente. Embora, máquinas Windows tenham sido criptografadas e inutilizadas, os celulares e tablets não baseados no Windows continuaram a funcionar, o que deu aos colaboradores a possibilidade de comunicar e responder às necessidades do negócio. A infraestrutura crítica de alto custo, como banhos de alumínio, custando 10 milhões de euros cada, aparentemente, não foram afetadas. O incidente de segurança não causou outros problemas como pessoas feridas. A Hydro na verdade espera que tudo que tenha sido afetado possa ser restaurado a partir dos backups.

 

Análise: acertos e erros

 

A Hydro provavelmente ainda tem um longo caminho pela frente antes de restaurar as operações completamente, e mesmo investigar o incidente deve demandar tempo e esforço da Hydro e das autoridades norueguesas. E por agora, não há consenso quanto a qual ransomware foi usado para iniciar o ataque.

 

As autoridades dizem que possuem múltiplas hipóteses. Uma delas é que a Hydro foi atacada pelo ransomware LockerGoga, o qual foi descrito pelo Bleeping Computer como "lento" (nossos analistas concordam com essa descrição) e "desleixado", adicionando que "não faz qualquer esforço para não ser detectado". O pedido de resgate não mencionou o montante demandado pelos criminosos para desbloquear os computadores, porém continha um endereço para que as vítimas entrassem em contato.

 Embora as análises do incidente não estejam completas, podemos analisar e discutir o que a Hydro fez certo e errado antes e durante o incidente.

 

 

Acertos

 

1 As usinas foram isoladas da rede principal, o que evitou que fossem afetadas.

2 O time de segurança conseguiu isolar as instalações de fundição rapidamente, o que permitiu que a produção continuasse (em maioria de forma semimanual).

3 Colaboradores continuaram a se comunicar normalmente mesmo depois do incidente, o que significa que os servidores de comunicação estavam protegidos o suficiente para não serem afetados pela infecção.

4 A Hydro tem backups que permitiram restaurar os dados codificados e continuar as operações.

5 A Hydro tem um seguro em cibersegurança que deve cobrir alguns dos custos resultantes do incidente.

 

Erros

 

1 A rede provavelmente não estava segmentada adequadamente, ou então teria sido bem mais fácil impedir o ransomware de se espalhar e conter o ataque.

2 A solução de segurança empregada pela Hydro não foi robusta o suficiente para parar o ransomware (Apesar de relativamente novo, o LockerGaga é conhecido pelo Kaspersky Security como Trojan-Ransom.Win32.Crypgen.afbf).

3 A solução de segurança poderia ser otimizada com softwares antiransomware como nosso Kaspersky Anti-Ransomware Tool, que além de ser gratuito, é passível de instalação juntamente com outras soluções de segurança e é capaz de proteger sistemas de todos os tipos de ransomware, miners, e outras ameaças.



 


Fonte: Kaspersky

Ver mais ...

Aplicativos do Facebook expõem milhões de dados do Facebook dos usuáriosPostado por Cristina

Aconteceu de novo!Em 05/04/2019












Dados pessoais inseguros encontrados espalhados pela nuvem!

Infelizmente para o Facebook, que tem sido envolvido em várias histórias de preocupação com a segurança cibernética? ultimamente, isso não é apenas um dado antigo.

 São dados que foram adquiridos via Facebook por aplicativos de terceiros.

 

É um pouco parecido com o que aconteceu com o Cambridge Analytica - o infame provedor de aplicativos do Facebook que ofereceu os chamados testes psicométricos para seduzi-lo a dar muitos detalhes sobre o que fez você funcionar e, depois, usou esses dados de maneiras diferentes quase certamente não esperava.

Ironicamente, embora esses últimos dois derramamentos de dados, anunciados ontem pela companhia de segurança cibernética Upguard, não sejam tão assustadores quanto a história da Cambridge Analytica, eles são, de certa forma, ainda piores.

Essas violações ocorreram por meio do simples descuido - bases de dados hospedadas na nuvem e aparentemente quase casualmente deixadas abertas ao mundo.

É como executar seus próprios servidores em sua própria sala de servidores, mas deixando a porta da sala do servidor destravada com uma grande placa dizendo: ?Entrada gratuita. Por favor, não seja desobediente.

De fato, é como copiar dados críticos de seus próprios servidores para uma caixa inteira de drives USB não criptografados e caminhar em torno de uma convenção da Dark Web, distribuindo-os para todo mundo.

 

O que vazou?

 

De acordo com Upguard, os últimos vazamentos encontrados pertencem a:

 

O Colectiva Cultura , um coletivo de redes sociais latino-americano que derramou um banco de dados gigante de mais de 500 milhões de entradas, provavelmente cobrindo milhões de usuários (o site em si reivindica 45 milhões de assinantes). Os dados aparentemente incluíam IDs no Facebook, curtidas, amigos e muito mais.

No Pool , um aplicativo do Facebook que parece ter desaparecido em 2014, deixando seus dados coletados órfãos e expostos. Aparentemente, esses dados incluíam nomes, endereços de e-mail, identificações do Facebook e senhas (não senhas do Facebook, mas armazenadas em texto simples).

Em outras palavras, mesmo que isso não seja ?uma violação do Facebook?, porque ninguém invadiu o próprio Facebook, é ?uma violação dos dados do Facebook?, possibilitada pelo enorme alcance e influência que a plataforma do Facebook possui.

 

Onde ir?

São quase exatamente oito anos desde que escrevemos uma carta aberta ao Facebook, dizendo:







Gostaríamos de "gostar": Privacidade por padrão, desenvolvedores de aplicativos verificados, Https para tudo.

 

Para nossa surpresa muito agradável, o Facebook foi um dos primeiros grandes operadores de nuvem a atacar a bala HTTPS, criptografando e autenticando seu tráfego em todos os lugares, o tempo todo.

 

Na época, muitas outras empresas estavam reclamando que seria muito difícil, muito caro, muito lento e inútil para criptografar tudo, mas o Facebook provou que todas estavam erradas.

 

Mas não aconteceu muito em relação ao nosso segundo "like", ou seja, maior controle sobre os desenvolvedores de aplicativos.

 

A razão para manter o controle sobre os desenvolvedores de aplicativos é que eles têm uma posição privilegiada em um reino rico e amplo.

 

Os aplicativos do Facebook basicamente se integram ao ecossistema do Facebook de graça, aproveitando quase que de imediato a impressão e o alcance da maior empresa de redes sociais do mundo.

 

E com a liberdade vem a responsabilidade - seja o dever de não fazer coisas desprezíveis com dados compartilhados de boa fé, ou simplesmente o dever de não deixar os dados coletados espalhados de maneira insegura.

 

Esperemos que o recente boletim de toda a empresa de Zuck sobre como levar mais a sério a privacidade traga resultados - esperamos ver menos aplicativos de maior qualidade de desenvolvedores mais confiáveis.

 

O Facebook conseguiu uma revolução na segurança quando reinventou sua segurança de transações, adotando rapidamente o HTTPS em todos os lugares e de uma só vez?

 

Então vamos torcer para que ele possa se transformar novamente, e também ter aplicativos desonestos sob controle.

 

O que fazer?

Revise seus aplicativos do Facebook e suas permissões agora mesmo. Vá para https://www.facebook.com/settings, escolha Apps and Websitesno menu à esquerda e use a lista de aplicativos e sites, se houver, para visualizar e atualizar as informações que eles podem solicitar ou para remover os aplicativos e sites que você não deseja mais.

Revise suas configurações de privacidade de maneira mais geral enquanto você fala sobre isso. Use o Privacyitem de menu na tela Configurações para acessar a Privacy Settings and Toolspágina.

Ligue 2FA se você não tiver já. Porque você pode. Use a Security and Loginpágina para se preparar. Você pode entregar seu número de telefone celular para códigos de login SMS, usar um aplicativo autenticador ou configurar um token de login como um Yubikey, se tiver um.






Enquanto damos conselhos, aqui estão alguns pensamentos gerais para muitos produtores e consumidores de aplicativos:

Se você é um desenvolvedor de aplicativos , seja de aplicativos do Facebook, aplicativos do Google Play ou software para qualquer outra plataforma, pare de ver a segurança como um custo a ser reduzido. Faça disso um valor que você possa usar para estabelecer sua confiabilidade.

Se você é um usuário do aplicativo , aprenda a ser seletivo. Escolha aplicativos de empresas que conquistaram sua confiança em vez de simplesmente reivindicá-la. Evite aplicativos apenas porque eles são divertidos ou legais. Menos é mais.

Se você é um habilitador de aplicativos como o Facebook, independentemente da escala de sua operação, lembre-se do nosso apelo de abril de 2011: "Gostaríamos: desenvolvedores de aplicativos avaliados". Os procedimentos de inscrição rápida para desenvolvedores podem ser igualitários e convenientes, mas eles parecem tão freqüentemente acabar em lágrimas.




Fonte: Sophos






Ver mais ...

O suporte ao Windows 7 terminará em 14 de janeiro de 2020Postado por Cristina

Após 14 de janeiro de 2020, se o seu computador estiver executando o Windows 7, ele não receberá mais atualizações de segurança. Em 02/04/2019




 




O suporte ao Windows 7 terminará em 14 de janeiro de 2020

 

 

Ciclo de vida de suporte ao Windows 7

A Microsoft comprometeu-se a oferecer 10 anos de suporte de produto para o Windows 7 quando ele foi lançado em 22 de outubro de 2009. Quando esse período de 10 anos terminar, a Microsoft descontinuará o suporte ao Windows 7 para que possamos concentrar nossos investimentos no suporte a tecnologias mais recentes e ótimas experiências novas. O dia do fim do suporte específico para o Windows 7 será 14 de janeiro de 2020. Depois disso, a assistência técnica e as atualizações de software do Windows Update que ajudam a proteger seu computador não estarão mais disponíveis para o produto. A Microsoft recomenda fortemente que você faça a transição para o Windows 10 antes de janeiro de 2020 para evitar uma situação em que seja necessário um serviço ou suporte que não estará mais disponível.

 

O que o fim do suporte significa?

Após 14 de janeiro de 2020, se o seu computador estiver executando o Windows 7, ele não receberá mais atualizações de segurança. Portanto, é importante que você faça upgrade para um sistema operacional moderno, como o Windows 10, que pode fornecer as últimas atualizações de segurança para ajudar a manter você e seus dados mais seguros. Além disso, o atendimento ao cliente Microsoft não estará mais disponível para fornecer suporte técnico ao Windows 7.

 

O que devo fazer?

Para a maioria dos usuários do Windows 7, fazer a transição para um novo dispositivo com o Windows 10 será o caminho recomendado futuramente. Os computadores de hoje são mais rápidos e leves, mas poderosos e mais seguros, com uma média de preço que é muito menor do que a dos computadores médios há oito anos. Nosso Guia pode ajudá-lo a escolher um novo computador com apenas algumas etapas simples.

 

O que acontecerá se eu continuar usando o Windows 7

Você pode continuar usando o Windows 7, mas depois que o suporte terminar, seu computador ficará mais vulnerável a vírus e riscos de segurança. O Windows continuará a ser inicializado e executado, mas você não receberá mais atualizações de software, incluindo atualizações de segurança, da Microsoft.

 

O Windows 7 ainda pode ser ativado após 14 de janeiro de 2020?

O Windows 7 ainda pode ser instalado e ativado após o fim do suporte. No entanto, ele estará mais vulnerável a riscos de segurança e vírus devido à falta de atualizações de segurança. Após 14 de janeiro de 2020, a Microsoft recomenda fortemente que você use o Windows 10 em vez do Windows 7.

 

E se eu estiver executando o Windows 7 Enterprise?

Se você estiver usando o Windows como parte de um ambiente de trabalho, recomendamos verificar primeiro com seu departamento de TI ou consultar o suporte de implantação do Windows 10 para saber mais.



 

Fonte: Microsoft 

Ver mais ...

Sophos XG Firewall and SD WAN Postado por Cristina

"O SD-WAN (ou Rede Definida por Software em uma Rede de Área Ampla) tornou-se um termo popular recentemente."Em 29/03/2019





 
XG Firewall and SD WAN  




O SD-WAN está gerando muita agitação na indústria - e uma quantidade igual de confusão. Este artigo articula o que os clientes estão procurando em uma solução SD-WAN, bem como todos os excelentes recursos de SD-WAN do XG Firewall. Ele também aborda alguns dos novos recursos de SD-WAN que chegam ao XG Firewall nos próximos lançamentos. Veja o que você precisa saber:

O SD-WAN (ou Rede Definida por Software em uma Rede de Área Ampla) tornou-se um termo popular recentemente, e com todo esse zumbido vem um monte de mensagens diferentes e retórica. Como resultado, o SD-WAN cresceu e significou muitas coisas diferentes para pessoas diferentes. Fundamentalmente, o SD-WAN é quase sempre um ou mais desses quatro objetivos:


Reduza os custos de conectividade: as conexões MPLS tradicionais são caras e as organizações estão mudando para opções de WAN de banda larga mais acessíveis. Continuidade de negócios: as organizações precisam de soluções que lidem elegantemente com falhas e interrupções de WAN e estejam procurando redundância, roteamento, failover e preservação de sessão. Orquestração de VPN de filial mais simples: a orquestração de VPN entre locais é geralmente complexa e demorada, por isso as organizações estão procurando ferramentas para simplificar e automatizar a implantação e a configuração
Qualidade de aplicativos críticos: as organizações estão buscando visibilidade em tempo real do tráfego e do desempenho dos aplicativos para manter a qualidade das sessões dos aplicativos de negócios de missão crítica.

Ao conversar sobre SD-WAN com clientes ou clientes em potencial, é importante entender as metas e os objetivos desejados antes de mergulhar em quaisquer soluções ou recursos específicos.



SD-WAN Features


O XG Firewall inclui muitos dos recursos necessários para atingir esses objetivos. Vamos dar uma olhada no que o XG Firewall oferece hoje, bem como o que está planejado para os próximos lançamentos.

Links WAN
Vamos começar com os fundamentos da conectividade da WAN. Considerações importantes incluem oferecer opções flexíveis de conectividade ISP e WAN, bem como redundância e failover no caso de uma falha.

O XG Firewall oferece suporte para vários links WAN, incluindo uma variedade de opções de interface de cobre, fibra e até celular. O XG Firewall pode terminar circuitos MPLS usando handoff de ethernet e VDSL através de nosso modem SPF opcional.

O XG Firewall também oferece recursos essenciais de monitoramento, balanceamento e failover do link WAN.








Status do link XG WAN, mostrado na parte inferior deste widget de status da interface disponível por meio do painel.





Gerenciamento de Link WAN do Firewall XG, incluindo regras de balanceamento e failover.

 

Conectividade da filial



A conexão segura de filiais remotas entre si, escritórios centrais e vários serviços na nuvem é outro componente essencial da SD-WAN.
Recursos como implantação acessível, flexível e de baixo impacto são muito desejáveis para tornar isso tão simples e econômico quanto possível, enquanto ainda suportam uma variedade de requisitos de conectividade corporativa.


O XG Firewall oferece dispositivos RED exclusivos e opções de túnel para conectar filiais de forma simples e acessível via SD-WAN.

Há muito tempo a Sophos é pioneira na área de conectividade de escritórios remotos sem contato com nossos exclusivos dispositivos SD-WAN RED. Esses dispositivos acessíveis são super fáceis de implantar por uma pessoa não técnica e fornecem um robusto e seguro túnel da Camada 2 entre o dispositivo e um XG Firewall central.





Os dispositivos Sophos SD-WAN RED oferecem uma solução acessível e de preço zero para a conectividade de ramificação SD-WAN.



Não foi possível implantar dispositivos SD-WAN RED: basta anotar o número de série do dispositivo no seu XG Firewall e enviar o dispositivo para o local remoto. Qualquer pessoa não técnica no local simplesmente precisa conectar o dispositivo e ele entrará em contato com nosso serviço de provisionamento de nuvem para estabelecer automaticamente uma conexão de túnel segura com seu XG Firewall.




Sophos SD-WAN RED offers a flexible, secure, and affordable SD-WAN branch office connectivity solution.


Nossos appliances XG Series para desktop também oferecem excelentes soluções de conectividade SD-WAN para filiais, com suas opções de conectividade flexíveis, como VDSL e Cellular, além de interfaces de cobre ou fibra, e também suportam nossos robustos túneis RED.
Selecione modelos de desktop como o XG 135w mostrado aqui vêm com opções para opções de conectividade LTE / celular, VDSL, cobre ou fibra WAN.

Suporte VPN e Orquestração
Outra capacidade importante para alcançar muitos objetivos de SD-WAN é o robusto suporte a VPN e a orquestração de VPN centralizada e fácil.

O XG Firewall oferece suporte para todas as opções padrão de VPN site a site que você esperaria, incluindo IPSec, SSL e até mesmo nosso próprio túnel RED Camada 2 com roteamento muito robusto e comprovadamente confiável em situações de alta latência, como como através de links de satélite.

O Sophos Firewall Manager ou o Central Firewall Manager também oferecem ferramentas de orquestração VPN multi-site centralizadas para configurar facilmente uma malha de conexões VPN SD-WAN.





Assistente de Orquestração de VPN de vários sites do Sophos Firewall Manager.



O XG Firewall também oferece uma opção de failback de VPN flexível para failback automático para a conexão VPN primária quando um link de WAN é restaurado.




Failover de VPN IPSec do Firewall XG e opções de failback automático.





Visibilidade e roteamento de aplicativos

Outro recurso importante para atingir determinados objetivos de SD-WAN é a seleção e o roteamento de caminhos de aplicativos para garantir a qualidade e minimizar a latência de aplicativos de missão crítica, como o VoIP.

É claro que você não pode rotear o que não consegue identificar, portanto, a identificação e visibilidade precisa e confiável da aplicação é extremamente importante. Esta é uma área em que o XG Firewall e o Synchronized Security oferecem uma vantagem incrível. O Controle de Aplicativo Sincronizado fornece 100% de clareza e visibilidade em todos os aplicativos em rede, fornecendo uma vantagem significativa na identificação de aplicativos de missão crítica, especialmente aplicativos obscuros ou personalizados.






O Controle de Aplicativos Sincronizado identifica 100% de todos os aplicativos em rede, facilitando a priorização e o roteamento de aplicativos essenciais.


O XG Firewall também inclui roteamento baseado em aplicativos e seleção de caminhos em todas as regras de firewall, bem como roteamento baseado em políticas (PBR), facilitando a direcionar tráfego de aplicativos importantes para a interface WAN ideal.







O roteamento baseado em aplicativos é integrado a todas as regras de firewall, fornecendo o máximo em flexibilidade.








O roteamento baseado em políticas fornece ferramentas flexíveis para rotear o tráfego de aplicativos críticos.


O XG Firewall também inclui objetos FQDN (Fully Qualified Domain Name) predefinidos para os populares serviços de nuvem SaaS, com milhares de definições de hosts FQDN prontamente incluídas, com a opção de adicionar mais facilmente.







Host FQDN pré-definido Objetos que facilitam a seleção de caminho e o roteamento baseado em aplicativo.




Resumo e o que vem a seguir 

O XG Firewall inclui muitas soluções inovadoras para ajudar as organizações a atingirem seus objetivos de SD-WAN, desde excelentes opções de conectividade WAN até nossos exclusivos dispositivos RED SD-WAN, além de nossa visibilidade incomparável de aplicativos e ótimas opções de roteamento.
Recursos do XG Firewall SD-WAN:
Várias opções de link WAN com MPLS (handoff de ethernet), VDSL e LTE Cellular com monitoramento, balanceamento e failover essenciais
Pioneira na conectividade SD-WAN da filial com nossos dispositivos de implantação zero-touch SD-RED e VPN robusta, bem como nossos inovadores modelos de desktop da série XG
Excelente suporte VPN para IPSec, SSL, RED L2 seguro w / roteamento e uma orquestração central VPN multi-site via SFM ou CFM
Controle e visibilidade exclusivos de aplicativos com o Controle de Aplicativos Sincronizados e a visibilidade de aplicativos na nuvem, com monitoramento de conexão ao vivo e utilização de largura de banda e suporte pronto para uso para os principais aplicativos em nuvem
Roteamento de aplicativos sobre links preferenciais por meio de regras de firewall ou roteamento baseado em diretivas
E a Sophos continua a investir pesadamente em recursos SD-WAN nas próximas versões, incluindo aprimoramentos no monitoramento e seleção de link, novos dispositivos SD-RED, provisionamento de firewall de toque zero, ferramentas de orquestração VPN na Sophos Central e novas políticas de roteamento de aplicativos que aproveitam totalmente o benefícios do Controle de Aplicativos Sincronizados.

Se você está se perguntando quais lacunas existem em nossa cobertura de recursos SD-WAN, essas são essencialmente as funcionalidades nas quais estamos investindo para as próximas versões v18 e v18.5. Você pode encontrar uma lista desses recursos no slide 4 deste deck do PowerPoint.
 

Fonte: Sophos Inc.






Ver mais ...

O perigo dos e-mails de resposta automáticaPostado por Cristina

Respostas automáticas podem parecer inofensivas, porém podem representar um risco corporativo.Em 28/03/2019



 

  
 

O perigo dos e-mails de resposta automática

  

Antes de férias ou viagens de negócio, muitos funcionários configuram respostas automáticas de ausência no e-mail para que clientes e colegas saibam quem contatar em sua ausência. Normalmente, essas mensagens incluem a duração da viagem, informações de contato da pessoa que responsável pela substituição, e às vezes dados sobre projetos atuais.

Respostas automáticas podem parecer inofensivas, porém podem representar um risco corporativo. Se um colaborador não restringe a lista de destinatários, esse tipo de e-mail irá para qualquer pessoa que lhe direcione uma mensagem -  e esse poderia ser um cibercriminoso ou spammers que conseguiu passar pelos filtros. A informação sobre a ausência poderia ser suficiente para a viabilização de um ataque direcionado.

 

Uma linha, um problemão

 Nesse caso de spammers, a resposta automática permite saber que o endereço de e-mail é válido e pertence a uma pessoa específica. Informa-os do primeiro e último nome da pessoa, bem como seu cargo. A assinatura, às vezes, ainda contém um número de telefone;

Spammers normalmente lançam mensagens a endereços de uma base de dados gigantesca, que gradualmente se torna desatualizada e menos efetiva. Entretanto, quando uma pessoa real é detectada no outro lado da linha, os cibercriminosos a marcam como alvo viável e começam a mandar e-mails com mais frequência. Podem até ligar. Mas isso não é o pior.

Se a mensagem automática é enviada a um e-mail de phishing, a informação que fornece sobre o colaborador substituto, o que pode incluir nome, cargo, horário de trabalho e até telefone, pode ser usada para organizar um ataque de spear-phishing. O problema não afeta apenas grandes empresas. Na verdade, respostas automáticas são alvos fáceis, oferecem um tesouro de dados para engenharia social de diversos propósitos.


O que os cibercriminosos podem fazer

 Imagine que o Pedro sai de férias, deixando informações muito detalhadas de contato na resposta automática. Por exemplo: estarei fora do escritório até 27 de março. Para questões relacionadas ao Projeto Camomile, por favor, entre em contato com a Tatiana (e-mail e telefone). O redesign Medusa está sob a responsabilidade do André (e-mail e telefone).

Agora, André recebe uma mensagem que parece ser do diretor da Medusa LLC. Referindo-se a uma discussão anterior com Pedro, o cibercriminoso pede a André que avalie uma proposta de interface anterior. Nessa situação, André provavelmente abrirá o anexo no e-mail, colocando seu computador sob risco de infecção.

Além disso, cibercriminosos podem conseguir informações confidenciais por uma troca de e-mail, referindo-se a um colaborador ausente e seu suposto trabalho anterior juntos. Quanto mais sabem sobre a empresa, mais convincentes serão, tornando o substituto mais suscetível a repassar documentos internos e segredos comerciais.

 

O que fazer 

 

Para prevenir dores de cabeça relacionadas às respostas automáticas, uma política sensível sobre mensagens de ausência é necessária:

- Determine quais colaboradores realmente precisam delas. Se um funcionário lida com poucos clientes, pode notificá-los diretamente de sua ausência, seja por e-mail ou telefonema.

- Para colaboradores cujas tarefas estão sendo cobertas por apenas uma pessoa, faz sentido utilizar redirecionamentos. Claro, nem sempre é conveniente, mas garante que mensagens importantes não sejam perdidas.

- Recomenda-se que colaboradores criem duas opções de resposta automática ? uma para endereços internos e outra para externos. Informações mais detalhadas aos colegas, enquanto, as pessoas de fora devem saber o mínimo possível.

- Se um colaborador se corresponde com colegas apenas, elimine a ideia de respostas automáticas para endereços externos.

- Em qualquer caso, aconselhe funcionários quanto ao fato de que essas mensagens não devem possuir informações supérfluas. Nomes de linhas de produtos ou clientes, número de telefones de colegas, informações sobre onde e quando colaboradores estarão de férias, e outros detalhes do tipo.

- No servidor de e-mail, use uma solução de segurança que detecta automaticamente spam e tentativas de phishing, e verifica anexos em busca de malware ao mesmo tempo.
  



Ver mais ...

PRATICAS RECOMENDADAS DE BACKUP DO ACTIVE DIRECTORYPostado por Cristina

"- O Active Directory é um serviço amplamente conhecido para gerenciamento centralizado e autenticação de usuário em ambientes baseados no Windows.", " - É por isso que fazer backup do seu Active Directory é importante."Em 28/03/2019




 


PRÁTICAS RECOMENDADAS DE BACKUP DO ACTIVE DIRECTORY

 

 

O Active Directory é um serviço amplamente conhecido para gerenciamento centralizado e autenticação de usuário em ambientes baseados no Windows. Os administradores podem gerenciar os computadores adicionados ao domínio centralmente, o que é conveniente e economiza tempo para uma infraestrutura grande e distribuída. MS SQL e MS Exchange geralmente requerem o Active Directory. Se o controlador de domínio do Active Directory (AD DC) ficar indisponível, os usuários relacionados não poderão fazer logon e os sistemas não funcionarão corretamente, o que pode causar problemas em seu ambiente.

É por isso que fazer backup do seu Active Directory é importante. A publicação do blog de hoje explica as práticas recomendadas de backup do Active Directory, incluindo métodos e ferramentas eficazes.

 

 

PRINCÍPIO DE FUNCIONAMENTO DO ACTIVE DIRECTORY

 

O Active Directory é um sistema de gerenciamento que consiste em um banco de dados no qual os objetos individuais e os logs de transações são armazenados.

O banco de dados é dividido em várias seções que contêm diferentes tipos de informações - uma partição de esquema (que determina o design do banco de dados do AD incluindo classes de objeto e seus atributos), partição de configuração (informações sobre a estrutura do AD) e contexto de nomes de domínio (usuários, grupos e impressoras). objetos). O banco de dados do Active Directory possui uma estrutura hierárquica em forma de árvore. O arquivo Ntds.dit é usado para armazenar o banco de dados do AD.

O Active Directory usa protocolos LDAP e Kerberos para sua função na rede. O LDAP (Lightweight Directory Access Protocol) é um protocolo aberto de plataforma cruzada usado para acessar diretórios (como o Active Directory) que também tem acesso à autenticação de serviços de diretório usando o nome de usuário e a senha.

O Kerberos é um protocolo de autenticação segura e de logon único que usa criptografia de chave secreta. Os nomes de usuários e as senhas verificadas pelo servidor de autenticação Kerberos são armazenados no diretório LDAP (no caso de uso do Active Directory).

O Active Directory é totalmente integrado ao Servidor DNS, aos arquivos de sistema protegidos pelo Windows, ao Registro do Sistema de um controlador de domínio, bem como ao diretório Sysvol, ao Banco de Dados de Registros de Classes COM + e às informações de serviço de cluster. Essa integração tem influência direta na estratégia de backup do Active Directory.

 

QUAIS DADOS DEVEM SER COPIADOS?

 

De acordo com a seção anterior, você precisa fazer uma cópia não apenas do Ntds.dit, mas de todos os componentes integrados ao Active Directory.

A lista de todos os componentes que são partes integrantes do sistema do controlador de domínio é a seguinte:

 

- Serviços de Domínio do Active Directory

- Registro do sistema do controlador de domínio

- Diretório

- Sysvol

- Banco de dados de registro de classe COM +

- Informações de zona DNS integradas ao Active Directory

- Arquivos de sistema e arquivos de inicialização

- Informações de serviço de cluster

- Banco de dados de serviços de certificado (se o seu controlador de domínio for um servidor de serviço de certificado)

- Pastas meta do IIS (se o Microsoft Internet Information Services estiver instalado no seu controlador de domínio)

 

 

 

Recomendações gerais de backup do AD

 

Vamos dar uma olhada em algumas recomendações gerais para o backup do Active Directory.

 

Pelo menos um controlador de domínio em um domínio deve ser submetido a backup

 

É óbvio que, se você tiver apenas um controlador de domínio em sua infraestrutura, deverá fazer o backup desse controlador de domínio.

Se você tiver mais de um controlador de domínio, faça backup de pelo menos um deles.

Você deve fazer backup do controlador de domínio que possui funções FSMO (Flexible Single Master Operation) instaladas.

Se você perdeu todos os controladores de domínio, poderá recuperar um controlador de domínio primário (contendo funções FSMO) e implantar um novo controlador de domínio secundário, replicando as alterações do controlador de domínio primário para o controlador de domínio secundário.

 

Inclua seu backup do Active Directory em seu plano de recuperação de desastre

 

Componha seu plano de recuperação de desastres (DR) com vários cenários para recuperar sua infraestrutura enquanto se prepara para desastres hipotéticos. A melhor prática é criar um plano completo de DR antes que ocorra um desastre. Preste muita atenção à sequência de recuperação. Tenha em mente que um controlador de domínio deve ser recuperado antes que você possa recuperar outras máquinas com serviços relacionados ao Active Directory, pois eles podem se tornar inúteis sem o AD DC. Criando um plano de recuperação de desastres viável que leva em conta dependências de diferentes serviços executados em diferentes máquinas garante uma recuperação bem-sucedida.

Você pode fazer o backup de seu controlador de domínio em um site local, site remoto ou nuvem. Entre as melhores práticas de backup do Active Directory está a de ter mais de uma cópia do seu controlador de domínio de acordo com a regra de backup 3-2-1

 

Fazer backup do Active Directory regularmente

 

Você deve fazer backup do seu Active Directory regularmente com um intervalo que não exceda 60 dias. Os serviços do AD presumem que a idade do backup do Active Directory não pode ser maior do que a duração dos objetos de tombstone do AD, que, por padrão, é de 60 dias. Isso ocorre porque o Active Directory usa os objetos de marca de exclusão quando os objetos precisam ser excluídos.

Quando um objeto do AD é excluído (a maioria dos atributos do objeto é excluído), ele é marcado como o objeto de marca para exclusão e não é excluído fisicamente até que o período de vida útil da marca de exclusão expire. Se houver vários controladores de domínio em sua infraestrutura e a replicação do Active Directory estiver habilitada, o objeto de marca para exclusão será copiado para cada controlador de domínio até que a duração da marca de exclusão expire. Se você restaurar um dos seus controladores de domínio a partir de um backup cuja idade seja maior que a vida útil da marca de exclusão, você encontrará informações inconsistentes entre os controladores de domínio do Active Directory.

O controlador de domínio recuperado teria as informações sobre objetos que não existem mais nesse caso. Isso pode causar erros de acordo. Se você instalou algum driver ou aplicativo no seu controlador de domínio depois de fazer um backup, eles não estarão funcionais após a recuperação do backup, já que o estado do sistema (incluindo o registro) será recuperado para um estado anterior.

Esse é apenas mais um motivo para fazer backup do Active Directory com mais freqüência do que uma vez por 60 dias. É altamente recomendável que você faça backup do controlador de domínio do Active Directory todas as noites.

 

Use um software que garanta a consistência dos dados

 

Como em qualquer outro banco de dados, o backup do banco de dados do Active Directory deve garantir que a consistência do banco de dados seja preservada. A consistência pode ser melhor preservada se você fizer backup dos dados do AD DC quando o servidor estiver desligado ou quando o Serviço de Cópias de Sombra de Volume (VSS) da Microsoft for usado em um computador em execução.

Fazer o backup do servidor do Active Directory em um estado desligado pode não ser uma boa ideia se o servidor estiver operando no modo 24/7. As práticas recomendadas de backup do Active Directory recomendam o uso de aplicativos de backup compatíveis com VSS para fazer backup de um servidor que esteja executando o Active Directory.

Os gravadores VSS criam uma captura instantânea que congela o estado do sistema até que o backup seja concluído para evitar a modificação de arquivos ativos usados pelo Active Directory durante um processo de backup.

 

Use soluções de backup que fornecem recuperação granular

 

Quando se trata de recuperar um Active Directory, você pode recuperar o servidor inteiro com o Active Directory e todos os seus objetos.

Executar uma recuperação completa pode consumir uma quantidade significativa de tempo, especialmente se o banco de dados do AD for de tamanho considerável. Se alguns objetos do Active Directory forem acidentalmente excluídos, talvez você queira recuperar apenas esses objetos e nada mais. As práticas recomendadas de backup do Active Directory recomendam o uso de métodos e aplicativos de backup que podem executar uma recuperação granular, ou seja, recuperar apenas objetos específicos do Active Directory de um backup. Isso permite limitar o tempo gasto na recuperação.

 

Métodos de backup nativos do Active Directory

 

A Microsoft desenvolveu uma série de ferramentas nativas para fazer backup de servidores Windows, incluindo servidores que executam controladores de domínio do Active Directory.

 

Backup do Windows Server

 

O Backup do Windows Server

é um utilitário fornecido pela Microsoft com o Windows Server 2008 e versões posteriores do Windows Server que substituíram o

utilitário NTBackup, incorporado ao Windows Server 2003. Para acessá-lo, basta ativar o Backup do Windows Server em Adicionar Funções e Recursos cardápio.

O Backup do Windows Server apresenta uma nova GUI (interface gráfica do usuário) e permite criar backups incrementais usando o VSS.

Os dados de backup são salvos em um arquivo VHD - o mesmo formato de arquivo usado para o Microsoft Hyper-V. Você pode montar esses discos VHD em uma máquina virtual ou em uma máquina física e acessar os dados de backup. Observe como, ao contrário do VHD criado pelo MVMC (Microsoft Virtual Machine Converter), a imagem VHD não é inicializável nesse caso. Você pode fazer backup do volume inteiro ou do estado do sistema apenas usando o comando wbadmin start systemstatebackup.

 

Por exemplo:

wbadmin start systemstatebackup --backuptarget: E:

 

Você deve selecionar um destino de backup que seja diferente do volume do qual está fazendo o backup dos dados e um que não seja uma pasta compartilhada remota. Quando for hora de recuperar, você deve inicializar o controlador de domínio no DSRM (Directory Services Restore Mode) pressionando F8 para abrir as opções avançadas de inicialização (como faria ao entrar em um modo de segurança). Em seguida, você deve usar o comando: wbadmin get versions -backupTarget: path_to_backup machine: name_of_server

para selecionar o backup apropriado e começar a restaurar os dados necessários você também pode usar o NTDSutil

para gerenciar objetos específicos do Active Directory na linha de comando durante a recuperação.  As vantagens de usar o backup do Windows Server para o backup do Active Directory são a acessibilidade, o recurso VSS e a capacidade de fazer o backup de todo o sistema ou apenas dos componentes do Active Directory.

 

As desvantagens incluem a necessidade de possuir as habilidades e a base de conhecimento apropriadas para configurar um processo de backup e recuperação.

 

Gerenciador de Proteção de Dados do System Center

 

A Microsoft recomenda que você use o Gerenciador de Proteção de Dados do System Center (SC DPM) para fazer backup de dados, incluindo o Active Directory na infraestrutura baseada no Windows.

O SC DPM é uma solução centralizada de backup e recuperação de nível corporativo que faz parte do System Center Suite e pode ser usada para proteger o Windows Server, que inclui serviços como o Active Directory. Ao contrário do Backup do Windows Server interno gratuito, o SC DPM é um software pago que deve ser implantado separadamente como uma solução complexa. A instalação pode parecer um pouco desafiadora quando comparada com o Backup do Windows Server. De fato, um agente de backup deve ser instalado para garantir que sua máquina esteja totalmente protegida.

Os principais recursos do System Center Data Protection Manager relacionados ao backup do Active Directory são:

- Suporte VSS

- Backup incremental

- Backup para a nuvem do Microsoft Azure

- Nenhuma recuperação de objeto granular para o Active Directory

Usar o SC DPM é mais prático quando você precisa proteger um grande número de máquinas Windows, incluindo servidores MS Exchange e MS SWL.

 

Fazendo backup do controlador de domínio virtual

 

Os métodos de backup nativos do Active Directory listados podem ser usados ??para fazer backup de servidores do Active Directory implantados em servidores físicos e máquinas virtuais. A execução de controladores de domínio em máquinas virtuais oferece um conjunto de vantagens específicas para VMs, como backup em nível de host, capacidade de recuperação como VMs em execução em servidores físicos diferentes, etc. As práticas recomendadas de backup do Active Directory recomendam usar soluções de backup em nível de host fazer backups de seus controladores de domínio do Active Directory em execução em máquinas virtuais em um nível de hipervisor.

 

Usando o NAKIVO Backup & Replication para backup do Active Directory

 

O NAKIVO Backup & Replication é uma solução de backup em nível de host que pode fazer backup de VMs VMware e VMs Hyper-V executando o controlador de domínio do Active Directory da melhor maneira.

Este produto permite fazer backup de VMs de controlador de domínio inteiras, mesmo se a VM estiver em um estado em execução, respeitando o reconhecimento do aplicativo (o VSS é usado), além de fornecer a recuperação instantânea de objetos do AD. Nenhum agente é necessário. O NAKIVO Backup & Replication oferece suporte à

recuperação granular do Active Directory , com a qual você pode recuperar determinados objetos e contêineres do AD sem gastar o tempo necessário para realizar uma recuperação completa da VM.

Obviamente, a recuperação total da VM do controlador de domínio também é suportada. A instalação do produto é rápida e fácil. Backup para a nuvem, backup incremental e vários pontos de recuperação são suportados. Você pode acessar os objetos do Active Directory diretamente de backups de VMs compactados e desduplicados na interface da Web NAKIVO Backup & Replication fácil de usar e executar as seguintes ações:

 

- Pesquisar objetos e contêineres do AD

- Navegue pelo banco de dados do AD

- Ver atributos dos objetos do AD

- Selecione itens específicos do AD para recuperar

- Baixe objetos AD no formato .LDF para importar ainda mais para um servidor recuperado

 

O NAKIVO Backup & Replication suporta os seguintes casos:

- Recuperação total de um banco de dados do Active Directory ou de vários bancos de dados do AD em uma instância ativa do Active Directory

- Recuperação de um ou mais objetos em uma instância ativa do Active Directory

- Exportação completa de banco de dados em arquivos .DIT em pastas específicas

 

Você pode agendar sua tarefa de backup da VM do AD DC para ser executada todas as noites, de acordo com as práticas recomendadas de backup do Active Directory. A recuperação do Active Directory não é um processo difícil - pelo menos se você usar o NAKIVO Backup & Replication.

  

Conclusão

  

O Active Directory é classificado como um dos aplicativos mais importantes para os negócios, cuja interrupção pode causar tempo de inatividade de usuários e serviços. A postagem do blog de hoje explicou as práticas recomendadas de backup do Active Directory para ajudar a proteger sua infraestrutura contra falhas do AD. Selecionar a solução de backup correta é o importante ponto de destaque nesse caso.

O NAKIVO Backup & Replication é uma solução de backup de VM tudo em um que ajuda a proteger seus dados, além de permitir que você siga as práticas recomendadas de backup do Active Directory.

Faça o download da avaliação gratuita e experimente o produto em seu ambiente virtual.





  

Ver mais ...

Contadores são novo alvo do CibercrimePostado por Cristina

Nossos especialistas descobriram que cibercriminosos estão concentrando seus esforços em PMEs, e dando atenção especial aos contadores.Em 21/03/2019







Contadores são novo alvo do Cibercrime!

 

   

Nossos especialistas descobriram que cibercriminosos estão concentrando seus esforços em PMEs, e dando atenção especial aos contadores. Essa escolha é bastante lógica - estão em busca de acesso direto às finanças. A manifestação mais recente dessa tendência é um pico na atividade de Trojans, especificamente do Buhtrap e do RTM. Ambos possuem diferentes funcionalidades e formas de expansão, mas o mesmo propósito - roubar dinheiro de contas empresariais.
Ambas as ameaças são particularmente relevantes para empresas que trabalham em TI, serviços legais e produções em pequena escala. Isto talvez possa ser explicado pelo orçamento de segurança muito menor dessas organizações em comparação com empresas que trabalham no setor financeiro.

 

RTM

Geralmente, o RTM infecta vítimas por meio de e-mails de phishing. As mensagens imitam correspondências empresariais comuns (incluindo frases como "pedido de devolução", "cópias dos documentos do mês passado" ou "solicitação de pagamento"). Clicar em um link ou abrir um anexo leva à infecção imediata, e dá aos operadores acesso completo ao sistema infectado.
Em 2017, nossos sistemas registraram 2,3 mil usuários atacados pelo RTM. Em 2018, 130 mil alvos. E passados apenas dois meses de 2019, já vimos mais de 30 mil usuários que encontraram esse Trojan. Se a tendência continuar, vai bater o recorde do ano passado. Por enquanto, podemos considerar o RTM como um dos Trojans financeiros mais ativos.
A maioria dos alvos do RTM opera na Rússia. No entanto, nossos especialistas esperam que o vírus cruze fronteiras e eventualmente ataque usuários de outros países.
  

BUHTRAP

O primeiro encontro com o Buhtrap foi em 2014. Naquela época, esse era o nome de um grupo cibercriminoso que roubava dinheiro de estabelecimentos financeiros russos - um montante de pelo menos U$ 150 mil por golpe. Depois que os códigos-fonte das suas ferramentas se tornaram públicos em 2016, o nome foi utilizado para o Trojan financeiro.
O Buhtrap ressurgiu no início de 2017 na campanha TwoBee, quando serviu principalmente como um meio de entrega de malwares. Em março do ano passado, invadiu as notícias (literalmente), espalhando-se pelos sites dos principais veículos de mídia, cujas páginas principais tinham sido comprometidas por scripts implantados por atores maliciosos. Esses scripts executaram um exploit nos navegadores Internet Explorer de visitantes.
Poucos meses depois, em julho, cibercriminosos diminuíram seu público-alvo e se concentraram em um grupo de usuários específico: contadores que trabalham em empresas de pequeno e médio porte. Por esse motivo, criaram sites com informações direcionadas para esses profissionais.
Relembramos esse malware por causa de um novo pico, que começou no fim de 2018 e continua até hoje. Ao todo, nossos sistemas de proteção evitaram mais de 5 mil tentativas de ataques do Buhtrap, sendo 250 desde o início de 2019.
Exatamente como da última vez, o Buhtrap está se espalhando por meio de exploits embedados em portais de notícia. Como de costume, usuários do Internet Explorer estão no grupo de risco. O IE utiliza um protocolo criptografado para baixar malwares de sites infectados, e isso complica a análise e permite que o vírus se esconda de algumas soluções de segurança. E sim, ainda utiliza uma vulnerabilidade que foi descoberta em 2018.
Como resultado da infecção, tanto o Buhtrap como o RTM permitem acesso completo a estações de trabalho comprometidas. Isso permite que cibercriminosos modifiquem os arquivos usados para trocas de dados entre sistemas de contabilidade e bancários. Esses arquivos possuem nomes padronizados e nenhuma medida de proteção adicional, de forma que os bandidos podem modificá-los como quiserem. Estimar os danos é desafiador, mas conforme observamos, os criminosos estão desviando fundos em transações que não ultrapassam os U$ 15 mil cada.


O QUE PODE SER FEITO?

Para proteger sua empresa contra essas ameaças, recomendamos dar atenção especial à proteção de computadores "como os de contadores e administradores " que possuem acesso a sistemas financeiros. É claro, todas as outras máquinas precisam ser protegidas também. Aqui estão algumas dicas mais práticas:
  
* Instale patchs de segurança e atualizações para todos os softwares assim que possível.
* Proíba, dentro do possível, o uso de ferramentas de administração remota nos computadores de contadores.
* Proíba a instalação de qualquer programa não-autorizado.
* Melhore a conscientização geral sobre segurança dos funcionários que trabalham com finanças, mas também foque em práticas antiphishing.
* Instale uma solução de segurança com tecnologias de análise comportamental ativa como o Kaspersky Endpoint Security for Business.

     


Fonte

Ver mais ...

Kaspersky descobre mais uma falha desconhecida do WindowsPostado por Cristina

O novo exploit usa uma vulnerabilidade no subsistema gráfico do Microsoft Windows para conseguir privilégios locais e obter controle total do computador invadido!Em 14/03/2019







Kaspersky descobre mais uma falha desconhecida do Windows

 


As tecnologias automatizadas de proteção da Kaspersky Lab detectaram uma nova vulnerabilidade no Microsoft Windows. Acredita-se que foi usada em ataques direcionados por pelo menos dois grupos especializados em APTs, inclusive o recém-descoberto SandCat. É o quarto exploit 0-day em atividade descoberto por nossa Tecnologia de Prevenção Automática contra Exploits. A empresa notificou a falha CVE-2019-0797 à Microsoft, que já lançou uma atualização.
As vulnerabilidades 0-day são falhas desconhecidos no software que podem ser exploradas por invasores para violar o dispositivo e a rede da vítima. O novo exploit usa uma vulnerabilidade no subsistema gráfico do Microsoft Windows para conseguir privilégios locais e obter controle total do computador invadido. A amostra de malware examinada pelos pesquisadores da Kaspersky Lab mostra que o exploit visa as versões do sistema operacional do Windows 8 ao 10.
Os pesquisadores acreditam também que vários grupos especializados em APTs, como o FruityArmor e SandCat, podem ter usado o exploit detectado, mas possivelmente não apenas esses. O FruityArmor é conhecido por já ter usado exploits 0-day e o SandCat é um novo grupo descoberto recentemente.
"A descoberta de uma vulnerabilidade desconhecida no Windows e explorada ativamente mostra que essas ferramentas caras e raras continuam interessando muito aos grupos especializados em APTs e as organizações precisam de soluções de segurança capazes de protegê-las contras essas ameaças desconhecidas. Isso também reafirma a importância da colaboração entre o setor de segurança e os desenvolvedores de software: a busca de falhas, sua divulgação responsável e a correção imediata são as melhores maneiras de manter os usuários a salvo de novas ameaças", afirma Anton Ivanov, especialista em segurança da Kaspersky Lab.
A vulnerabilidade explorada foi detectada pela tecnologia de Prevenção Automática contra Exploits da Kaspersky Lab, incorporada na maioria dos produtos da empresa. As soluções da Kaspersky Lab identificam esse exploit como:


- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic


A Kaspersky Lab recomenda a adoção das seguintes medidas de segurança:

* Instale a atualização da Microsoft para corrigir a vulnerabilidade assim que possível.

* Não deixe de atualizar regularmente todos os softwares usados em sua organização e sempre que for lançado uma nova correção de segurança. Os produtos de segurança com funcionalidades de Avaliação de Vulnerabilidades e Gerenciamento de Correções ajudam a automatizar esses processos.

* Use uma solução de segurança de ponta, como o Kaspersky Endpoint Security, que fornece funcionalidades de detecção baseadas em comportamento para proporcionar proteção eficiente contra ameaças conhecidas e desconhecidas, incluindo exploits como este.

* Para empresas que necessitam de uma proteção sofisticada, use ferramentas de segurança avançadas, como a Kaspersky Anti Targeted Attack Platform.
 

* Igualmente importante, garanta que toda a sua equipe seja treinada nos conceitos básicos da higiene de cibersegurança.





Ver mais ...

Ataques contra dispositivos móveis dobram em 2018Postado por Cristina

Pesquisadores da Kaspersky Lab descobriram que o número de ataques maliciosos contra dispositivos móveis praticamente dobrou em apenas um ano. Em 2018, foram 116,5 milhões de ataques contra 66,4 milhões de 2017.Em 11/03/2019








Ataques contra dispositivos móveis dobram em 2018

   

Pesquisadores da Kaspersky Lab descobriram que o número de ataques maliciosos contra dispositivos móveis praticamente dobrou em apenas um ano. Em 2018, foram 116,5 milhões de ataques contra 66,4 milhões de 2017 -  também houve aumento significativo em usuários únicos afetados. Apesar deste crescimento, a quantidade de malware diminuiu- as ameaças móveis se tornaram mais eficazes e impactantes. Essa e outras constatações fazem parte do relatório A evolução do malware para dispositivos móveis em 2018.

A adoção de smartphones no trabalho e em diversos momentos da vida diária dos usuários está tornando o mundo mais móvel. Como consequência, os cibercriminosos estão prestando mais atenção à distribuição de malware e aos vetores de ataque. Os canais pelos quais o malware é entregue aos usuários para efetuar a infecção do dispositivo são hoje um elemento fundamental no sucesso de uma campanha maliciosa, já que se aproveitam do fato que não há nenhuma proteção instalada nos celulares.

O êxito das estratégias de distribuição é demonstrado não apenas pelo aumento dos ataques, mas também do número de usuários únicos que foram alvo. Esse número aumentou de 774 mil no ano anterior para 9,8 milhões usuários afetados em 2018. Dentre as ameaças detectadas, o crescimento mais significativo foi no uso de Trojan-Droppers, cuja parcela quase dobrou (de 8,6% para 17,2%). Esse tipo de malware foi criado para burlar a proteção do sistema e distribuir todos os tipos de malware, de trojans bancários até ransomware.

"Em 2018, os usuários de dispositivos móveis enfrentaram o que poderia ter sido o ataque mais violento de cibercriminosos já visto. Ao longo do ano, observamos novas técnicas de infecção para dispositivos móveis, como o sequestro de DNS, juntamente com um foco maior em esquemas de distribuição aprimoradas, como o spam por SMS. Essa tendência demonstra a necessidade crescente de soluções de segurança para proteger os usuários nos dispositivos móveis", afirma Víctor Chebyshev, especialista em segurança da Kaspersky Lab.  
 
 

Aumento de ransomware 
 

* As soluções de segurança da Kaspersky Lab protegeram 80,6 mil usuários em 150 países de ransomware para dispositivos móveis. Foram registradas 60,1 mil amostras deste tipo;

* Foi observado um aumento de cinco vezes nos ataques que usam mineração maliciosa de criptomoeda em dispositivos móveis;

* Foram detectados 151,3 mil trojans bancários para dispositivos móveis, um crescimento de 1,6 em comparação ao ano anterior.

 

Como se proteger



* Instale apenas apps obtidos nas lojas oficiais, como o Google Play para dispositivo Android e a App Store para o iOS;

Bloqueie a instalação de programas de origem desconhecida nas configurações do seu smartphone;

Não quebre as restrições do dispositivo, o famoso jailbreak, pois isso pode dar aos cibercriminosos funcionalidades ilimitadas para realizar os ataques;

* Instale as atualizações do sistema e de aplicativos assim que elas são disponibilizadas, isso corrige vulnerabilidades e mantém os dispositivos protegidos. Observe que as atualizações dos sistemas operacionais móveis nunca devem ser baixadas de recursos externos (a menos que você participe de testes beta oficiais). As atualizações de aplicativos só devem ser instaladas a partir das lojas de aplicativos oficiais.

 * Conte com soluções de segurança confiáveis, como o Kaspersky Security Cloud, para ter uma proteção abrangente contra diferentes ameaças.



Fonte

Ver mais ...

Bug zero-dia - Falha de Segurança no Google ChromePostado por Cristina

Usuários do Chrome, verifique se você tem a versão mais recente, ou, como Justin Schuh, um dos conhecidos pesquisadores de segurança do Chrome, diz : “leve a sério, atualize suas instalações do Google Chrome ... como neste exato minuto.”Em 07/03/2019





Bug zero-dia - Falha de Segurança no Google Chrome

 

  

Usuários do Chrome, verifique se você tem a versão mais recente, ou, como Justin Schuh, um dos conhecidos pesquisadores de segurança do Chrome, diz : "leve a sério, atualize suas instalações do Google Chrome ... como neste exato minuto."

Nós não somos grandes fãs do cromo - nós sempre pensamos que o Firefox é melhor em forma e função, para ser honesto - mas temos Chrome instalado no momento e posso dizer-lhe que a versão que você deseja é 72.0.3626.121, lançado no início de março de 2019.

Para verificar se você está atualizado, acesse a janela Sobre o Google Chrome, acessível na barra de endereço, digitando o URL especial chrome://settings/help.

Isso não só mostrará a versão atual, mas também fará uma verificação de atualização ao mesmo tempo, caso alguma atualização automática recente tenha falhado ou seu computador ainda não tenha baixado.

Esclarecimento

A vulnerabilidade de segurança zero-day, apelidado CVE-2019-5786  é uma vulnerabilidade, ou vuln. abreviada, é um bug que faz o software dar errado de uma forma que reduz a segurança do computador. Uma exploração é uma forma de ativar deliberadamente uma vulnerabilidade para passar por um controle de segurança.

Explorável ou não?

Para ser claro, todas as vulnerabilidades representam um risco, por definição, mesmo que o pior que você possa fazer com o erro seja travar um programa ou produzir um mar de mensagens de erro inesperadas. Mas da mesma forma que todos os polegares são dedos, enquanto nem todos os dedos são polegares ...

.., todas as explorações surgem de vulnerabilidades, embora nem todas as vulnerabilidades possam ser transformadas em explorações. No entanto, algumas vulnerabilidades, quando analisadas, examinadas, investigadas e atacadas com engenhosidade suficiente, podem ser levadas a fazer muito mais do que apenas provocar um erro indesejado ou bombardear um aplicativo.

Por exemplo, os invasores podem ser capazes de fazer um programa travar de uma maneira astuta que deixa o software vivo, mas com os invasores controlando diretamente sua execução, em vez de matar o programa completamente e deixar os atacantes observando um erro apologético no sistema operacional.

 

 Você pode ver por que esse tipo de ataque, dependendo de um abuso específico e traiçoeiro de uma vulnerabilidade, acabou sendo explorado pelo apelido .

E um dia zero, muito vagamente falando, é uma vulnerabilidade que os Bad Guys descobriram como explorar antes que os Bons Caras conseguissem encontrá-lo e consertá-lo.

Em outras palavras, um dia zero, geralmente escrito com 0 dia de duração, é um ataque contra o qual até mesmo os administradores de sistemas mais bem informados tinham zero dias durante os quais poderiam ter corrigido proativamente.

O nome zero-day é um pouco curioso, dado que a maioria dos 0-dias só é notada vários dias - ou talvez até semanas ou meses - depois que os bandidos começaram a usá-los. Obviamente, quanto mais tempo os criminosos puderem manter um dia de afastamento dos pesquisadores de segurança, mais tempo ele poderá sofrer abuso. O termo vem dos velhos tempos da pirataria e do cracking de jogos, onde os hackers se apressaram para ter o direito de se gabar de serem os primeiros a produzir versões quebradas. O crack final era conhecido como um dia zero - um que saiu no mesmo dia que o produto legítimo, o que significa que os piratas tinham zero dias para esperar antes que pudessem vasculhar o jogo de graça.

Informações precisas sobre o zero-day do Chrome CVE-2019-5786 são difíceis de encontrar no momento - como o Google diz:

?O acesso a detalhes de bugs e links pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção. Nós também reteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependam de forma semelhante, mas ainda não foram corrigidos.?

De acordo com as notas de lançamento oficiais, essa vulnerabilidade envolve um erro de gerenciamento de memória em uma parte do Chrome chamada FileReader.

Essa é uma ferramenta de programação que torna fácil para os desenvolvedores da web abrirem menus e diálogos pedindo para você escolher uma lista de arquivos locais, por exemplo, quando você quer escolher um arquivo para enviar ou um anexo para adicionar ao seu webmail.

Quando soubemos que a vulnerabilidade estava conectada FileReader, assumimos que o bug envolveria a leitura de arquivos que você não deveria. Ironicamente, no entanto, parece que os invasores podem ter um controle muito mais geral, permitindo que eles obtenham o que é chamado de Execução Remota de Código, ou RCE.

RCE quase sempre significa que um bandido pode implantar malware sem avisos, diálogos ou popups.

Apenas enganá-lo a olhar para uma página web armadilhada pode ser o suficiente para trapaceiros para assumir o controle remoto do seu computador.

O que fazer?

Não parece haver uma solução alternativa, mas se você tiver certeza de que está atualizado, não terá tantos problemas.  Sem uma vulnerabilidade para explorar, a exploração - obviamente - não é e não pode, portanto, a atualização é a correção definitiva para este.




Fonte


Ver mais ...

GandCrab 101: Tudo sobre o ransomware mais amplamente distribuído do momentoPostado por Cristina

O ransomware conhecido como GandCrab é, por enquanto, o ransomware mais prolífico em circulação. De muitas maneiras, sua operação é muito semelhante a outros ransomwares, mas seu modelo de negócio de ransomware como serviço parece tê-lo impulsionado.Em 06/03/2019






GandCrab 101: Tudo sobre o ransomware mais amplamente distribuído do momento

 

Neste relatório Sophos, daremos a você o que você precisa saber sobre isso, infelizmente, malwares amplamente disseminados.

O ransomware conhecido como GandCrab é, por enquanto, o ransomware mais prolífico em circulação. De muitas maneiras, sua operação é muito semelhante a outros ransomwares, mas seu modelo de negócio de ransomware como serviço parece tê-lo impulsionado.

O GandCrab apareceu há pouco mais de um ano , promovido em sites públicos, mas vendido exclusivamente pela darkweb. O pesquisador independente de segurança, David Montenegro, foi o primeiro a encontrá-lo. Naquela época, ele estava sendo distribuído pelo kit de exploração RIG, que estava sendo usado em uma campanha de malvertising, aproveitando as redes de anúncios em banner para entregar o código malicioso a visitantes desavisados a sites públicos.

Desde então, o ransomware desenvolveu um grande grupo de clientes e, infelizmente, também um grande número de vítimas. Os autores acompanharam o ritmo de uma equipe de especialistas em criptografia trabalhando para a Europol e a Bitdefender, que lançaram várias ferramentas de descriptografia, e continuam lançando versões atualizadas do malware que ultrapassa os recursos do decodificador toda vez que um novo decifrador chega às ruas.

O ransomware talvez deva parte de seu sucesso inicial ao seu esquema exclusivo de licenciamento de software, que os criadores chamaram de Dashboard Essential e se tornou amplamente conhecido como ransomware-as-a-service. Por US $ 100, senhores do crime ransomware neófitos poderiam construir um feudo criminoso de até 200 vítimas em um período de dois meses, trabalhando até ganhar o suficiente para pagar por serviços e recursos de maior valor.

 

Em essência, os criadores do GandCrab fornecem um sistema de franquia criminal.




Como você conseguiu isso?

Inicialmente entregue via kit de exploração RIG, uma vez que os licenciados começassem a usar o ransomware, eles escolhiam qualquer método de distribuição que melhor atendesse. Cerca de um mês depois, um spam malicioso começou a aparecer com documentos mal-intencionados que, quando abertos, entregavam o GandCrab às vítimas.

O malware em si usa uma abordagem inteligente sem arquivos para se executar e criptografar os arquivos da vítima. Um maldito gera o código do PowerShell que se parece com este exemplo:


Comando de ativação do PowerShell do GandCrab


 

Esta instância do PowerShell é apontada para um arquivo hospedado em um site público respeitável, como o Pastebin, mas também os identificamos em domínios maliciosos. O arquivo contém o código do PowerShell baseado em .Net que chama um módulo chamado 'Invoke-GandCrab' (naturalmente), que, a essa altura, já está carregado na memória da máquina da vítima.

O que torna este ataque especial e único é a sua capacidade de ser sem arquivo. Para conseguir isso, os autores utilizaram um recurso chamado Reflective PE Injection, disponibilizado em um repositório de código do Github chamado PowerSploit, para injetar o binário malicioso do GandCrab na memória em execução do PowerShell. Na Injeção Reflective PE, o PowerShell é feito para carregar o ransomware diretamente da memória e nunca grava uma cópia de seu PE no disco. Esta é uma contramedida eficaz para o software antivírus tradicional, que não seria capaz de detectar ou limpar o arquivo malicioso (conspicuamente ausente).

Variantes mais recentes do GandCrab estão se espalhando por meio de vulnerabilidades conhecidas (incluindo o Fallout Exploit Kit, que só recentemente apareceu na natureza), e o resto dos suspeitos usuais, variedades de Trojans. Como o Ryuk e o SamSam, alguns provedores de GandCrab atacam as vulnerabilidades do JBoss, do Oracle Fusion e do WebLogic e do Tomcat para se espalharem pelas redes corporativas. Os scripts do PowerShell também são codificados, embora executem a mesma função de antes; Eles simplesmente não são legíveis para humanos. O tráfego de ataque direcionado ao Oracle WebLogic na porta 7001 / tcp agora faz parte da radiação de segundo plano da Internet. Os invasores nunca pararão de procurar ativamente na Internet por essa porta.

 


 
Como funciona?

 

Os criadores do GandCrab lançam atualizações freqüentes de versão. Estas notas referem-se à versão 5.0.5.

O malware verifica se há um mutex no início. Se encontrar, o programa será encerrado. No nosso caso, o mutex ficou assim:



O malware também pára e não causa danos se as configurações de idioma do seu computador estiverem configuradas para qualquer uma dessas IDs de idioma específicas.


Meu computador mudou-se para San Salvador


O malware envia um perfil do hardware, sistema operacional e outras informações de volta para casa

Informações de perfil do sistema GandCrab envia para o seu C2


O GandCrab usa muitas listas. Ele mata o processo de alguns programas para criptografar corretamente os arquivos de dados que eles podem ter aberto. É claro que tem uma lista de destino de tipos de arquivos para criptografar e arquivos e caminhos para whitelist. Exclui a Cópia de Sombra de Volume das unidades e enumera todas as letras de unidade montadas.

 

A criptografia demora um pouco para ser concluída, dependendo de quão cheio é o drive. Ferramentas de descriptografia gratuitas foram liberadas para algumas versões do GandCrab, mas os autores rapidamente atualizam para outra versão, e as ferramentas de descriptografia param de funcionar. Todas as notas de resgate incluem uma chave GandCrab que você deve fornecer se atender sua demanda de pagamento.


A chave GandCrab identifica exclusivamente o franqueado ransomware


Quanto você tem que pagar?


Nota de resgate GandCrab com membros do pelotão de Bob Esponja



O modelo de negócios do GandCrab dá ao franqueado a opção de escolher o valor do resgate, entre outras características. Algumas vítimas relatam resgates tão baixos quanto $ 300, mas eles podem correr uma ordem de magnitude maior.



Comunicação de rede


O GandCrab tende a se comunicar com uma grande variedade do que parecem ser sites hackeados que executam o WordPress. Transmite dados em solicitações GET para arquivos com extensões de arquivos de imagem (jpg, png, gif, bmp)







 


Ver mais ...

5 perguntas que deve fazer durante a instalação de sua InternetPostado por Cristina

Decidiu mudar de operadora ou, talvez, precisou instalar internet em seu novo apartamento? Em 06/03/2019







5 perguntas que deve fazer durante a instalação de sua Internet  

 

Decidiu mudar de operadora ou, talvez, precisou instalar internet em seu novo apartamento? Uma das maneiras de fazer isso é ligar para o suporte técnico da empresa escolhida e esperar na cozinha em silêncio até que o trabalho esteja pronto. No entanto, também pode usar esse tempo ao seu favor e fazer algumas perguntas para descobrir como gerenciar sua rede doméstica e obter uma conexão segura.      

Neste blog, mais de uma vez, demos dicas gerais sobre o que é importante ao configurar sua rede. Ainda assim, muitos detalhes variam de acordo com o provedor e o modelo de roteador utilizados, então pode ser interessante fazer algumas perguntas diretamente para alguém que saiba mais detalhes especificamente sobre sua conexão. 

 

O que fazer se minha conexão de Internet cair?

Se ficar offline de repente, a solução mais fácil é ligar para o suporte técnico. Porém, você provavelmente não quer ouvir sempre a clássica ?sua ligação é muito importante para nós? durante 20 minutos, principalmente quando a primeira coisa que a equipe de suporte vai fazer é sugerir algumas ações que não precisam de qualquer assistência profissional, e que você poderia muito bem aprender com o técnico que está ajustando sua conexão nesse exato minuto.
Na maioria das vezes, colocar em prática esses passos básicos você mesmo funcionará. E ainda que não seja o caso, pelo menos saberá que seu tempo de espera ao telefone não foi à toa.   

Como tornar minha rede Wi-Fi inacessível para outras pessoas?

O WiFi utiliza ondas de rádio que ultrapassam paredes, de forma que ficará visível não apenas para os gadgets da sua casa, mas também para qualquer pessoa que esteja a dezenas de metros do seu roteador, inclusive nos corredores ou outros andares do seu prédio, por exemplo. Mesmo que tenha um plano ilimitado e não se importe de compartilhar tráfego, lembre-se que sua rede pode ser utilizada para comprometer os dispositivos conectados.

 
Dessa forma, se o filho do seu vizinho baixar algum malware enquanto estiver utilizando sua conexão, a infecção pode não apenas atingir seu próprio computador, como também seu roteador, smartphone e tudo que estiver conectado à rede. E se esse adolescente, por um acaso, for um aspirante a cibercriminoso, poderá até mesmo ter acesso aos seus arquivos, espiar suas fotos pessoais ou deletar documentos importantes.
 
Um vizinho suspeito pode utilizar sua rede WiFi e, portanto, seu endereço de IP para assistir pornografia ilegal ou baixar materiais extremistas, os quais podem, no mínimo, levar a uma conversa difícil com um agente da lei. Moral da história: existem diversos bons motivos para evitar que intrusos utilizem seu WiFi.

Como alterar minhas credenciais de rede e a senha do roteador?

Muitas vezes, o login e a senha iniciais da sua rede são gerados pela operadora antes ou durante a configuração. Frequentemente, são os mesmos para todos os usuários ou seguem um algoritmo bastante simples: por exemplo, o número do seu apartamento como login e seu número de telefone como senha. Nestes casos, qualquer pessoa pode facilmente acessar sua rede ? desde o seu vizinho amante de Internet até um criminoso inveterado. E mesmo que o primeiro possa não causar muitos danos, o segundo pode roubar tudo que envia por WiFi, como os detalhes do seu cartão de crédito.

Seu roteador também tem uma senha própria. Com ela, é possível reconfigurar e controlar o dispositivo. Essa senha é definida de fábrica, e muitos fabricantes usam apenas algumas combinações para um lote inteiro de produção. Indivíduos com mentes criminosas vão descobri-las facilmente, invadir seu roteador e transformá-lo em um bot zumbi, ou, outra vez, usá-lo para interceptar dados.

O melhor seria alterar todas essas senhas assim que tiver a oportunidade. Caso tenha dificuldade em lembrar de novas combinações, experimente usar um gerenciador de senhas para ajudá-lo.

 

Como atualizar o firmware do roteador?

 Um roteador parece um computador em vários aspectos. Também possui um sistema operacional, embora um pouco diferente, chamado de firmware.

Mais cedo ou mais tarde, todo firmware vai apresentar vulnerabilidades que podem ser usadas para hackear o dispositivo. Os especialistas muitas vezes as identificam antes que possam ser exploradas pelos criminosos. E depois disso, os fabricantes de roteadores lançam atualizações do firmware para corrigir as falhas. Se ignorar essas atualizações, vai permitir que os criminosos transformem sua LAN no seu próprio parque de diversões, mesmo que utilize a mais confiável das senhas para protegê-la.

Assim, pergunte ao técnico como atualizar o firmware do roteador. Se o modelo do seu roteador for antigo e não houver atualizações , é melhor substituí-lo: caso hackeado, o dispositivo obsoleto pode causar danos bem caros.

 

Minha Wi-Fi usa WPA ou WEP? E como garantir que é um WPA2?

WEP, WPA, e WPA2 são os padrões de segurança para as conexões WiFi: o WEP é o mais antigo e menos confiável, o WPA é mais novo e o WPA2 é ainda mais recente e mais seguro. Se sua rede utiliza o WEP, você tem um problema, já que é muito fácil de invadir, então é melhor substituí-lo por um WPA2. Pergunte ao técnico como mudar essa configuração.
 
Uma última coisa: não dependa apenas da sua memória! Aquilo que não utiliza diariamente pode ser facilmente esquecido. Anote ou grave as instruções do técnicos, e fotografe as configurações certas e a disposição dos fios. Além disso, compartilhe as dicas e fotos com quem você gosta.
 
Se sentir que os conselhos do profissional não são suficientes, aqui vão mais algumas dicas sobre como proteger sua rede doméstica.


 

 


Fonte

Ver mais ...

Como funciona o e SIM?Postado por Cristina

Agora que a Internet das Coisas chegou, com seus sensores, relógios inteligentes e outros dispositivos ainda menores, um compartimento de nano-SIM tornou-se um luxo inadmissível. Até o surgimento do eSIM, um cartão SIM integrado.Em 15/02/2019





 


 

Como funciona o e SIM? 

 

Quando uma tecnologia fica esquecida durante anos e depois passa a ser adotada pela Apple, é fácil observar que o assunto estará estampado nas principais manchetes. Há quase três anos, escrevemos sobre o primeiro relógio inteligente que tinha suporte a então desconhecida tecnologia eSIM, mas se tornou popular somente recentemente, devido aos iPhone XR, XS e XS Max que permitem usá-la, adicionando um SIM virtual junto a um cartão SIM físico.

Como funciona e quais são as vantagens? Vamos analisar!
  

A evolução do cartão SIM

Os primeiros celulares não tinham cartões SIM. Em vez disso, eram programados por uma operadora, por meio de uma ?conta de usuário?, com identificação de rede armazenada na memória do dispositivo. Os cartões SIM, no padrão GSM, foram desenvolvidos em 1991, e permitiam que os assinantes usassem seus telefones em quaisquer redes e conta de operadora (ou seja, número de celular) em qualquer dispositivo, bastava simplesmente inserir um pedaço de plástico com um microchip em seus aparelhos.

Enquanto os telefones e modems eram os únicos dispositivos conectados à rede, todos estavam satisfeitos com esse acordo. Com o passar dos anos, a única mudança identificada nos cartões SIM foi que ficaram cada vez menores: o mini-SIM (aquele de tamanho ?normal?) foi substituído pelo micro-SIM e, por fim, pelo nano-SIM. Percebido como o limite dessa redução: o nano-SIM é apenas o microchip sem um único milímetro de plástico sobrando.

Agora que a Internet das Coisas chegou, com seus sensores, relógios inteligentes e outros dispositivos ainda menores, um compartimento de nano-SIM tornou-se um luxo inadmissível. Até o surgimento do eSIM, um cartão SIM integrado.

A primeira vista, parece ser o retorno aos telefones programáveis. No entanto, este microchip revolucionário (de aproximadamente 5×6 mm, uma fração do tamanho de um nano-SIM) não só armazena dados de assinatura, como também pode ter seu download feito de forma remota.

Em termos práticos, isso significa que não há necessidade de inserir manualmente cartões SIM em dezenas de milhares de sensores de estacionamento ou módulos de controle de iluminação pública, ou reordenar um lote inteiro de cartões ao mudar de operadora.

As comunicações móveis ficaram ainda mais móveis

Acontece que a tecnologia eSIM é ótima não apenas para dispositivos inteligentes, mas também para vender cartões SIM para telefones remotamente. As operadoras economizam dinheiro em pacotes iniciais, aluguéis de espaço de varejo, taxas de distribuidores e assim por diante, e o público consumidor economiza tempo e esforço por não ter que ir a uma loja ou esperar que um pacote inicial seja entregue.

Também é perfeito para viajantes que procuram evitar tarifas de roaming. Adquirir o plano certo online e fazer o download direto para o seu celular é muito mais simples do que comprar em uma loja no exterior, especialmente se você não fala o idioma do país de destino.

Quais as limitações da transição para o eSIM?

Na verdade, a tecnologia eSIM tem vantagens e desvantagens, pelo menos para as operadoras.

Claro que isso simplifica a venda de serviços, mas também facilita a migração dos clientes para as concorrentes. Atualmente, existe certo atraso entre encomendar um novo cartão SIM e recebê-lo. Com um eSIM, você pode obter um código de ativação muito mais rápido, facilitando a portabilidade. Porém, as operadoras certamente não querem que você as deixe com tanta facilidade.

Além disso, na maioria dos países ocidentais, os smartphones são concedidos por meio de contrato, o que significa que estão vinculados à operadora que os vendeu e funcionam apenas com cartões SIM dessa operadora. O que a Apple está fazendo é reformulando a lógica de funcionamento do mercado, ao entregar a iniciativa aos fabricantes de dispositivos e estimular as operadoras a desenvolverem vendas online.

Quando não há eSIM ? mesmo em um iPhone

Não são apenas as operadoras que estão resistindo à disseminação do eSIM, os órgãos de controle também. Em alguns países, a lei exige que o ID do SIM (que somente os SIMs físicos têm) seja especificado no contrato. Nesses países, as operadoras são obrigadas a realizar verificações de identidade com base nos passaporte dos assinantes, mas em teoria, esse problema pode ser resolvido facilmente. Por exemplo, os usuários podem se registrar utilizando uma selfie, assegurando sua identificação pessoal. (É verdade que, como acontece com a maioria dos dados pessoais roubados, essas fotos acabarão sendo vendidas na darknet).

Moradores da China continental, um dos maiores mercados da Apple, também não terão a chance de experimentar a tecnologia eSIM por enquanto. De acordo com informações divulgadas no site da Apple, em vez de um iPhone com um eSIM virtual, serão vendidos na China os modelos com dois compartimentos de nano-SIM. Da mesma forma, os novos dispositivos em Hong Kong e Macau serão Dual SIM com cartões físicos. Na verdade, o eSIM também estará disponível, mas apenas nos smartphones iPhone XS.

Quais operadoras aderiram ao eSIM?

Até o momento, o eSIM para iPhone é fornecido por operadoras de celular na maioria dos países europeus, além do Canadá, Catar, Singapura, Taiwan, Hong Kong, Tailândia, Emirados Árabes Unidos, Índia, Kuwait e EUA.

Os cartões SIM ?turísticos? também podem ser adquiridos nas operadoras internacionais Truphone e GigSky. Para muitos, os SIMs de viagem são, na verdade, a única maneira de experimentar o eSIM em um futuro próximo. Nos poucos países em que as operadoras aderiram a funcionalidade, esses serviços estão disponíveis apenas para residentes locais e não em telefones bloqueados (ou seja, aqueles vinculados a uma determinada operadora).

Como acessar a rede móvel usando o eSIM?

Conectar um cartão SIM virtual não é complicado. Tudo o que precisar ser feito é digitalizar um QR code gerado pela operadora ou inserir manualmente os seguintes parâmetros: SM-DP+ (Subscription Manager Data Preparation), endereço do servidor e código de ativação. A operadora irá fornecê-los.

O servidor SM-DP + é o local em que os perfis de assinantes são gerados e o programa LPA (Local Profile Assistant) é o responsável por solicitar o perfil no dispositivo e o carregar no eUICC (Universal Integrated Circuit Card embedado) ? o microchip, no qual esse perfil é posteriormente armazenado de forma criptografada. O eUICC também é usado para autorização de rede.

Ele também pode hospedar vários perfis SIM simultaneamente, com uma capacidade de memória de 512 KB versus 64 ou 128 KB em SIMs tradicionais. Isso permite que os usuários alternem entre os cartões SIM virtuais. No novo iPhone, isso pode ser acessado em Ajustes -> Celular -> Adicionar Plano Celular.

Achamos que se você tem o novo iPhone, deveria tentar. No Brasil, essa tecnologia era disponibilizada por apenas uma operadora para o Apple Watch, porém não há muitas informações para novos usuários que queiram aderir ao Dual SIM virtual. De qualquer forma, você poderá comprar um cartão eSIM quando estiver no exterior.

FONTE


Ver mais ...

Mais de 700 milhões de emails vazam na Internet. E agora?Postado por Cristina

Vazamento de uma base de dados com mais de 700 milhões de endereços de e-mail e mais de 1,1 bilhão de pares únicos de login-senha.Em 23/01/2019













Mais de 700 milhões de emails vazam na Internet. E agora?

 

 

O especialista em privacidade e segurança Troy Hunt publicou hoje um post sobre o famoso Collection #1 ? uma base de dados com mais de 700 milhões de endereços de e-mail e mais de 1,1 bilhão de pares únicos de login-senha. Explicaremos a seguir em que poderia afetá-lo e o que pode ser feito a respeito.

Vazamentos e violações de dados são reais e acontecem às vezes em grande escala. Os cibercriminosos coletam as informações vazadas e criam base de dados com logins e senhas. Alguns deles tentam adicionar informações de cada roubo de informações sensíveis a esses bancos, esforço que resulta na criação de bases de dados gigantescas como o Collection #1, recentemente analisado por Troy Hunt.

Isso não é apenas um vazamento monstruoso (como o que aconteceu com o Yahoo! com bilhões de credenciais de usuários roubadas) é, em vez disso, uma coleção que compila informações de mais de 2 mil vazamentos diferentes, alguns deles de 2008, e outros mais recentes.

Surpreendentemente, o Collection #1 não parece incluir logins e senhas de vazamentos famosos como o caso do LinkedIn que ocorreu em 2012 e das duas violações do Yahoo (Acesse aqui o nosso post sobre a primeira, e aqui a publicação sobre a segunda).

 

Meus dados estão no Collection #1?

 

Para saber se alguma das suas credenciais está na base de dados, acesse haveibeenpwned.com. Digite o endereço de e-mail ao qual suas contas estão associadas ? e poderá pesquisar se foi incluído em qualquer uma das bases de dados hackeadas que o site conhece.

Se o seu e-mail fizer parte do Collection #1? haverá uma entrada relacionada a isso no haveibeenpwned. Se não estiver lá, você tem sorte e não há nada que precise fazer. Mas caso esteja, é aí que começa a parte complicada.

 

 O que devo fazer se minha conta estiver lá?

Se o seu e-mail estiver lá, é certamente um sinal de que você precisa fazer alguma coisa. No entanto, o serviço não informa qual das suas contas vinculadas a esse e-mail foi violada. Foi uma conta em um fórum de criptomoeda, de uma biblioteca online, ou quem sabe de uma conta de comunidade de amantes de gatos? Dito isso, há duas opções, dependendo se você está usando uma única senha em vários serviços ou não.

  

Opção 1: você estava usando uma senha para várias contas associadas a esse endereço de e-mail. O caso ficou mais complicado! Para garantir a segurança, acesse essas contas e altere as senhas. Não se esqueça que essas senhas precisam ser longas e únicas. Acho que, como você está acostumado a lembrar apenas de uma, tentar memorizar várias novas seria praticamente impossível. Por isso, provavelmente é uma boa ideia usar um gerenciador de senhas.

 

Opção 2: você estava usando senhas únicas para cada uma das contas associadas a esse e-mail. Boas notícias: vai ser um pouco mais fácil. Claro que você também pode alterar todas as suas senhas, mas não precisa. Você também pode tentar descobrir quais foram expostas usando outro recurso do hasibeenpwned chamado Pwned Passwords.

Você poderá digitar a senha de uma das suas contas e comprovar se ela foi mencionada na base de dados de haveibeenpwned com as senhas hackeadas ? em texto simples ou em hash. Se você ver que essa ou outra senha apareceu no haveibeenpwned pelo menos uma vez, será necessário alterá-la. Se não aparecer, então é seguro. Em seguida, prossiga para a verificação de outra senha.

Claro, que fazer isso significa confiar na haveibeenpwned, e a maioria das pessoas não tem absolutamente nenhuma razão para isso. Por esse motivo, você também pode colar um hash SHA-1 da sua senha? e isso possibilitará a obtenção de praticamente o mesmo resultado. Existem vários recursos online que fazem hashes SHA-1 para qualquer informação que você fornecer (joguei no google para você). Dessa forma, sua senha não será exposta no haveibeenpwned, por isso não há razões adicionais para se sentir paranoico.


Conselhos para se manter longe da maioria dos vazamentos

 

Temos visto inúmeros vazamentos nos últimos anos e é seguro presumir que muitos deles ainda irão acontecer no futuro. É por isso que novas bases de dados grandes, como o Collection #1, continuarão aparecendo de tempos em tempos, e os cibercriminosos terão prazer em usá-los para tentar invadir as contas das pessoas. Para minimizar os riscos, recomendo que você siga as instruções abaixo:

Use senhas longas e exclusivas para cada conta. Dessa forma, se um serviço for hackeado, você precisará alterar apenas uma senha.

Ative a autenticação de dois fatores sempre que possível. Isso dificulta que hackers acessem a sua conta, mesmo que eles consigam obter seu login e senha.

Use soluções de segurança como o Kaspersky Security Cloud que pode alertá-lo sobre violações recentes.

Use um gerenciador de senhas que possa ajudá-lo a criar inúmeras senhas únicas e fortes, sem necessidade de memorizá-las. Os gerenciadores de senhas também podem ser úteis quando precisar alterá-las de forma rápida e segura. Kaspersky Password Manager gerencia essas duas tarefas com eficiência.






Fonte: Kaspersky


Ver mais ...

Kaspersky Lab descobre terceira falha de 0-day no WindowsPostado por Cristina

As tecnologias de detecção automática da Kaspersky descobriram uma nova vulnerabilidade que explora o kernel (núcleo) do Windows.Em 17/12/2018


 




Kaspersky Lab descobre terceira falha de 0-day no Windows

  

     

As tecnologias de detecção automática da Kaspersky descobriram uma nova vulnerabilidade que explora o kernel (núcleo) do Windows. É o terceiro ataque consecutivo de 0-day (desconhecido) descoberto nos últimos três meses. Como a falha (CVE-2018-8611) está no módulo do kernel do sistema, este exploit é particularmente perigoso e pode ser usado para ignorar os mecanismos de mitigação de explorações maliciosas existentes em navegadores web modernos, incluindo o Chrome e o Edge.

Os ataques que exploram vulnerabilidades de 0-day são uma das formas mais perigosas de ciberameaça, pois, por ser desconhecida, não existe detecção ou correção. Quando descoberta por um criminoso, esse tipo de falha é usada em um exploit para garantir acesso a todo o sistema da vítima e por isso são extremamente valiosas para os cibercriminoso e de difícil detecção.

Todas os três exploits foram detectados pela tecnologia de Prevenção Automática contra Exploits da Kaspersky Lab, incorporada na maioria dos produtos da empresa. Como as duas explorações desconhecidas anteriores (CVE-2018-8589 e CVE-2018-8453), e corrigidas pela Microsoft em outubro e novembro, respectivamente, a mais recente estava sendo explorada em ataques direcionados ativos (in-the-wild). O exploit CVE-2018-8589 foi nomeado de "Alice" pelos criadores do malware, que também se referem ao último por "Jasmine". Os pesquisadores da Kaspersky Lab acreditam que a nova vulnerabilidade foi explorada por vários cibercriminosos, incluindo uma nova ameaça persistente avançada (APT) chamada Sandcat.

"A descoberta de três vulnerabilidades de 0-day no modo kernel em poucos meses é uma evidência de que nossos produtos usam as melhores tecnologias e são capazes de detectar ameaças sofisticadas. Para as organizações, é importante entender que, para proteger seu perímetro, elas precisam de uma solução que combine proteção endpoint e uma plataforma avançada de detecção de ameaças", afirma Anton Ivanov, especialista em segurança da Kaspersky Lab.



Fonte: Kaspersky

Ver mais ...

Um terço dos computadores sofreram ataques de malware em 2018Postado por Cristina

Segundo a empresa de cibersegurança Kaspersky, cerca de 30% dos computadores no mundo sofreram com ataques de malware em 2018. Além disso, que o número de backdoors aumentou em 44% e o de ransomwares cresceu 43%.Em 06/12/2018





Um terço dos computadores sofreram ataques de malware em 2018

 

   

   Segundo a empresa de cibersegurança Kaspersky, cerca de 30% dos computadores no mundo sofreram com ataques de malware em 2018. Além disso, que o número de backdoors aumentou em 44% e o de ransomwares cresceu 43%.

   Estes resultados mostram que o malware, especialmente os backdoors e o ransomware, continuam sendo um perigo significativo para os usuários de computadores, diz a empresa.

   Backdoor é um acesso ao dispositivo utilizado por cibercriminosos para o controle remoto. Enquanto isso, o ransomware é um tipo de ataque que sequestra o computador ou smartphone e pede um valor X em criptomoeda para a liberação de arquivos, por exemplo o WannaCry é um exemplo de ransomware que teve muito sucesso.

  Em 2018, o ransomware (Trojan-Ransom) e os backdoors detectados compreenderam 3,5% e 3,7% de todos os novos arquivos maliciosos coletados nos primeiros dez meses do ano. Isto representa um aumento de 43% para o ransomware (de 2.198.130 em 2017 para 3.133.513 em 2018) e de 44% para os backdoors (de 2.272.341 em 2017 para 3.263.681 em 2018) em relação ao período anterior?, detalha a empresa. Ao todo, as tecnologias de detecção da Kaspersky Lab encontraram 346.000 novos malware por dia nos dez primeiros meses do ano. O número e o alcance de novos arquivos maliciosos detectados diariamente são uma boa indicação dos interesses dos cibercriminosos envolvidos na criação e na distribuição de malware. Em 2011, nossas tecnologias detectaram 70.000 novos arquivos por dia e, até 2017, esse número aumentou cinco vezes, chegando a 360.000.


Acompanhe abaixo mais pontos sobre os ciberataques em 2018:

 

   A solução de segurança da web da Kaspersky Lab detectou 21.643.946 objetos maliciosos únicos

30,01% dos computadores de usuários sofreram pelo menos um ataque de malware durante este ano. 

 

E para ficar protegido, a Kaspersky Lab recomenda:

 

  Prestar muita atenção e não abrir arquivos ou anexos suspeitos recebidos de fontes desconhecidas;

Não baixar e instalar apps de fontes não confiáveis;

Não clicar em links recebidos de fontes desconhecidas e anúncios suspeitos;

Criar senhas fortes (longas) e não esquecer de alterá-las regularmente;

Sempre instalar as atualizações disponíveis, pois elas podem conter correções para problemas de segurança críticos;

Ignorar mensagens que solicitam a desativação de sistemas de segurança para software do Office ou software antivírus;

A utilização de uma solução de segurança eficiente. 

 


Fonte

Ver mais ...

Spyware Pegasus pode ter ajudado a matar jornalista saudita.Postado por Cristina

O Pegasus , que infecta smartphones, contém uma série de recursos de espionagem.Em 05/12/2018








Spyware Pegasus pode ter ajudado a matar jornalista saudita. 

  

O processo alega que o NSO Group violou a lei internacional ao permitir que Pegasus fosse usado por regimes opressivos para caçar dissidentes e jornalistas.

Um renomado dissidente saudita anteriormente alvejado pelo notório spyware Pegasus entrou com uma ação contra os autores do spyware, o NSO Group, de Israel. O processo alega que Pegasus foi fundamental na vigilância do governo saudita contra o jornalista do Washington Post, Jamal Khashoggi, que levou ao assassinato no consulado saudita em Istambul.

O Pegasus , que infecta smartphones, contém uma série de recursos de espionagem. Depois de verificar o dispositivo do alvo, ele instala os módulos necessários para ler as mensagens e mensagens do usuário, ouvir chamadas, capturar capturas de tela, registrar teclas pressionadas, exfiltrar histórico do navegador, contatos e realizar outras tarefas de vigilância conforme necessário.

Omar Abdulaziz, um ativista saudita e residente em Montreal, foi alvo e infectado com spyware Pegasus durante o verão, de acordo com o Citizen Lab. A segmentação ocorreu enquanto Abdulaziz, que recebeu recentemente asilo no Canadá, frequentava a Universidade McGill.

Durante esse período, Abdulaziz e Khashoggi realizaram intercâmbios quase diários até agosto de 2018, segundo reportagem da CNN - durante a qual eles planejaram uma campanha que apelidaram de "cyberbees". Cyberbees seria um esforço para permitir que jovens sauditas socialmente conscientes Twitter, a fim de desafiar a propaganda do estado do Reino e o que eles viam como táticas opressivas do regime. Seria o perfil público jornalístico de Khashoggi e o Twitter de Abdulaziz de 340.000 pessoas.

O esquema envolveu o envio de cartões SIM estrangeiros não rastreáveis "para dissidentes em casa, a fim de ajudar as "abelhas" a evitar serem identificadas enquanto twittaram; e um esforço para envolver sub-repticiamente doadores ricos para despejar dinheiro no projeto. Os dois discutiram os arranjos via mensagens do WhatsApp; mas de alguma forma, o governo saudita descobriu seu plano, segundo Abdulaziz. Ele coloca o vazamento diretamente na conta do spyware do Pegasus, que ele alega ter sido emitido pelo governo saudita.  

No domingo, os advogados de Abdulaziz entraram com uma ação em Tel Aviv, alegando que a NSO infringiu a lei internacional ao permitir conscientemente que seus produtos fossem usados "para infringir os direitos humanos."

"O NSO deve ser responsabilizado para proteger as vidas de dissidentes políticos, jornalistas e ativistas de direitos humanos", disse o advogado de Abdulaziz, Alaa Mahajna, falando à CNN .

De sua parte, Abdulaziz não encostou seus pensamentos: "A invasão do meu celular teve um papel importante no que aconteceu com o Jamal, lamento muito dizer", disse Abdelaziz à CNN. "A culpa está me matando."

O NSO Group disse em comunicado à imprensa que as alegações são "completamente infundadas" e que não há evidências de que Pegasus tenha sido usado para hackear o telefone de Abdulaziz. "O processo parece ser baseado em uma coleção de recortes de imprensa que foram gerados com o único propósito de criar notícias e não refletem a realidade do trabalho do NSO", disse.

Também reiterou seu mantra de que o Pegasus só ajuda os governos e agências de aplicação da lei a "combater o terrorismo e o crime em uma era moderna?, mas também se deu: " Além disso, os produtos fornecidos pela NSO são operados pelo cliente do governo a quem eles foram fornecidos, sem o envolvimento da NSO ou de seus funcionários ?.

Apesar das declarações do Grupo NSO em contrário, o ataque a Abdulaziz se encaixa em um padrão de ataques contínuos a membros da ?sociedade civil? (jornalistas, defensores da justiça social, dissidentes e organizações de direitos humanos) usando o malware Pegasus, segundo o Citizen Lab. No boletim Virus Bulletin 2018 de outubro, em Montreal, Masashi Nishihata, do Citizen Lab, explicou em uma sessão que o ataque a Abdulaziz foi ?inferido como sendo um agressor baseado na Arábia Saudita?.

Ele acrescentou: "Abdulaziz tem sido franco em uma disputa diplomática em curso sobre questões de direitos humanos entre o Canadá ea Arábia Saudita".

O dissidente ganhou notoriedade; Ele aparece regularmente na mídia canadense e "Omar acumulou seguidores significativos no YouTube", disse John Scott Railton, do Citizen Lab, também falando no Virus Bulletin. "E ele tem estado sob pressão do governo saudita para diminuí-lo."  

Além disso, em uma aparição no atual programa de assuntos da Canadian Broadcasting Corporation (CBC), The Current, em 10 de agosto, ele disse que as autoridades sauditas haviam entrado na casa de seu irmão na Arábia Saudita e "pediram para ele me convencer [a] pare de twittar sobre o que realmente está acontecendo entre o Canadá e a Arábia Saudita, ou eles vão mandá-lo para a cadeia. "

O Citizen Lab disse que a situação é apenas um exemplo do uso indevido de spyware comercial - que define como produtos ostensivamente feitos por empresas legítimas para uso por organizações governamentais supostamente aprovadas para capturar terroristas e criminosos. Mas tem notado constantemente o uso do Pegasus e de outras ferramentas de hacking de nível militar para atacar a sociedade civil, em nome de suspeitos de vários governos opressores ou corruptos.

"Em seis anos, observamos que quatro empresas de spyware (FinFisher, Hacking Team, Cyberbit e NSO Group) fazem afirmações semelhantes: seus produtos são usados" para capturar terroristas e criminosos; eles realizam due diligence antes de vender seus produtos a um cliente; e investigam alegações de uso indevido, tomando medidas corretivas se justificadas", observaram os pesquisadores em uma postagem recente. Ainda as descobertas do Citizen Lab mostram que muitos governos e seus serviços de inteligência não podem resistir a abusar de spyware os produtos de cada empresa foram maltratados de forma a causar danos mensuráveis aos defensores de direitos humanos, jornalistas, advogados que trabalham em nome de vítimas de crimes ou mídia cívica por exemplo, blogueiros. 

A ação de Abdulaziz ocorre na sequência de ações semelhantes  , alegando que os governos do México e dos Emirados Árabes Unidos espionaram jornalistas e outros. A Anistia Internacional, que também recentemente acusou a Arábia Saudita de usar o Pegasus para espionar seus funcionários, disse  na semana passada  que estava considerando uma ação legal, a menos que o Ministério da Defesa de Israel revogue a licença do NSO Group para exportar o spyware.

"De uma perspectiva moderna e democrática, o avanço da tecnologia de armas cibernéticas deve estar sujeito a um uso ético e controlado", disse Rick Moy, CMO da Acalvio, ao Threatpost. "Os freios e contrapesos que esperamos em relação ao uso da força cinética também devem se traduzir no ciberespaço de hoje. Infelizmente, nem todos os governos e indivíduos têm a mesma opinião. Como os ataques cibernéticos cruzam fronteiras internacionais, agora estamos falando sobre a sociedade civil como um discurso internacional. Pesquisadores de malware estão legitimamente na vanguarda desse movimento. O Citizen Lab e outros grupos devem continuar a divulgar este tópico abertamente e responsabilizar entidades públicas e privadas pelo seu uso indevido". 


 

 

Fonte: Threat Post

Ver mais ...

Polícia Federal vai atrás de ciberquadrilha que roubou até 8 MilhõesPostado por Cristina

De acordo com a Polícia Federal, as operações criminosas investigadas podem ter desviado cerca de R$ 8 milhões. Em 05/12/2018





 


Polícia Federal vai atrás de ciberquadrilha que roubou até R$ 8 milhões

  

 

A Polícia Federal deflagrou a Operação BR 153 que visa combater fraudes bancárias eletrônicas no Brasil. Só hoje (04), cumpriu 12 mandados judiciais de busca e apreensão, além de quatro prisões temporárias no Pará, Tocantins, Goiás e Distrito Federal.

De acordo com a Polícia Federal, as operações criminosas investigadas podem ter desviado cerca de R$ 8 milhões. Os alvos da PF seriam de uma quadrilha cibercriminosa especializada em realizar fraudes via internet banking provavelmente, ataques de phishing ou infecções que causavam overlay sobre apps e sites. Segundo a polícia, essa quadrilha atuava desde 2012.

As vítimas eram de várias instituições financeiras, como Caixa Econômica Federal, Bradesco e Itaú. Uma explicação mais genérica, segundo o G1, diz que os criminosos se faziam passar pela instituição financeira, "criando páginas idênticas as dos bancos para obter os dados pessoais e senhas bancárias das vítimas por meio de programas de captura de dados".

Além das prisões e mandados de busca e apreensão, a PF também realizou o sequestro de veículos de luxo de um suspeito em Goiás. "A Justiça Federal também decretou a indisponibilidade de bens e valores dos investigados", nota o G1. Até o momento, a PF já catalogou mais de R$ 800 mil em prejuízos, que pode chegar até R$ 8 milhões, como citado anteriormente.



Fonte 

Ver mais ...

ESTRATÉGIA DE REPLICAÇÃO SÍNCRONA VS. ASSÍNCRONAPostado por Cristina

O mundo dos negócios modernos está se expandindo a cada segundo, o que significa que há quantidades cada vez maiores de dados vulneráveis que precisam ser protegidos.Em 27/11/2018








 ESTRATÉGIA DE REPLICAÇÃO SÍNCRONA VS. ASSÍNCRONA

 

O mundo dos negócios modernos está se expandindo a cada segundo, o que significa que há quantidades cada vez maiores de dados vulneráveis que precisam ser protegidos.

No caso de um desastre, todas as empresas devem ter um conjunto de estratégias de recuperação para proteger e restaurar os processos de missão crítica o mais rápido possível.

Portanto, surge a necessidade de replicação remota, o que implica o envio de dados críticos para os negócios para um armazenamento confiável e recuperação rápida. 

  

O que é replicação remota?

A replicação remota é uma parte essencial da proteção e recuperação de dados.

Anteriormente, a replicação era usada principalmente para copiar e armazenar dados de aplicativos em locais externos.

No entanto, com o tempo, essa tecnologia se expandiu significativamente.

Atualmente, a replicação permite criar uma cópia sincronizada de uma VM em um host de destino remoto.

A cópia da VM é chamada de réplica e funciona exatamente como uma VM comum disponível em um host de origem.

As réplicas de VM podem ser transferidas e executadas em qualquer hardware com capacidade.

Eles podem ser ligados em questão de segundos, caso a VM original falhe.

Essa tecnologia pode reduzir significativamente o tempo de inatividade, além de mitigar possíveis riscos e perdas de negócios associados a desastres.

Antes de executar um trabalho de replicação, os seguintes fatores devem ser considerados:

 

Distância

- Quanto maior a distância entre os sites, mais latência será experimentada.

Largura de banda

- A velocidade da Internet e a conectividade de rede devem ser suficientes para garantir uma conexão avançada para transferência de dados rápida e segura.

Taxa de dados

- A taxa de dados deve ser menor que a largura de banda disponível para não sobrecarregar a rede.

Tecnologia de replicação

- Os trabalhos de replicação devem ser executados em paralelo (simultaneamente) para uso eficiente da rede.

Esses fatores ajudam a definir qual tipo de replicação é preferível ao lidar com um tipo específico de desastre.

 

Estratégias de Replicação

Dois tipos principais de replicação de dados podem ser distinguidos: síncrono e assíncrono.

Replicação Síncrona

Aqui, os dados são replicados para um local remoto secundário ao mesmo tempo em que novos dados são criados ou atualizados no datacenter principal.

Isso torna a replicação quase instantânea, que permite manter suas réplicas de dados apenas alguns minutos mais antigas que o material de origem.

Essencialmente, as fontes de host e de destino permanecem completamente sincronizadas, o que é crucial para o êxito da recuperação de desastres (DR).

Devido ao fato de que os dados são atomicamente atualizados em vários locais remotos, o desempenho e a disponibilidade da rede são afetados.

As operações atômicas são definidas como uma sequência de operações que devem ser concluídas sem interrupção antes que outra tarefa possa ser executada.

No contexto da replicação síncrona, isso significa que a gravação é considerada concluída somente quando os armazenamentos locais e remotos reconhecem sua conclusão.

Assim, a perda de dados zero é garantida, mas o desempenho geral é desacelerado.

 

Replicação assíncrona

Nesse caso, a replicação não é executada ao mesmo tempo em que as alterações são feitas no armazenamento primário.

Os dados são replicados apenas em períodos de tempo predeterminados (isso pode ser por hora, diariamente ou semanalmente).

A réplica pode ser armazenada em um local de DR remoto, pois a réplica não precisa ser sincronizada com o local principal em tempo real.

Com a replicação assíncrona, os dados não são atualizados atomicamente em vários locais, o que significa que o aplicativo prossegue com a gravação de dados que ainda não foram totalmente replicados.

Assim, uma gravação é considerada concluída assim que o armazenamento local a reconhecer.

Com a replicação assíncrona, o desempenho e a disponibilidade da rede são aprimorados sem afetar a largura de banda.

Isso se deve ao fato de que as réplicas não são atualizadas em tempo real.

A desvantagem é que, em um cenário de desastre, o site de DR pode não conter as alterações feitas mais recentemente, portanto, alguns dados críticos podem ser perdidos.

 


Qual é melhor: replicação síncrona ou assíncrona?

Não há uma resposta clara para essa pergunta, sua escolha depende inteiramente de suas prioridades de negócios.

A replicação assíncrona funciona melhor com projetos que se estendem por longas distâncias e recebem um orçamento mínimo.

Também é adequado para empresas que podem ter perda de dados parcial.

Por outro lado, a replicação síncrona é executada quando um armazenamento confiável e de longo prazo é necessário e a empresa não pode perder dados críticos.

É útil quando RTOs e RPOs são curtos.

No entanto, existe um meio termo: você pode usar estratégias de replicação síncrona e assíncrona, em diferentes níveis de infraestrutura.

Por exemplo, a replicação síncrona pode ser usada para transferir e proteger dados em uma rede local (LAN), enquanto a replicação assíncrona envia dados críticos para um site de DR remoto.

 

Replicação no NAKIVO Backup & Replication

Modo de replicação

A replicação no NAKIVO Backup & Replication é sempre incremental.

A primeira replicação copia a VM completa, mas as tarefas de replicação a seguir salvam apenas as alterações nos dados da réplica (incrementos).

Além disso, após cada trabalho de replicação, é criado um ponto de recuperação que referencia todos os blocos de dados necessários para a recuperação da VM.

Esse modo de replicação garante uma carga de rede reduzida e economiza o tempo que seria gasto em tarefas de replicação completa.

 

Plataformas compatíveis

O NAKIVO Backup & Replication oferece implementação rápida em várias plataformas de hardware e software:

* VMware VA: O VMware Virtual Appliance pré-configurado pode ser facilmente baixado e depois importado para o VMware vSphere.

* NAS: Ao instalar o NAKIVO Backup & Replication diretamente em um dispositivo NAS, você pode criar seu próprio dispositivo de backup de VM.

* AWS AMI: O NAKIVO Backup & Replication pode ser implantado na nuvem da Amazon como uma Amazon Machine Image (AMI) pré-configurada.

* O NAKIVO Backup & Replication pode ser instalado em uma máquina física ou virtual que executa o Linux com um único comando.

* O NAKIVO Backup & Replication pode ser instalado em uma máquina física ou virtual executando o Windows com um único clique.

 

Recursos de replicação

Instantâneos

Um instantâneo captura o estado de um sistema em um determinado ponto no tempo.

Com o NAKIVO Backup & Replication, as réplicas de VM são criadas por meio de snapshots de VM, que são usadas para recuperar dados atuais da VM.

Toda vez que uma tarefa de replicação é executada, uma captura instantânea temporária da VM é obtida, os dados alterados são identificados e todas as atualizações são adicionadas à réplica.

Depois que o trabalho for concluído, o instantâneo será excluído.

 

Acompanhamento de bloco alterado

O NAKIVO Backup & Replication conta com o VMware CBT (Rastreamento de Bloco Alterado) e o Hyper-V RCT (Rastreamento de Mudança Resiliente) para identificar e copiar as alterações feitas em uma VM desde a última replicação.

Essa tecnologia melhora significativamente a velocidade dos trabalhos de replicação.

Se o CBT e o RCT não estiverem disponíveis, o NAKIVO Backup & Replication usa um método de rastreamento de alterações proprietário incorporado.

 

Suporte ao aplicativo ao vivo

O NAKIVO Backup & Replication é uma solução com reconhecimento de aplicativos.

As VMs são usadas para executar todos os tipos de aplicativos essenciais aos negócios, incluindo Microsoft Exchange, Active Directory, SQL, SharePoint etc. Para esses programas com entradas e saídas freqüentes, é essencial garantir que os dados do aplicativo sejam sempre consistentes, especialmente quando o trabalho de replicação é executado.

Assim, quando um instantâneo é criado, os aplicativos dentro da VM armazenam todas as transações na memória para não interromper nenhuma operação em execução.

 

Proteção de contêiner

O NAKIVO Backup & Replication facilita a proteção de VMs críticas, permitindo que você as organize em containers, como pools de recursos, pastas ou clusters.

Um contêiner inteiro pode ser adicionado a um trabalho de replicação específico.

Você pode facilmente adicionar ou remover elementos do contêiner, cujas alterações são refletidas automaticamente nos trabalhos de replicação relevantes.

Você também pode excluir determinadas VMs em um contêiner de um trabalho de replicação. Nesse caso, o contêiner inteiro fica protegido, exceto pelas VMs excluídas.

 

Verificação de tela

Esse recurso permite que você verifique automaticamente se a replicação da VM foi concluída com êxito.

Assim que um trabalho de replicação é concluído, a rede na réplica é desativada e essa réplica é momentaneamente ativada para fazer uma captura de tela.

A réplica é então desligada e revertida para o ponto de recuperação mais recente.

O usuário recebe um relatório de email com uma captura de tela do sistema operacional testado.

 

Agrupamento de trabalho

O NAKIVO Backup & Replication permite organizar tarefas de replicação em grupos (pastas) para organizar aplicativos, serviços e locais em estruturas lógicas.

Além disso, ações em massa podem ser facilmente executadas para todos ou trabalhos selecionados para um grupo.

 

Relatórios automáticos

Se você quiser ficar atento ao status de seus trabalhos de replicação, o NAKIVO Backup & Replication poderá notificá-lo enviando relatórios automáticos por e-mail, no horário ou sob demanda.

 

Agendamento de trabalho

O NAKIVO Backup & Replication permite configurar tarefas de replicação para serem executadas sob demanda ou no horário (diariamente, semanalmente, mensalmente e anualmente).

Você pode até configurar trabalhos para serem executados em uma programação personalizada que atenda às suas necessidades comerciais específicas, por exemplo, a cada 20 minutos, a cada 5 dias ou na primeira terça-feira de cada mês.

Você também pode especificar as janelas de tempo em que um trabalho deve iniciar e terminar.

 

Replicação de VM de preparação (propagação)

A replicação inicial (completa) de VMs maiores pode levar muito tempo devido ao seu tamanho.

Para acelerar o processo, o NAKIVO Backup & Replication pode executar a replicação de VMs em estágios.

Esse recurso permite transferir primeiro ("semear") as réplicas da VM inicial para mídia removível.

Em seguida, essas réplicas podem ser transportadas para o novo site, onde uma nova tarefa de replicação é executada usando as VMs transferidas.

Em seguida, apenas a replicação incremental é executada.

 

Pontos de Recuperação

Um ponto de recuperação representa uma VM em um determinado ponto no tempo, que é usado para recuperação da VM.

Com o NAKIVO Backup & Replication, você pode armazenar até 30 pontos de recuperação por réplica de VM.

O produto permite que você armazene pontos de recuperação de acordo com as políticas de retenção do Avô-Pai-Filho (GFS), conforme descrito abaixo.

Esse método garante que os pontos de recuperação da réplica da VM sejam salvos no local de DR com frequências designadas (por exemplo, diariamente, semanalmente, mensalmente e anualmente).


    * Mantenha um ponto de recuperação por semana durante X semanas: O último ponto de recuperação de cada semana é armazenado pelo número de semanas especificado. 

* Mantenha um ponto de recuperação por mês durante X meses:

O último ponto de recuperação de cada mês é armazenado pelo número de meses especificado.

      * Mantenha um ponto de recuperação por ano durante X anos:

O último ponto de recuperação de cada ano é armazenado pelo número especificado de anos.

      * RTO e RPO

Um objetivo de ponto de recuperação (RPO) é o limite para o primeiro ponto no tempo ao qual sua VM deve ser revertida durante o DR.

Assim, define a quantidade de dados que podem ser perdidos sem causar danos irracionais ao seu negócio. 

A replicação pode ajudá-lo a atender aos RPOs mais curtos, pois os trabalhos de replicação podem ser executados conforme desejado com os agendamentos personalizados que você definir para eles.

A replicação de VM também pode ajudá-lo a atender a objetivos curtos de tempo de recuperação (RTOs).

O RTO é o período de tempo estipulado no qual suas operações de negócios devem ser recuperadas após um desastre.

Com a replicação, a VM pode ser instantaneamente restaurada simplesmente ligando a réplica.

 

Casos de Uso 

A replicação de VMs pode proteger seus serviços críticos de negócios de vários problemas, incluindo aqueles causados por perda / perda de VM crítica, falha de armazenamento de host / dados ou desastres naturais.

A replicação de VM é geralmente usada quando os projetos operam com dados confidenciais e / ou podem tolerar a perda zero de dados.

A replicação é apropriada para esses casos, porque a recuperação da VM pode ser executada facilmente e quase instantaneamente se ocorrer um desastre.

A funcionalidade de replicação é usada nos seguintes casos:

 

Recuperação de desastres com réplica

Usando o NAKIVO Backup & Replication, os efeitos negativos da falha do sistema, como tempo de inatividade e perda de receita, podem ser amplamente mitigados.

Com a replicação de VM, você pode recuperar quase instantaneamente uma VM inteira usando sua réplica, garantindo assim a alta disponibilidade de seus serviços comerciais.

 

Failover e Failback

Quando um desastre é eliminado do banco de dados principal, sua empresa pode ser gravemente afetada, a menos que você tenha um plano de DR eficiente.

É aqui que o failover é útil.

Failover é o processo de alternar de uma VM de origem para uma réplica de VM para mover cargas de trabalho críticas de negócios de um site afetado para um site de DR. 

 

Depois de conseguir restaurar seu site primário, você pode alternar as operações de negócios de volta para a VM original.

Esse processo é chamado de failback e permite sincronizar dados entre o site primário e o site de DR.

 

Recuperação do Site

Com o NAKIVO Backup & Replication, você pode criar fluxos de trabalho de recuperação de sites (jobs), que são algoritmos personalizados facilmente montados para automação e orquestração do processo de DR.

A implementação manual de um plano de recuperação de desastres pode ser uma tarefa que consome tempo e consome muitos recursos.

Felizmente, o NAKIVO Backup & Replication permite organizar ações em tarefas de recuperação de sites que podem ser executadas em apenas alguns cliques.

Você pode criar trabalhos de recuperação de site especiais para lidar com qualquer tipo de evento de DR.

As seguintes ações e condições podem ser incluídas nos fluxos de trabalho de recuperação do seu site:

 

*  VMs de failover.

Failover para uma réplica de VM já criada.

* VMs de failback.

Transferir cargas de trabalho de uma réplica de VM em um site de DR para uma VM de origem em um site de produção.

* Inicie as VMs.

Inicie uma ou várias VMs.

* Pare as VMs.

Pare uma ou várias VMs.

* Executar trabalhos.

Execute tarefas de proteção de dados (backup, replicação, etc.) que você já criou para VMs.

* Pare os trabalhos.

Pare os trabalhos de proteção de dados da VM em execução.

* Execute o script.

Execute seu próprio script pré ou pós-job em uma máquina Windows ou Linux.

* Anexar repositório.

Anexe um repositório de backup.

* Desanexe o repositório.

Desanexe um repositório de backup anexado.

* Mande emails.

Receba notificações por email detalhando os resultados após uma ação específica ser concluída.

* Esperar.

Aguarde um período de tempo definido antes de iniciar a próxima ação.

* Verifique a condição.

Verifique se existe um recurso, se um recurso está sendo executado ou se um IP / nome do host está acessível antes de prosseguir para a próxima ação.

 

Conclusão

Qualquer empresa pode ser vítima de um desastre inesperado ou falha do sistema que pode comprometer a integridade dos dados críticos para os negócios.

Isso faz com que um plano eficaz de DR seja absolutamente essencial no mundo dos negócios modernos, onde alta disponibilidade e continuidade de negócios são primordiais. 

A replicação pode se tornar uma ferramenta inestimável para o DR.

As estratégias de replicação síncrona e assíncrona devem ser implementadas de forma inteligente, dependendo das prioridades e necessidades do seu negócio.

A replicação assíncrona é uma estratégia econômica que requer menos largura de banda e nenhum hardware adicional.

Pode ser usado para armazenar dados menos sensíveis e transferir dados por longas distâncias.

Embora a replicação síncrona seja altamente dependente da conexão de rede e da latência, ela garante a perda zero de dados e permite a restauração instantânea de operações de missão crítica.

O NAKIVO Backup & Replication é uma solução rápida e flexível que pode replicar suas VMs para um ou mais locais remotos para armazenamento confiável.

Com a solução em vigor, você pode simplesmente ligar suas réplicas quando ocorrer um desastre, evitando assim qualquer perda de receita e desligamento de longo prazo.

O NAKIVO Backup & Replication oferece um conjunto completo de recursos de replicação e estratégias de recuperação de desastres. 

 

Para conhecer mais das soluções da Nakivo contate-nos!

Fonte: Nakivo   

Ver mais ...

Kaspersky detecta nova falha desconhecida no WindowsPostado por Cristina

Trata-se de uma vulnerabilidade de 0-day de elevação de privilégio no driver win32k.sys. Ao explorar essa falha, os cibercriminosos podem garantir os acessos necessários para persistirem no sistema de uma vítima.Em 26/11/2018






Kaspersky detecta nova falha desconhecida no Windows

   

Há um mês, escrevemos sobre termos encontrado um exploit no Microsoft Windows. Pode parecer familiar, mas nossas tecnologias proativas detectaram outro exploit de 0-day que mais uma vez, se aproveita de uma vulnerabilidade previamente desconhecida no sistema operacional. Dessa vez, apenas o Windows 7 e o Server 2008 estão em risco.

  

  

No entanto, essa limitação não torna a ameaça menos perigosa. Embora a Microsoft tenha suspendido o suporte geral para o Server 2008 em janeiro de 2015 e oferecido uma atualização gratuita no lançamento do Windows 10, nem todas as pessoas fizeram a instalação. Os desenvolvedores ainda estão oferecendo atualizações de segurança e suporte para ambos os sistemas (e devem continuar até o dia 14 de janeiro de 2020) porque ainda possuem clientes suficientes.

Quando detectamos o exploit, em outubro passado, nossos especialistas imediatamente reportaram a vulnerabilidade à Microsoft, junto com uma prova de conceito. Os desenvolvedores corrigiram prontamente o problema em 13 de novembro.

O que você deve saber sobre esta vulnerabilidade e este exploit?

Trata-se de uma vulnerabilidade de 0-day de elevação de privilégio no driver win32k.sys. Ao explorar essa falha, os cibercriminosos podem garantir os acessos necessários para persistirem no sistema de uma vítima.

 

O exploit foi utilizado em diversos ataques de APT, principalmente na região do Oriente Médio, e focava apenas nas versões de 32-bits do Windows 7. Você pode encontrar dados técnicos neste post do Securelist. Os assinantes dos nossos relatórios de inteligência de ameaças também podem obter mais informações sobre o ataque pelo endereço de e-mail intelreports@kaspersky.com.

Como se proteger?

Nada de novo por aqui ? mas atenção aos nossos conselhos de sempre para vulnerabilidades:

·         Instale o patch da Microsoft imediatamente.

·         Atualize regularmente todos os softwares que a sua empresa utiliza para as versões mais recentes.

·         Pare de utilizar softwares desatualizados antes que seu suporte seja suspenso.

·         Utilize produtos de segurança com capacidades de avaliação de vulnerabilidades e gerenciamento de correções para automatizar processos de atualização.

·         Utilize uma solução de segurança robusta equipada com funcionalidade de detecção com base em comportamentos para uma proteção efetiva contra ameaças desconhecidas incluindo exploits 0-day.

Note que, mais uma vez, o crédito pela detecção dessa ameaça previamente desconhecida vai para nossas tecnologias proativas: mais propriamente para o mecanismo antimalware e de sandbox avançado da Kaspersky Anti Targeted Attack Platform (uma solução criada especificamente para proteção contra ameaças APT) e a tecnologia de prevenção automática de exploits que formam um subsistema integral do Kaspersky Endpoint Security for Business.



Fonte: Kaspersky

Ver mais ...

Instagram acidentalmente revela senhas em texto puro em URLsPostado por Cristina

Infelizmente, o Instagram transformou a tarefa de baixar seus dados em um exercício de expor as senhas das pessoas em texto simples. Em 22/11/2018

 

       

 

Instagram acidentalmente revela senhas em texto puro em URLs  

 

Em abril, com o prazo do GDPR e sua exigência de portabilidade de dados se aproximando, o Instagram lançou o tão aguardado download de sua ferramenta de dados . O recurso deu aos usuários a capacidade de baixar imagens, postagens e comentários.

Infelizmente, o Instagram transformou a tarefa de baixar seus dados em um exercício de expor as senhas das pessoas em texto simples. Felizmente, o bug na ferramenta "baixar seus dados" afetou apenas um punhado de usuários.

Como a The Information informou na semana passada, o Instagram disse aos usuários afetados na noite de quinta-feira que se eles tivessem usado o recurso "download your data", suas senhas podem ter aparecido em texto puro no URL de seus navegadores.

Parece que o problema ocorreu quando os usuários pressionaram "enter" depois de digitar sua senha, em vez de clicar no botão "enviar".

Isso pode não ser um grande problema para um usuário em casa em um computador não compartilhado, mas como o Facebook, que é dono do Instagram, disse no aviso aos usuários, significa que qualquer pessoa que usou a ferramenta em um computador público - digamos, em uma biblioteca - tinha sua senha exposta no URL: um presente infeliz para qualquer surfista de ombros que estivesse por perto, ou qualquer pessoa com acesso ao histórico do navegador.

O HTTPS teria garantido que as URLs fossem criptografadas em trânsito e invisíveis para qualquer pessoa que bisbilhotasse, mas a maior preocupação é o que aconteceu quando o pedido de "download dos seus dados" chegou ao seu destino, o Instagram.

As senhas são segredos bem guardados e os URLs não são, e as empresas lidam com eles de maneira muito diferente. As senhas normalmente são transformadas em hashes salgados antes de serem armazenadas, de modo que ninguém - nem mesmo os administradores - possa vê-los, enquanto URLs são rotineiramente registrados em bancos de dados ou arquivos de log precisamente para que os administradores possam vê-los.

É um pouco como tratar  algo que deveria ser marcado como "Top Secret" como meramente "restrito".

A informação citou um porta-voz do Instagram que disse que o problema era 

"Descoberto internamente e afetou um número muito pequeno de pessoas."

O Facebook não disse se a conta do Instagram de alguém estava comprometida por causa do erro, e a Naked Security descobriu que o Instagram está de fato no processo de deletar qualquer senha que possa ter sido registrada acidentalmente por seus sistemas.

Nós já vimos problemas maiores e recentes

Problemas maiores, de fato. Não sabemos o que a definição de "pequena" do Facebook / Instagram é quando se trata dessa violação, mas sabemos que as práticas de segurança levaram a uma grande violação no Facebook em setembro, com o que acabaria sendo cerca de 30 milhões. contas afetadas e outros 40 milhões de redefinir como um "passo de precaução".

Os invasores exploraram uma vulnerabilidade no recurso "Exibir como" do Facebook para roubar tokens de acesso, que são as chaves que permitem que você permaneça conectado ao Facebook para que você não precise redigitar sua senha toda vez que usar o aplicativo. Pelo menos nos primeiros dias após o ataque, o Facebook disse que parecia que o buraco foi aberto quando os desenvolvedores fizeram uma mudança no recurso de upload de vídeo em julho de 2017. Os invasores então roubaram um token de acesso para uma conta e usaram essa conta. conta para girar para os outros e roubar mais fichas.

  

Atualização 2018-11-21

Desde a publicação do artigo Naked Security aprendeu novas informações sobre o incidente. Atualizamos a história para refletir o fato de que as senhas podem ter sido gravadas e armazenadas em arquivos de log de texto simples, em vez de serem armazenadas em texto simples, como é óbvio.

    

     

Fonte: Naked Security Sophos

Ver mais ...

Ataques de ransomware direcionados - SophosLabs Relatório de Ameaças de 2019Postado por Cristina

Os cibercriminosos voltaram às táticas de hackers manuais da velha escola para aumentar a eficiência da extorsão direcionada, de acordo com a pesquisa realizada para o Relatório de Ameaças SophosLabs de 2019Em 16/11/2018




Ataques de ransomware direcionados - SophosLabs Relatório de Ameaças de 2019

  

Os cibercriminosos voltaram às táticas de hackers manuais da velha escola para aumentar a eficiência da extorsão direcionada, de acordo com a pesquisa realizada para o  Relatório de Ameaças SophosLabs de 2019 .

Ataques de ransomware não são novidade, mas exemplos bem conhecidos como CryptoLocker ou WannaCry tendem a ser oportunistas e indiscriminados. Para penetrar em seus alvos, eles confiam na automação simples, como anexos enviados por boobytrap enviados para um grande número de possíveis vítimas por e-mail.

No entanto, a inovação mais atraente vista pela Sophos em 2018 se parece mais com o oposto da automação - o controle manual.

Implantar um ataque manualmente leva tempo e não se adapta bem, mas é difícil de detectar - porque não segue necessariamente um padrão previsível - e é difícil de ser interrompido - porque um invasor pode se adaptar à medida que avança.

O SophosLabs resume as vantagens da abordagem prática:

Com ataques direcionados, o comportamento é inerentemente imprevisível, e os atacantes podem reagir de forma reativa a medidas de defesa que, a princípio, os impedem de atingir seu objetivo.

O estudo de caso perfeito do sucesso deste modus operandi é o ransomware SamSam, cuja evolução a Sophos acompanha desde 2015.

No início deste ano, pesquisadores da Sophos descobriram que um grupo ou indivíduo usou o SamSam para extorquir com sucesso US $ 6 milhões (£ 4,6 milhões) das vítimas nos dois anos e meio até junho de 2018.

Depois de operar em menor escala no primeiro ano, em dezembro de 2016, o grupo ou indivíduo parece ter percebido que seu pacote de ransomware eficiente, segmentação e ataque manual tinha pernas.

   

Segmentação cuidadosa

 

O SamSam é bem-sucedido em relação ao ransomware mais amplamente implantado devido ao tamanho dos resgates que os invasores pedem, o que supera as demandas mais oportunistas do ransomware estabelecido.

SamSam extorque até US $ 50.000 por ataque, algumas ordens de magnitude mais caro do que o randomware GandCrab muito mais comum, que exige apenas um resgate de US $ 400.

Mensagem: a soma é extraordinária porque o nível de comprometimento é demais, e isso se deve à natureza manual do ataque.

Muito provavelmente, a vítima foi escolhida porque usa o RDP (Remote Desktop Protocol) do Windows, tornando-a acessível pela Internet, e violada pela força bruta de uma senha fraca.

Depois de abrir a porta, os invasores executam uma ferramenta como a Mimikatz projetada para capturar as credenciais dos controladores de domínio quando os administradores fazem login.

Os invasores podem usar ferramentas de administração do sistema para mapear a rede da vítima, desabilitar o software de segurança mal protegido e distribuir o malware de criptografia SamSam para quantos sistemas de destino puderem alcançar. De maneira inteligente, quando o ransomware é finalmente executado, acontece à noite, quando poucos seguranças estão por perto para reagir à onda de criptografia que se move rapidamente.

O tratamento pessoal de SamSam também se estende até a decodificação: cada vítima recebe seu próprio site escuro, onde os autores do SamSam oferecem uma forma perversa de suporte técnico.


O SamSam não é o único ransomware usado dessa maneira direcionada. Os ataques do malicioso malware BitPaymer foram acompanhados por demandas de resgate de até US $ 500.000, enquanto o Dharma parece ser usado por vários grupos direcionados a pequenas empresas.

Seu sucesso contínuo de ransomware direcionado e o recente surgimento de copycats como Ryuk sugerem que a tendência de ataques direcionados deve continuar até 2019.

A Naked Security já produziu muitos conselhos sobre como se defender contra o SamSam e sua laia, sendo que o primeiro e mais importante trabalho é bloquear o Windows RDP.

SamSam é o diabo esperando para tomar as precauções mais simples, tão simples pode manter as equipes de segurança de rede mais perto da frente da perseguição.

Você pode ler mais sobre ransomware direcionado e como o SamSam difere de ataques semelhantes, como BitPaymer, Ryuk e Dharma, juntamente com muito mais insights da equipe dentro do SophosLabs no Relatório de Ameaças do  SophosLabs 2019.


Para conhecer mais das soluções da Sophos, contate-nos e saiba onde podemos lhe ajudar!

 


Fonte: Sophos

Ver mais ...

Sophos XG Firewall: como configurar alta disponibilidadePostado por Cristina

A alta disponibilidade (HA) é uma tecnologia de cluster usada para manter o serviço ininterrupto em caso de falha de energia, hardware ou software.Em 12/11/2018



Sophos XG Firewall: Configuração de alta disponibilidade   

 

A alta disponibilidade (HA) é uma tecnologia de cluster usada para manter o serviço ininterrupto em caso de falha de energia, hardware ou software. Os dispositivos Sophos Firewall podem ser configurados nos modos Active-Active ou Active-Passive HA. Os Dispositivos (o Dispositivo Primário e Auxiliar) estão fisicamente conectados por uma porta de link HA dedicada.    

No modo Ativo-ativo, o dispositivo principal e o dispositivo auxiliar processam o tráfego, enquanto a unidade principal é responsável pelo balanceamento do tráfego. O balanceamento de carga é decidido pelo dispositivo principal. O dispositivo auxiliar só pode assumir se a unidade principal sofrer uma falha de energia / hardware / software. Já no modo Ativo-Passivo, somente o Dispositivo Primário processa o tráfego enquanto o Dispositivo Auxiliar permanece no modo de espera, pronto para assumir o controle se o Dispositivo Primário tiver uma falha de energia / hardware / software.

Alguns itens que você vai precisar: 

  Ambos os dispositivos no cluster de HA (isto é, Dispositivo Primário e Dispositivo Auxiliar) devem ter o mesmo modelo e revisão.

 Ambos os dispositivos devem ser registrados.

 Ambos os dispositivos devem ter o mesmo número de interfaces.

 No Modo Ativo-Passivo: Uma licença é necessária para o dispositivo principal. Nenhuma licença é necessária para o Dispositivo Auxiliar.

  Os endereços IP da porta de link de alta disponibilidade dos dois pares devem pertencer à mesma sub-rede. Os pares usam esse link para comunicar informações de cluster e sincronizar entre si.

  O acesso ao dispositivo por SSH na zona da DMZ deve estar ativado para ambos os dispositivos; consulte o passo 1 abaixo.

Exemplo de projeto de HA no Sophos Firewall

 

Portas de link de HA dedicadas conectadas diretamente por um cabo cruzado ou direto. 


Esse tipo de implementação, agrega em muito no quesito continuidade de negócios de uma empresa, não depender unicamente de um appliance de firewall gera para a empresa a tranquilidade que se em caso de falha de hardware ou software de uma dos equipamentos, terá certeza que um outro equipamento exatamente igual com as mesmas configurações entrará em execução instantaneamente, fazendo com que os processos e trabalhos corporativos não sejam interrompidos. 

Ver mais ...

BUG DE ATIVAÇÃO FAZ WINDOWS 10 PRO REGREDIR PARA A VERSÃO HOMEPostado por Cristina

Bug de ativação faz Windows 10 Pro regredir para a versão Home!Em 12/11/2018




BUG DE ATIVAÇÃO FAZ WINDOWS 10 PRO REGREDIR PARA A VERSÃO HOME



  

Mais um problema está trazendo dor de cabeça para usuários do Windows 10: um bug de ativação faz com que versões Pro do sistema operacional sofram um downgrade para a edição Home. O erro - de código 0xC004C003- foi relatado por diversos usuários, alguns por meio do fórum Reddit, afirmando que após anos de uso da versão Pro, o Windows 10 resolveu do nada regredir para a Home.

Algo aparentemente em comum entre os usuários que sofreram com o problema é que todos teriam atualizado seus sistemas operacionais do Windows 7 ou 8 para o 10. Quando isso era feito, as versões Pro dos SOs antigos automaticamente se tornavam o Windows 10 Pro. Pessoas em diversos países relataram o mesmo problema e um dos usuários afetados recebeu a seguinte mensagem da empresa: 

"A Microsoft acaba de lançar um anúncio de assunto emergente sobre o problema atual de ativação relacionado à edição Pro. Isso acontece no Japão, Coréia, Estados Unidos e muitos outros países. Lamento informar que há um problema temporário no servidor de ativação da Microsoft no momento e que alguns clientes podem ter esse problema em que o Windows é exibido como não ativado. Nossos engenheiros estão trabalhando incansavelmente para resolver esse problema e espera-se que seja corrigido dentro de um a dois dias úteis".

Novembro já chegou a atualização de outubro do Windows 10 ainda não foi lançada pela Microsoft. Cheia de problemas, a empresa fez um breve comunicado geral sobre esse problema segundo publicou a WCCFTech: "Estamos trabalhando para restaurar as ativações de produtos para o número limitado de clientes afetados do Windows 10 Pro'".



Fonte 

Ver mais ...

A construção de clouds híbridas na Equinix expande suas opções de conectividade. Postado por Cristina

O melhor local para integrar serviços de cloud pública no seu ambiente de TI são os data centers da Equinix.Em 09/11/2018








O melhor local para integrar serviços de cloud pública no seu ambiente de TI são os data centers da Equinix. Oferecemos flexibilidade, segurança e confiabilidade sem precedentes para nuvens híbridas. Oferecemos o maior número de locais para construir sua nuvem, bem como a maior quantidade de opções de serviços de cloud de qualquer empresa de data center. Principalmente, oferecemos às empresas o maior número de maneiras de se conectar diretamente com os provedores de cloud. Na Equinix, é possível estabelecer conexões diretas com diferentes nuvens, de vários locais simultaneamente.  


São muitos os motivos pelos quais você deve abrigar sua infraestrutura de cloud híbrida nos data centers da Equinix.  


  • A Equinix oferece a maior variedade de opções de provedores de cloud da indústria de data centers; muitos deles oferecem conexões diretas com sua infraestrutura em cloud por meio do Equinix Cloud Exchange?, Equinix Cross Connects ou serviços de Ethernet.
  • A Equinix é o único provedor de data center que oferece conexão direta com a AWS, Microsoft Azure e Oracle Cloud.
  • Fornecemos a plataforma de interconexão de nuvem mais avançada e amplamente estabelecida da indústria de data centers: o Equinix Cloud Exchange.
  • Nossos data centers oferecem conectividade confiável para transmissão de dados sensíveis à latência e/ou com alta largura de banda ? até 100Gbps de largura de banda e latência de submilissegundos.
  • A Equinix proporciona segurança da informação ao transmitir dados por conexões privadas em vez de redes públicas, reduzindo o risco dos fluxos de dados a serem interceptados, monitorados ou modificados.
  • Opções incomparáveis em serviços de telecom: mais de 1,800+ operadoras se conectam com nossas unidades International Business Exchange? (IBX®).
  • 200+ data centers em 5 continentes
  • Garantia de >99.9999% de disponibilidade


Conectividade rápida, segura e confiável


Nossos serviços de conexão direta criam ligações privadas entre a infraestrutura do seu data center na Equinix e centenas de clouds e operadoras. Essas ligações privadas fornecem conectividade rápida, segura e confiável para transmissão de dados sensíveis à latência e/ou com alta largura de banda. Como não atravessam a Internet, seus dados não estão sujeitos a tráfego congestionado, lag na transmissão e riscos de exposição de dados inerentes em redes públicas.  




Para conhecer um pouco mais sobre a capacidade técnica que a EQUINIX dispõe, assista o tour virtual pelo novo Data Center SP3 Tier 3 localizado em São Paulo. Com infraestrutura moderna, e a EQUINIX disponibiliza máxima segurança, desempenho e confiabilidade para que sua empresa atinja os mais altos resultados e cresca junto conosco!  



Para maiores informações sobre as soluções em que a EQUINIX pode lhe atender, entre em contato conosco!
 

Ver mais ...

Apple bloqueia sistemas que burlavam a criptografia do iPhonePostado por Cristina

Dispositivos foram adotados por agências do governo norte-americano para contornar as senhas do aparelhoEm 29/10/2018






Apple bloqueia sistemas que burlavam a criptografia do iPhone

  

 Aparentemente, a Apple conseguiu bloquear permanentemente a tecnologia de criptografia de uma empresa misteriosa, com sede em Atlanta, cujo dispositivo blackbox foi adotado por agências do governo para contornar as senhas do iPhone.

Grayshift é uma das duas empresas que afirma poder impedir a segurança de senhas do iPhone da Apple por meio de ataques de força bruta. A tecnologia supostamente funcionou, já que foi adquirida pela polícia regional e ganhou contratos com o Immigration and Customs Enforcement (ICE) e o Serviço Secreto dos EUA.

Outro fornecedor, a Cellebrite, de Israel, também descobriu uma maneira de desbloquear iPhones criptografados rodando o iOS 11, passando a comercializar seu produto para as empresas forenses policiais e privadas em todo o mundo. De acordo com uma autorização da polícia obtida pela Forbes, o Departamento de Segurança Interna dos EUA testou a tecnologia.

Várias fontes familiarizadas com a GrayKey disseram à Forbes que o dispositivo não pode mais quebrar as senhas de qualquer iPhone que esteja executando o iOS 12 ou superior (lançado pela Apple no mês passado).

O dispositivo de criptografia da GrayKey aparentemente poderia desbloquear um iPhone em cerca de duas horas se o proprietário usasse uma senha de quatro dígitos ou em três dias ou mais se uma senha de seis dígitos fosse usada.

A concorrente Celiebrite também vendeu seu Universal Forensic Extraction Device (UFED) para agências de segurança pública, incluindo um contrato de US$ 558.000 assinado com o ICE em agosto, de acordo com um pedido da Freedom of Information Act (EPIC).

A ferramenta de Israel pode desbloquear, descriptografar e extrair dados do telefone, incluindo "dados móveis em tempo real, registros de chamadas, contatos, calendário, SMS, MMS, arquivos de mídia, dados de aplicativos, bate-papos, senhas", de acordo com a solicitação.

Além disso, pode extrair informações privadas sem uma senha de contas privadas baseadas em nuvem, como aquelas usadas pelo Facebook, Gmail, iCloud, Dropbox e WhatsApp.

Em fevereiro, surgiram relatos de que a Cellebrite havia descoberto uma maneira de desbloquear iPhones criptografados executando o iOS 11 e estava comercializando o produto para as empresas forenses da lei e privadas em todo o mundo. De acordo com uma autorização da polícia obtida pela Forbes, o Departamento de Segurança Interna dos EUA estava testando a tecnologia. Não ficou claro se as alterações no iOS 12 afetam a tecnologia Cellebrite.

Se os dispositivos não funcionassem, a polícia não os compraria!

Nate Cardozo, um advogado sênior da Electronic Frontier Foundation (EFF), disse no início do ano que acredita que os relatórios de criptografia do iPhone foram violados. Caso contrário, as agências de aplicação da lei não estariam comprando a tecnologia de hackers.

"O FBI reclamou e disse que não poderia entrar no iPhone, e então descobrimos que não é verdade", disse Cardozo. Ele estava se referindo à investigação do atirador de San Bernardino, Syed Rizwan Farook. O FBI inicialmente afirmou que não conseguiu decifrar a senha em um iPhone usado pelo criminoso.

O Departamento de Justiça solicitou aos tribunais que forçassem a Apple a cumprir uma ordem para desbloquear o dispositivo; um juiz concedeu o pedido, mas adiou a decisão final até ouvir argumentos de ambos os lados. Na noite anterior a uma audiência para decidir o assunto, a agência anunciou que havia recebido ajuda de um grupo externo.

As tentativas do FBI para que a Apple descriptografasse o iPhone foram rejeitadas. A empresa afirmou que, para entrar em um iPhone, isso enfraqueceria a segurança de todos os outros.

A notícia de que dois métodos de descriptografia do iPhone estavam amplamente disponíveis para agências governamentais não surpreendeu os analistas, que disseram que isso era inevitável.

"Não existe criptografia inquebrável. A ideia é torná-la o mais difícil possível, adicionando camadas de criptografia ou chaves longas para codificar, decodificar. Mas um decodificador determinado pode decifrá-lo, com ferramentas suficientes e tempo suficiente?, afirma Jack Gold, principal analista da J. Gold Associates.

A caixa GrayKey é vendida por US$ 15.000. Esse modelo é geofenced para um local específico, exigindo uma conexão com a Internet que permite até 300 desbloqueios. Há também um modelo de US$ 30.000 que pode ser usado independentemente da conectividade com a Internet e oferece um número ilimitado de desbloqueios de dispositivos, de acordo com a Motherboard. 



Fonte: http://bit.ly/2PsF7iR

Ver mais ...

Mudança no horário de verão, você está prevenido?Postado por Cristina

Aplicações como, bancos de dados, servidores de e-mail, servidores WEB e tantas outras cada vez mais presentes nas empresas podem causar inconsistências a partir da meia noite deste sábado (20).Em 18/10/2018




Mudança no horário de verão, você está prevenido?

 

    

   O horário de verão é um período de grandes problemas para profissionais de T.I., essa mudança geram um impacto gigantesco, e ainda foi agravado pelo decreto federal publicado no final de 2017 alterando o inicio do horário de verão para dia 04 de novembro, não sendo mais 21 de outubro como todos se preparavam. Com isso as equipes obrigaram-se a modificar seus sistemas afim de evitar que aplicações como, bancos de dados, servidores de e-mail, servidores WEB e tantas outras que cada vez mais estão presentes nas empresas tenham inconsistências na operação a partir da meia noite deste sábado (20), podendo ocasionar em alguns casos, paradas de emissão de NF-e e CT-e que são tarefas básicas de muitas empresas. 

Para sistemas Microsoft foi disponibilizada um update que corrige essas modificações, no entanto ela foi disponibilizada como opcional, com isso grande parte de servidores e estações vão estar com o horário incorreto a partir do dia 21 de outubro, gerando assim transtornos para empresas. O mesmo ocorre para sistemas Linux, este também deve ser feita a verificação e correção desse problema, isso evitará contratempos com principais servidores alocados dentro das organizações.

Pensando nisso a Supry X iniciou uma campanha de notificação e correções aos nossos clientes e parceiros, caso você não tenha se prevenido, sugerimos que comece a se preocupar e caso queira evitar paradas, podemos lhe ajudar a resolver um problema onde todos estevam desprevenidos!  

 

Consulte-nos!

Ver mais ...

Mantendo os dados seguros na revolução digitalPostado por Cristina

Muitas inovações recentes em tecnologia foram fomentadas pelo aumento da conectividade entre aqueles que impulsionam a revolução digital.Em 11/10/2018





  

     

Mantendo os dados seguros na revolução digital 

  

Muitas inovações recentes em tecnologia foram fomentadas pelo aumento da conectividade entre aqueles que impulsionam a revolução digital. Décadas atrás, a programação era uma atividade isolada, envolvendo apenas um programador e um mainframe. Atualmente, os desenvolvedores aproveitam milhares de ferramentas e recursos para aprimoramento de produtividade e colaboram em tempo real com colegas do mundo inteiro para fornecer e oferecer suporte a aplicativos e soluções de software que melhoram as vidas individuais e o desempenho corporativo.

A nuvem tornou a implementação e o gerenciamento dessas soluções operacional e economicamente eficientes. Cada vez mais, as organizações estão migrando para a nuvem. A maioria acha que precisa trabalhar com vários provedores de nuvem para suportar suas necessidades de software, armazenamento de dados e cobertura geográfica. À medida que essas organizações crescem, se tornam geograficamente distribuídas e dependem de serviços de TI distribuídos, a necessidade de largura de banda de interconexão aumenta. A interconexão entre empresas, provedores de serviços em nuvem e serviços de rede é agora um requisito para o sucesso.

Para otimizar a comunicação entre esses recursos amplamente distribuídos, as empresas estão utilizando as trocas de dados privadas. A necessidade de interconexão que mais cresce entre as empresas é a conectividade de nuvem privada, com uma taxa de crescimento anual composta de 160% em 2020 . Essas trocas distribuídas privadas fornecem acesso a várias nuvens, permitindo que as empresas executem cadeias de valor de negócios digitais complexas e dimensionem de maneira econômica os recursos de TI e os serviços de aplicativos.

A adoção de ambientes multicloud e uma economia digital em rápido crescimento criam demanda por maior latência reduzida de largura de banda e maior segurança cibernética. O Índice de Interconexão Global, Volume 2 , publicado pela Equinix, explora esses desafios e explica como as empresas globais podem efetivamente atendê-los.

Dispositivos, dados e defesa  

A revolução digital também foi impulsionada por uma proliferação de dispositivos e pela infinidade de aplicativos móveis que se conectam à nuvem. A capacidade de processamento desses dispositivos, combinada à conectividade quase onipresente e à capacidade desses dispositivos de criar e capturar facilmente um espectro cada vez maior de dados de usuários e transações, interrompeu modelos de negócios estabelecidos e expandiu drasticamente as oportunidades de negócios corporativos. A maioria das empresas globais armazena seus dados com uma variedade de provedores de serviços em nuvem distribuídos geograficamente. As lojas de dados têm valor inestimável para a empresa - valor que está intimamente ligado à capacidade da empresa de manter os dados seguros. No entanto, a proteção de dados em vários ambientes e regiões de nuvem tornou-se cada vez mais complexa pelos seguintes motivos:

  1. A ameaça de violações de dados de agentes locais e remotos está em constante crescimento.
  2. Os regulamentos de segurança e soberania de dados variam de país para país e estão em constante evolução.
  3. Vários provedores de serviços de nuvem têm diferentes métodos de gerenciamento de chave de criptografia.

Vamos explorar as implicações para cada um deles em maior detalhe:

Ameaça constante de violação de dados 

Se sua empresa ficou ilesa até o momento por um ataque cibernético, você pode creditar isso a uma estratégia de segurança cibernética forte e proativa, ou - talvez - à simples boa sorte. No entanto, os ataques são ininterruptos. Examine o Centro Nacional de Segurança Cibernética do Reino Unido para obter um relatório semanal sobre os principais ataques globais para obter algumas informações importantes sobre a variedade de métodos de ataque - malware, ransomware, botnets, recursos mal configurados, phishing, explorações de dia zero - e seu impacto.

É claro que uma abordagem bem-sucedida para manter os dados seguros envolve defesa em muitos níveis. Para combater ataques contra dados trocados por empresas digitais entre dispositivos e locais inseguros, são necessários dados de segurança localizados em tempo real e gerenciamento automatizado de controle de segurança - em uma extensão que as redes de longa distância com latência são geralmente incapazes de fornecer. É aqui que as interconexões de troca de dados privados protegem contra violações: A interconexão assegura uma transferência de dados mais rápida, privada e de baixa latência para proteger melhor os ativos digitais críticos.

Regulamentos em evolução e variáveis

As oportunidades de negócios proporcionadas às empresas como resultado da expansão global são acompanhadas não apenas pelos desafios de manter os dados protegidos, mas também pelos desafios de estar em conformidade com um conjunto variado e em constante evolução de regulamentações geo-específicas. Essas regulamentações são uma resposta à incapacidade de muitas empresas de proteger dados pessoais, conforme evidenciado por relatórios semanais de violações de dados.

Muitas regulamentações incluem requisitos de soberania de dados, nos quais as informações em formato digital estão sujeitas às leis do país em que são criadas e armazenadas. Vários países também incluem diretrizes regulatórias destinadas a melhorar a segurança nacional. Essas diretrizes trazem um nível adicional de complexidade em relação à propriedade de dados e direitos de acesso. Para empresas que operam globalmente, monitorar, interpretar e implementar adequadamente as medidas de segurança de dados e processamento apresenta um nível adicional de complexidade.

Iniciativas como o recém implantado GDPR obrigam as empresas a manter os dados seguros. O fornecimento de um conjunto padrão de regulamentações de segurança de dados entre os 28 atuais membros da UE torna mais fácil para as empresas que operam nesses países. No entanto, isso ainda deixa a necessidade de as empresas se adequarem a dezenas de outras leis e regulamentações específicas do país.

A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA) orienta como as empresas coletam, usam e divulgam informações pessoais. O PIPEDA também se aplica a informações pessoais de funcionários de empresas regulamentadas pelo governo federal, incluindo companhias aéreas, bancos e fornecedores de telecomunicações. As leis de denúncia de violação de dados da Austrália, conhecidas como o esquema de NF (Notifiable Data Breaches) , foram promulgadas em 22 de fevereiro de 2018. O NDB exige a notificação de indivíduos cujas informações pessoais estavam envolvidas em uma violação de dados. A notificação também deve fornecer orientações sobre as etapas que os indivíduos devem tomar em relação à violação. No centro de cada uma dessas regulamentações está a proteção de informações pessoais ou confidenciais. É aqui que a criptografia de dados desempenha um papel fundamental.

Gerenciamento de chave de criptografia

A criptografia de dados há muito tempo é a primeira e melhor defesa contra violações de dados. No caso em que as proteções de segurança cibernética que você possui foram burladas e seu repositório de dados em nuvem foi violado, os dados criptografados nele permanecem sem criptografia. Sem acesso às chaves de criptografia, que são idealmente armazenadas separadamente dos dados criptografados, os dados permanecem inúteis. O gerenciamento de chaves de criptografia, portanto, é essencial para manter os dados seguros.

As chaves de criptografia podem ser gerenciadas com segurança usando módulos de segurança de hardware (HSMs) ou serviços de gerenciamento de chaves (KMS) disponíveis em provedores de serviços em nuvem. No entanto, cada método funciona apenas no domínio do provedor de serviços de nuvem específico. Como as empresas globais normalmente empregam vários provedores de serviços de nuvem diferentes para gerenciar dados e um conjunto diversificado de aplicativos de software, o gerenciamento de chaves de criptografia, usando diferentes ferramentas de gerenciamento em vários provedores de nuvem, aumenta a complexidade das já intrincadas responsabilidades de segurança de dados.

Gerenciamento de chave de criptografia neutra em nuvem

Essa complexidade pode ser bastante reduzida com a adoção de um serviço de gerenciamento de chave de criptografia neutra na nuvem. Um método único e centralizado para gerenciar o ciclo de vida completo das chaves de criptografia fornece um ponto de controle de segurança para fornecer às empresas gerenciamento local sobre dados dispersos globalmente entre várias plataformas de nuvem. Fornecido como um serviço de nuvem, ele oferece quatro benefícios distintos para empresas que armazenam dados em ambientes de nuvem globalmente distribuídos:

  1. Um único método de gerenciamento de chave reduz a carga de trabalho na equipe de segurança de dados.
  2. Está disponível globalmente, com conectividade nativa para os principais provedores de serviços em nuvem.
  3. Ele é dimensionado com facilidade à medida que as necessidades de dados e processamento aumentam nas plataformas de nuvem.
  4. Ele mantém as chaves de criptografia separadas dos dados criptografados para fornecer um nível adicional de segurança de dados.

Cada um desses benefícios ajuda uma empresa a reduzir os custos de segurança de dados e manter os dados seguros em ambientes multicloud amplamente distribuídos.

Avanços contínuos na velocidade de processamento, armazenamento de dados e tecnologia de comunicação garantem que a revolução digital continuará. Os empreendedores identificarão novas oportunidades de negócios, criarão novos aplicativos e coletarão volumes ainda maiores de dados de clientes e transações. Infelizmente, haverá esforços equivalentes de malfeitores para atacar dados. A criptografia, juntamente com uma única abordagem centralizada para o gerenciamento de chave de criptografia para ambientes multicloud, permanecerá a melhor defesa na proteção de dados.

SmartKey para simplificar a complexidade do gerenciamento de chaves de criptografia

Se você quiser simplificar a complexidade do gerenciamento de chaves de criptografia em seus ambientes multicloud, hoje e no futuro, convidamos você a ler o relatório 451 sobre o gerenciamento de chaves como umserviço. Desenvolvido pela Fortanix e protegido com o Intel® SGX, o SmartKey é um serviço de nuvem altamente disponível, tolerante a falhas e escalonável horizontalmente. Ele fornece segurança centralizada e de nível HSM para gerenciamento de chave de criptografia para os principais provedores de serviços em nuvem, como AWS, Azure, Oracle, IBM e Google. O SmartKey ajudará você a manter os dados seguros na revolução digital.

Para conhecer mais do mundo de possibilidades que a Equinix proporciona à sua empresa contate-nos!

 

Fonte

Ver mais ...

Sophos é nomeada líder no Quadrante Mágico UTM da GartnerPostado por Cristina

A Sophos lidera continuamente a inovação na solução dos principais problemas atuais com proteção de rede.Em 10/10/2018






Sophos é nomeada líder no Quadrante Mágico UTM da Gartner

 

 

  

Temos o prazer de anunciar que, pelo sétimo ano consecutivo, a Gartner nomeou a Sophos como líder no Magic Quadrant for Unified Threat Management (Firewalls multifuncionais SMB) para 2018. Continuamos sendo um dos três únicos fornecedores no Quadrante de Líderes. Acreditamos firmemente é um testemunho da força do nosso produto e estratégia aos olhos dos clientes, parceiros e analistas do setor.

O Quadrante Mágico é baseado em uma avaliação da integridade de visão e capacidade de execução de uma empresa, que inclui o entendimento de um fornecedor das importantes necessidades e tendências do setor e sua capacidade de abordá-las de maneira eficaz.

A Sophos lidera continuamente a inovação na solução dos principais problemas atuais com proteção de rede. Fomos o primeiro fornecedor a integrar de maneira significativa a próxima geração de endpoints e tecnologias de firewall para sincronizar segurança - permitindo o monitoramento do status de integridade, a identificação instantânea de ameaças e o isolamento automático de sistemas infectados. A cada lançamento, continuamos a impulsionar ainda mais as possibilidades da Segurança Sincronizada - com nossos lançamentos mais recentes fornecendo avanços na visibilidade de aplicativos. O Synchronized Application Control, introduzido na versão 17, resolve de maneira elegante um enorme problema de toda a indústria com identificação e controle de aplicativos baseados em assinatura. Agora, com a introdução do Cloud Application Visibility no XG Firewall v17.1, agora temos a cobertura de aplicativos mais abrangente - para aplicativos baseados em desktop e navegador - disponível em qualquer lugar.

Como a única empresa de segurança de TI posicionada como Líder nas Plataformas Unified Threat Management e Endpoint Protection - acreditamos que estamos posicionados de maneira única para continuar liderando a próxima geração de Segurança Sincronizada.

A Sophos também continua avançando na detecção de ameaças de dia zero, trazendo a mais avançada tecnologia avançada de nosso endpoint de próxima geração para o firewall, como detecção de exploração, CryptoGuard e aprendizado profundo. Seja nosso sandbox, IPS, inspeção SSL ou proteção da Web, estamos investindo continuamente em tecnologias de proteção inovadoras para garantir que sua rede esteja protegida contra as ameaças mais recentes e os aplicativos potencialmente indesejados.

Embora tenhamos sido um líder de longa data em proteção de rede, estamos apenas começando. Temos um roteiro rico de inovações à frente que proporcionará um enorme valor e resolverá mais seus desafios diários com sua rede, distanciando-nos ainda mais do resto do campo. É um ótimo momento para ser um cliente ou parceiro da Sophos, mas nunca é tarde demais para participar da empolgação.

Descubra o que a Gartner escreveu sobre nós no relatório completo do Quadrante Mágico para Gerenciamento Unificado de Ameaças (é necessário registro).

 

 

Sobre o Gartner

O Gartner não endossa nenhum fornecedor, produto ou serviço descrito em suas publicações de pesquisa e não aconselha os usuários de tecnologia a selecionar apenas os fornecedores com as classificações mais altas ou outra designação. As publicações de pesquisa do Gartner consistem nas opiniões da organização de pesquisa do Gartner e não devem ser interpretadas como declarações de fato. O Gartner se isenta de todas as garantias, expressas ou implícitas, com relação a esta pesquisa, incluindo quaisquer garantias de comercialização ou adequação a uma finalidade específica.

Ver mais ...

O melhor ficou ainda melhor. Intercepte o X agora com o EDR.Postado por Cristina

Com o Intercept X Advanced com EDR, as equipes de TI e segurança agora podem navegar melhor pelos desafios das ameaças mais complexas de hoje.Em 09/10/2018




O melhor ficou ainda melhor. Intercepte o X agora com o EDR.


Estamos muito entusiasmados em anunciar o lançamento do Sophos Intercept X Advanced com EDR, uma nova oferta do Intercept X que integra a detecção e resposta de endpoint inteligente (EDR) com o malware mais bem classificado do setor e a proteção contra exploits.

Com o Intercept X Advanced com EDR, as equipes de TI e segurança agora podem navegar melhor pelos desafios das ameaças mais complexas de hoje, como:  

· Entendendo o escopo e o impacto dos incidentes de segurança

·  Detectando ataques que podem ter passado despercebidos

·  * Procurando por indicadores de comprometimento em toda a rede

·  Priorizando eventos para investigações adicionais

·  Analisando arquivos para determinar se eles são ameaças potencialmente indesejadas ou verdadeiras

· Relatar com confiança a postura de segurança da organização em qualquer momento

·  Respondendo a questões difíceis de conformidade no caso de uma violação

Considere a velha figura do discurso ?agulha no palheiro?: A maioria das soluções de EDR no mercado hoje tenta coletar o máximo de feno possível para garantir que as agulhas sejam eventualmente encontradas.

É um processo complicado, tedioso e manual. A abordagem da Sophos é diferente: graças à tecnologia de aprendizagem profunda líder do setor e à proteção frontal inequívoca e forte, nós diminuímos exponencialmente o palheiro para tornar as agulhas muito mais fáceis de encontrar.

As ferramentas de EDR (Detecção e Resposta de Endpoint) dão às equipes de segurança a capacidade de detectar, investigar e responder a atividades suspeitas. As melhores soluções de EDR começam com a proteção mais forte e nenhuma outra solução oferece proteção mais forte que o Intercept X.

Como a tecnologia Intercept X é tão eficaz em interromper violações antes de iniciar, a carga de trabalho do EDR é significativamente mais leve. Isso significa que as organizações de TI de todos os tamanhos podem otimizar os principais recursos, permitindo que eles se concentrem nos negócios de TI, em vez de perseguir falsos positivos e lidar com volumes de alertas avassaladores.

O EDR inteligente incorporado ao novo Intercept X Advanced com EDR replica as capacidades de analistas altamente qualificados, permitindo que as organizações adicionem conhecimento sem precisar adicionar headcount. O produto aproveita o aprendizado profundo, a inteligência de ameaças Sophos Labs e muito mais para imitar as funções de analista de malware, analista de segurança e analista de inteligência de ameaças, sem ter que pagar salários humanos para essas principais habilidades.

Mesmo para organizações maiores com um centro de operações de segurança (SOC), o Intercept X Advanced com EDR oferece um valioso primeiro nível de detecção, liberando os analistas humanos para se concentrarem no que é mais importante. A investigação orientada permite que as equipes de segurança de todos os níveis entendam rapidamente suas posturas de segurança graças à orientação sensível ao contexto, que oferece as próximas etapas sugeridas, representações claras de ataques visuais e experiência integrada. Quando uma investigação é concluída, os analistas podem responder com um clique de um botão.  

        

Ver mais ...

MELHOR VISIBILIDADE, PROTEÇÃO E RESPOSTA DO MUNDOPostado por Cristina

Inigualável segurança, simplicidade e percepção Em 08/10/2018





Inigualável segurança, simplicidade e percepção  


- Bloqueia ameaças desconhecidas com um conjunto abrangente de proteções avançadas, incluindo IPS, ATP, sandbox, antivírus de duplo mecanismo, controle de aplicativos e da Web, antiphishing, um firewall de aplicativos Web completo e muito mais. 

- Responde automaticamente aos incidentes ao identificar e isolar instantaneamente os sistemas infectados, até que possam ser limpos. 

- Expõe os riscos ocultos em sua rede, incluindo aplicativos desconhecidos, usuários de alto risco, ameaças avançadas, cargas úteis suspeitas e muito mais. 

Expõe riscos ocultos

O Sophos XG Firewall oferece uma visibilidade inédita de sua rede, usuários e aplicativos, diretamente da central de controle totalmente nova. Você também conta com uma emissão integrada de relatórios detalhados e a opção de adicionar o Sophos iView para a emissão de relatórios centralizada através de múltiplos firewalls.    


 

O widget Sophos Security Heartbeat indica o estado de integridade de todos os seus endpoints gerenciados pela Sophos Central. Se algum sistema estiver executando aplicativos indesejados ou infectados, eles serão exibidos aqui na cor amarela ou vermelha.  

Clicar no widget revela os detalhes completos do computador afetado, incluindo o usuário, nome de host, endereço de IP e até mesmo o processo responsável, permitindo que você execute rapidamente as medidas necessárias. É possível também usar o status do Security Heartbeat na suas políticas para limitar o acesso aos recursos de rede no caso de sistemas afetados.  

O Sophos XG Firewall é a única solução de segurança de rede capaz de identificar totalmente a origem de uma infecção na sua rede e automaticamente limitar, como resposta, o acesso a outros recursos dela. Isso é possível graças ao nosso exclusivo Sophos Security Heartbeat? que compartilha informações de telemetria e sobre o estado de integridade entre os Sophos Endpoints e o seu firewall.   


 


Conheça mais das soluçoes da Sophos, consulte-nos e tenha toda a proteção de uma das maiores desenvolvedoras de segurança cibernetica do mundo.  

Consulte-nos 







Ver mais ...

PEQUENAS EMPRESAS TAMBÉM SOFREM ATAQUES!Postado por Cristina

Cada vez mais pequenas e medias empresas sofrem com ataques cibernéticos, isso se deve ao fato de tais organizações não possuírem um profissional dedicado para essa função trabalhando em tempo integralEm 02/10/2018





PEQUENAS EMPRESAS TAMBÉM SOFREM ATAQUES!

 

 

Cada vez mais pequenas e medias empresas sofrem com ataques cibernéticos, isso se deve ao fato de tais organizações não possuírem um profissional dedicado para essa função trabalhando em tempo integral. Uma parcela deve-se também à pouca conscientização dos administradores quanto a necessidade de existir um planejamento e um projeto de prevenção, que realmente gere segurança tecnológica para a empresa.

Para entender o estado crítico da segurança cibernética, é bom analisar primeiro as estatísticas a seguir, extraídas de pesquisas realizadas com empresas do mundo todo em 2017. Os participantes foram inquiridos sobre a incidência em suas empresas de ataques direcionados - invasões capazes de romper as defesas da rede e danificar ou roubar ativos valiosos (ao contrário das inúmeras atividades nefastas de baixo nível que são mais aborrecimento que ameaça). Eles também relataram as violações - ataques que conseguem penetrar.



 

 

De acordo com um levantamento similar de 2018, a proporção de ataques direcionados que foram impedidos aumentou para 87%. Isso poderia parecer boa notícia, mas?


 

 

E quando você leva isso em conta?




Nota-se claramente que as empresas estão gastando mais e mais, para continuar marcando passo. Em média, elas estão detectando praticamente o mesmo número de violações. E os especialistas acreditam que esse número não deve diminuir substancialmente, porque os ataques continuarão aumentando. Além disso, há uma preocupação de que as violações poderão afetar alvos de impacto mais alto e com consequências de maior repercussão. Provavelmente os gastos também continuarão aumentando em virtude do uso massivo de medidas preventivas e os crescentes custos das violações.

 

O Mercado está mudando!

Essa situação cria um grande problema, empresas medianas já não podem mais se prevenir com soluções gratuitas de baixo desempenho, e também não possuem mão de obra técnica para administrar soluções corporativos. Indo ao encontro dessa necessidade cada vez mais o serviço de consultoria tecnológica vem deixando de ser exclusividade de grandes empresas e passando a ser um serviço quase que obrigatório para empresas que precisam proteger seus dados.

 

A maior necessidade das empresas!

Hoje as maiores necessidades são disponibilidade e continuidade de negócio, é vital que sua empresa esteja disponível o maior tempo possível durante todo o período de operação, entretanto é quase que inevitável, - sua empresa em algum momento, vai sofrer com alguma parada prevista ou imprevista!  com isso é imprescindível que você tenha um plano para recolocar suas operações no ar, considerando que cada hora parada, pode representar um prejuízo que em muitos casos pode se tornar incalculável. 

 

Consultoria, o melhor caminho!

 

A quase 20 anos, a Supry X informática atende diversos tamanhos de empresas, de pequenos escritórios a grandes organizações, isso só comprova a capacidade da empresa e a visão que nossos clientes possuem a cerca da necessidade de protegerem suas organizações, pois afinal de contas todos nós nos protegemos contra ataques, furtos e incêndios, contratamos seguros e segurança, chegou a hora de protegermos seu maior bem, SEUS DADOS!



     Dinamismo

   Equipe Multidisciplinar
 Amplo Know How em segurança tecnológica. 
  Leque diversificado de produtos e serviços tecnológicos.     


                                  


                                                        CONTATE-NOS!

 


Ver mais ...

O Intercept X defende contra o ataque à vulnerabilidade do Windows!Postado por Cristina

Mesmo usando uma versão mais antiga do Intercept - X, você será protegido se você abrir um documento malicioso com a exploração CVE-2018-8414 incorporada neleEm 10/09/2018






Na semana passada, a Microsoft lançou uma atualização que corrige, entre outras coisas, uma vulnerabilidade explorável que os criminosos estavam usando ativamente para tentar infectar computadores com malware. O exploit, que recebeu o codinome  CVE-2018-8414,  envolve a incorporação de XML especialmente criado em um documento do Office, que (quando aberto) invoca o Powershell para baixar e executar uma carga maliciosa hospedada remotamente.

Depois que o patch para a chamada vulnerabilidade SettingsContent-ms foi lançado, o diretor de engenharia Mark Loman produziu um pequeno vídeo mostrando como o exploit funciona, e como até mesmo uma instalação de dois anos da ferramenta anti-exploit Intercept X da Sophos impede explorar o funcionamento e protege uma máquina onde o usuário pode acidentalmente tentar abrir um documento mal-intencionado do Office.

Abaixo o vídeo em que um arquivo malicioso é executado em  um ambiente de teste da própria Sophos.   

Conheca mais das funcionalidades do Intercept X acessando nosso guia, ou se preferir, entre em contato conosco!      

Ver mais ...

Cuidado com sua conta no Instagram, saiba como elas são roubadas!Postado por Cristina

Além da segunda mídia social mais popular no mundo, o Instagram é fonte de renda para blogueiros, modelos e outras celebridades da internet.Em 04/09/2018





Além da segunda mídia social mais popular no mundo, o Instagram é fonte de renda para blogueiros, modelos e outras celebridades da internet. Contas com milhares de seguidores despertam atenção não apenas dos fãs, como também dos cibercriminosos. Se uma delas é roubada, as consequências são bem desagradáveis. Entretanto, como exatamente isso pode acontecer? O que podemos fazer para evitar ser vítimas desse golpe?

Método número 1: verificação falsa

Você provavelmente já notou uma marca azul ao lado de algumas contas do Instagram. Até muito recentemente, esses símbolos eram usados ??por contas pertencentes a celebridades, grandes empresas e blogueiros populares. O emblema é especialmente importante para contas com grandes públicos, porque acrescenta prestígio e distingue da contas  fake. Conseguir um selo não era tão fácil: não havia um formulário de inscrição ou uma "loja" - a rede social decidia.

No entanto, o Instagram mudou recentemente sua política de verificação e agora você pode solicitar a confirmação do aplicativo (para isso, vá para Configurações -> Solicitar verificação) e receba o selo se sua conta atender aos critérios.

Essa mudança foi implementada recentemente - em 28 de agosto de 2018 - e muitos usuários não sabem exatamente como obter o carimbo azul desejado. É claro que os golpistas exploram isso, criando sites que se mascaram como páginas do Centro de Ajuda do Instagram e solicitam detalhes de usuários, como nome de usuário, senha, endereço de e-mail, nome completo e data de nascimento - tudo pela promessa de um selo.

Ao fornecerem esses dados, o usuário desavisado é informado que terá de esperar 24 horas para o veredito, e é avisado para não alterar suas configurações de conta nesse período. As informações vão direto para o cibercriminosos, enquanto o usuário senta e espera, sem nem imaginar que a segurança de sua conta está comprometida.




O método também pode ser utilizado para obter informações pertencentes às vítimas, facilitando a passagem dos criminosos por processos de autenticação de dois fatores. Para isso, os criminosos usam uma mensagem dizendo ser possível que o serviço de suporte entre em contato com o dono da conta a fim de esclarecer detalhes. Quando o tal "serviço" entra em contato, pede o código SMS ou outra informação de segurança. Podem ainda enviar outra mensagem que requisita informação supostamente necessária para verificação, que utilizam ao lidar com a equipe de suporte real pelas costas do dono da conta (isso pode incluir, por exemplo, uma foto ou outros dados pedidos pelo serviço verdadeiro).

 

Método número 2: o bom e velho phishing

 

Os golpistas também continuam a utilizar técnicas comuns de phishing para atrair a vítima a uma página falsa de login ou redefinição de senha. Por exemplo, enviam uma mensagem dizendo que a conta foi hackeada e suas credenciais de login precisam ser atualizadas, ou simplesmente oferecer "avaliar uma foto" que supostamente requer as informações de acesso à mídia social.




Com mais de um bilhão de usuários ao redor do mundo, o Instagram não é um alvo novo. Uma vez que sua conta é hackeada, cibercriminosos obtêm acesso a suas informações pessoais e mensagens. E essa conta pode ser usada para espalhar spam, phishing e conteúdo malicioso. Frequentemente, ao hackear uma conta, os criminosos mudam a descrição, foto de perfil, e-mail e telefone associado. Isso torna quase impossível para o usuário real restaurar acesso a conta perdida.

 

Como se proteger do roubo de contas do Instagram

Como sempre, melhor prevenir que remediar - especialmente quando as medidas mitigatórias são escassas. Aplique essas regras simples e proteja-se:

 

Não clique em links suspeitos.

Sempre verifique a barra de endereço com o URL da página. Se no lugar de Instagram.com constar algo como 1stogram.com ou instagram.security-settings.com, saia já e sequer considere fornecer informações pessoais.

Apenas utilize aplicativos de mídias sociais advindos de lojas oficiais - Google Play e App Store.

Não use credenciais de login para autenticação em serviços ou aplicativos de terceiros.

Utilize uma solução de segurança que despacha mensagens suspeitas e bloqueia páginas de phishing. O Kaspersky Internet Security é capaz de lidar com essa tarefa para você.

Para conhecer mais dessas soluções acesse aqui nosso guia da Kaspersky, ou se preferir entre em contato  conosco.



Fonte: http://bit.ly/2NhnpgY

Ver mais ...

Implementação do Sophos XG 210 na Prefeitura Municipal de EstrelaPostado por Cristina

Na busca de obter sempre a melhor solução quando o assunto é segurança cibernética, a prefeitura de Estrela em parceria com a Supry X Informática, iniciou-se o processo de implementação do Sophos XG 210 como firewall de borda da instituição pública.Em 03/09/2018



Implementação do Sophos XG 210 na Prefeitura Municipal de Estrela 

                          


Visando sempre proporcionar as melhores soluções para nossos clientes e parceiros, a Supry X tornou-se parceira da Sophos em meados de 2016, com isso passamos a disponibilizar ferramentas que cada vez mais tornaram-se essenciais para pequenas, médias e grandes organizações.  

Com isso passamos a buscar incessantemente as melhores soluções quando o assunto é segurança cibernética, a prefeitura de Estrela-RS em parceria com a Supry X Informática, iniciou o processo de implementação do Sophos XG 210 como firewall de borda da instituição pública. 

Tudo isso veio ao encontro do pensamento da instituição que sempre visou a ampliação e melhoria do seu parque tecnológico, almejando sempre oferecer o máximo desempenho aos seus colaboradores e também a toda comunidade que usufrui das ferramentas e processos eletrônicos. 

Substituindo a antiga solução de software livre que administrava, gerenciava e protegia todas os serviços internos da instituição, o Sophos XG 210 foi  dimensionado para suprir a demanda de mais de 600 usuários autenticados diariamente, exigindo assim a máxima, robustez, desempenho e confiabilidade, tudo isso aliado a mais alta tecnologia da Sophos para proteção e combate das mais altas e perigosas ameaças tecnológicas.    

Essa migração total somente foi possível devido a performance que o XG 210 disponibiliza, com o Throughput do firewall de até 16 GBPS, até 2.3 GBPS no proxy e 2.7 GBPS pelo IPS, o Sophos XG oferece desempenho compatível com todas as demandas que foram propostas inicialmente, já também calculando o fator de crescimento da instituição. 
 
Para que você possa conhecer mais das soluções que a Sophos disponibiliza,  acesse aqui nosso guia demonstrativo da solução, e caso você tenha dúvidas ou questionamos por favor, entre em contato conosco! 

  

Ver mais ...

Ataques cibernéticos geram prejuízo de 16 Milhoes de dólaresPostado por Cristina

Cyberataques na economia global é um fato há muito tempo, esses países estão entre os mais abertos ao comércio internacional, onde realizar transferências para outros países não é nada difícil.Em 28/08/2018









Cyberataques na economia global é um fato há muito tempo, esses países estão entre os mais abertos ao comércio internacional, onde realizar transferências para outros países não é nada difícil, e as organizações criminosas cibernéticas dedicadas a explorar as fraquezas dos sistemas bancários sabem disso!

Seu modus operandi, onde distribuem o dinheiro extraído em diferentes contas chamadas ?mula? na África ou na Ásia Central, é algo que temos visto desde os ataques ao Banco de Bangladesh em 2016, mas agora vemos isso com muito mais freqüência na América Latina.

Isso é muito mais sofisticado que um vírus. Aqueles que realizam esse tipo de ataque conhecem as aplicações do banco, seus fornecedores, os usuários da rede, o software em que estão trabalhando, tudo. Então encontram o ponto fraco e começam a fazer todo o seu trabalho.

No final das contas, o que eles buscam explorar é o elo mais fraco da cadeia e aparece o usuário final, um funcionário que (muitas vezes) está entediado com suas funções e em sua distração se abre ou acessa lugares onde não deveria acessar.

  

Timeline

O ataque aos bancos peruanos ocorreu há quase três meses após o ataque ao banco do Chile, onde roubaram aproximadamente 10 milhões de dólares e também vazaram dados de cerca de 14 mil cartões de crédito

Na época, Eduardo Ebensperger (gerente geral do Banco de Chile) reconheceu que ?esses ataques exigem outro tipo de sofisticação, de conhecimento, e devemos evoluir de acordo. Embora tenhamos antivírus e uma série de controles e monitoramento, devemos intensificá-lo. Tomaremos todas as medidas necessárias para continuar investigando e protegendo nossos clientes como fizemos até agora. Esse é um novo método, que acreditávamos estar um pouco longe do Chile, mas agora está descendo para a América Latina ?.

Aqui eu faço um parêntese, temos um CEO de um banco que está falando de um AV tradicional não é suficiente ? então quais soluções devo pensar?

Algo semelhante aconteceu no México, onde contas falsas foram criadas e fundos transferidos de aproximadamente 16 milhões de dólares e não se sabe se o número pode continuar a subir. Entre os bancos mais afetados estão Banorte e Banabajio, onde cada um relatou uma perda de aproximadamente 8 milhões de dólares.

Um fato interessante é que, segundo o The Boston Consulting Group, as empresas chilenas gastaram US $ 195,7 milhões em segurança cibernética em 2017, o equivalente a 0,07% do PIB, enquanto a média mundial é de 0,12% do PIB.

?Foi detectado que o investimento em segurança está aumentando. Algo diferente é onde esse investimento é feito. Detectamos que muitas vezes se destina a ter mais tecnologias e não em aspectos de educação ou melhorar processos que, no final, são os violados?

 

Ataque 

Um vírus que consegue entrar na rede do banco e começa a desativar as máquinas., enquanto a equipe de segurança se concentra em isolar a ameaça para proteger dados e informações de clientes, dezenas de transferências são executadas automaticamente de contas bancárias para destinos fora do país. Algumas dessas transferências acionaram o alerta e foi nesse momento que, dentro da instituição, perceberam que o vírus nos computadores era uma distração e que o perigo real era o roubo de milhões de dólares.

A questão aqui é: era exatamente isso que queriam fazer isso no BCP, BBVA e Interbank no Peru? Só o tempo nos levará a conhecer um pouco mais em detalhes.

Como especialista em segurança da Sophos, acredito que para atingir esse objetivo, os hackers devem ter se infiltrado na rede do banco muito antes, a fim de conhecer os hábitos de navegação do usuário e, assim, fazer Engenharia Social para conseguir que alguém clique em um link ou faça o download um arquivo que permite que o programa malicioso se espalhe no sistema.

Esse grau de sofisticação é chamado de APT, ameaça persistente avançada. Esse tipo de ataque é realizado por criminosos cibernéticos muito bem preparados, que encontram o elo mais fraco da cadeia e permanecem em uma organização por um tempo sem serem detectados e, de dentro, realizam ataques mais complexos. Como foi o roubo de 81 milhões de dólares no Banco Central do Bangladesh em 2016.


O que podemos fazer?

Esse tipo de ataque sofisticado requer tecnologias inteligentes, mas ao mesmo tempo simples de administrar. Hoje, um antimalware baseado em assinaturas, heurísticas ou mesmo reputação não é suficiente.

Chegou a época de detecção de ameaças avançadas e ameaças ainda desconhecidas, na Sophos lançamos o InterceptX, uma solução que permite às empresas detectar técnicas de exploração, roubo de credenciais, código oculto, ataques de ransomware e malwares desconhecidos.

Nossa tecnologia e Deep Learning é líder no mercado por ter maior antiguidade e por sua eficácia no modelo matemático. Isso permitiu que nossos clientes estivessem sempre um passo à frente de qualquer tipo de ameaça.


Também temos um sistema de análise forense que fornece aos analistas do SOC ou de segurança cibernética a visibilidade de onde o ataque foi feito e, assim, bloqueia esses pontos de falha.

Há mais de 2 anos a Sophos tem uma visão de segurança diferente no mercado, onde conseguimos fazer com que nossa nova geração de Firewall converse com nossos Endpoints para isolar computadores infectados da rede, dando uma resposta automática a um incidente.

Essas tecnologias não são reconhecidas apenas por nossos canais e clientes que utilizam nossas soluções, mas também pelo SE Labs e Gartner, entre outros que nos consideram líderes na detecção e proteção de ameaças avançadas.

 

Pense nas soluções de EDR (Edpoint Detection and Response), vamos pensar em conscientizar nossos usuários sobre os possíveis riscos de segurança envolvidos na abertura de emails de estranhos.

Vamos adotar as soluções em nuvem, que nos permitem adaptar-se mais rapidamente às mudanças vertiginosas, nas quais as soluções locais não podem alcançar. 

  


Fonte:  http://bit.ly/2Pdgi6y

Ver mais ...

Brasileiros são maiores vítimas de golpes phishing no mundoPostado por Cristina

Em 2017, a Kaspersky bloqueou quase 37 milhões de ataques na América Latina.Em 15/08/2018



 


Brasileiros são maiores vítimas de golpes phishing no mundo 

  

   O Brasil ocupa a ingrata posição de líder mundial em ataques de phishing. De acordo com dados revelados durante a Semana de Cibersegurança da Kaspersky, quase 30% dos internautas no país sofreram ao menos uma tentativa de golpe ano passado -esse índice caiu para 23% em 2018, mas não tirou a posição brasileira.

Em 2017, a Kaspersky bloqueou quase 37 milhões de ataques na América Latina, diz Fabio Assolini, analista-sênior de malware da empresa -só nos primeiros 7 meses deste ano, já foram mais de 40 milhões. Assolini diz que quase 60% das tentativas de golpe simulam mensagens de instituições financeiras -o objetivo é roubar credenciais de acesso e dados dos usuários.

O cibercrime tem diversificado os vetores de phishing. Se antes eram em sua maioria emails, agora também chegam por SMS, propaganda em redes sociais, anúncios no Google e até via WhatsApp.

O phishing é relativamente simples e barato. O analista explica que basta cadastrar um domínio (cerca de U$1). O disparo de emails em massa e mesmo a obtenção de um certificado digital -para exibir o cadeado no site falso- também tem custo mínimo ou zero.

"O golpe é popular por sua simplicidade e eficácia", afirma. "Uma pesquisa revela que mais de 90% dos ciberataques começa por um email phishing", diz. De acordo com o mesmo estudo, as pessoas abrem mensagens de golpe por curiosidade (14%), medo (13%) e "urgência" (13%).

Só em um banco americano, por exemplo, emails phishing abriram os cofres para um golpe que superou U$ 2,4 milhões. Em média, ataques bem-sucedidos contra pequenas e médias empresas causaram prejuízos de até U$ 120 mil este ano, aumento 35% sobre 2017.

Distinguir um site falso de um legítimo muitas vezes é tarefa difícil até para um usuário avançado. Por isso, explica o analista da Kaspersky, a empresa tem adotado um sistema de "atire primeiro, pergunte depois" que tem se revelado muito eficaz na América Latina. Usando uma combinação de monitoramento de palavras-chave e análise de registro dos sites, os produtos da Kaspersky estão bloqueando ataques phishing mesmo antes de começarem. "Estamos sempre de olho em novas URLs associadas a instituições financeiras que não foram registradas por elas", explica.

De acordo com ele, nos últimos quatro anos essa metodologia bloqueou mais de 100 mil ataques somente no Brasil, com taxa de falso-positivo (sites legítimos bloqueados) de apenas 0,30%. "Com isso temos barrados golpes via email, SMS e outros", diz. 


Conheca mais da solucao de anti virus corporativo da kaspersky clicando aqui



Fonte: http://bit.ly/2vO4117

Ver mais ...

O ataque ransomware da Epic Linux fez com que os cibercriminosos ganha-sem US 1 milhao Postado por Cristina

Em 10 de junho, os criminosos cibernéticos fizeram história. Permitido pela variante do ransomware, o Erebus, eles conseguiram um pagamento de US $ 1 milhão, o maior pagamento de resgate já extorquido de uma empresa em qualquer lugar do mundo.Em 13/08/2018



 


     

O ataque ransomware da Epic Linux faz com que os cibercriminosos ganhem US $ 1 milhão 

 

Em 10 de junho, os criminosos cibernéticos fizeram história. Permitido pela variante do ransomware, o Erebus, eles conseguiram um pagamento de US $ 1 milhão, o maior pagamento de resgate já extorquido de uma empresa em qualquer lugar do mundo.

 

A infeliz vítima deste atordoante ataque?  Nayana, uma empresa sul-coreana de hospedagem.

 

O impacto astronômico deste ataque ransomware Erebus

O ransomware Erebus, detectado inicialmente nos sistemas da Microsoft em 2016, infectou com sucesso 153 servidores Linux e criptografou mais de 3.400 sites de clientes da Nayana.

Sob intensa pressão do cliente, a Nayana se comprometeu com o maior pagamento de ransomware na história dos ataques cibernéticos. Isso é muito claro. O que era incomum, até certo ponto, era o fato de que Nayana conseguiu negociar com sucesso um resgate menor. Embora os cibercriminosos originalmente exigissem 550 Bitcoins, ou aproximadamente US $ 1,6 milhão, Nayana conseguiu reduzir seu pagamento aos extorsionários em quase um terço.

Obviamente, submeter-se a pedidos de resgate é sempre um negócio arriscado.

Enquanto Nayana concordou em fazer três pagamentos, e os ciber-atacantes também concordaram em habilitar a Nayana a recuperar seus servidores Linux em três lotes correspondentes, os servidores do segundo lote estão sofrendo com erros no banco de dados.


Falhas de segurança abrem brecha para ataque 

Esses números astronômicos levantam a questão: como poderia a Nayana ter permitido que seu core business permanecesse tão vulnerável? 

Para ser franco: Esta foi uma falha épica por parte do provedor de serviços. Qualquer novato em TI esperaria que um grande provedor de hospedagem como este fosse endurecido. Nayana não estava.

E suas vulnerabilidades estavam praticamente implorando para serem exploradas:

Nayana estava operando no kernel Linux 2.6.24.2, compilado em 2008

O site da Nayana rodou o Apache v.1.3.36 e o PHP v.5.1.4, ambos lançados em 2006

Nós simplesmente não podemos ressaltar a importância de instalar imediatamente atualizações de software e patches de segurança.

Igualmente importante, pedimos a todos os provedores de serviços que avaliem com cuidado suas próprias vulnerabilidades. Este dia de pagamento extraordinário significa que você é um alvo ainda maior agora, então conte com os atacantes de ransomware para tentar, tente novamente.


Deixe de lado sua falsa sensação de segurança: o Linux está sob ameaça

Enquanto os atacantes de ransomware claramente favorecem o Windows devido a sua maior participação no mercado, esse ataque maciço ao Linux prova que o sistema operacional não é invulnerável. Os desenvolvedores Linux estão se tornando cada vez mais sofisticados, e isso significa que você deve estar atento quando se trata de proteger seus dados. Além disso, tenha cuidado com os fornecedores que afirmam que você está mais exposto se estiver executando no Windows. Isso claramente não é mais o caso.


Proteja seu ambiente Linux da infecção por ransomware

Se você estiver operando em sistemas baseados em Linux, você deve considerar a ameaça do ransomware ao desenvolver sua estratégia de proteção de dados.

Isso começa com as práticas recomendadas de segurança de dados, incluindo:

Investir em treinamento de ransomware completo e regular para sua equipe de TI e usuários finais.

Implementando segurança de extremidade robusta e em camadas, incluindo antivírus e detecção de ameaças.

Regularmente fazendo backup de seus sistemas críticos para um destino off-line.

Nunca enviando por e-mail de qualquer máquina que hospede seu servidor de backup.

Manter o software atualizado e instalar imediatamente os patches de segurança do sistema operacional.

Quando se trata de implantar uma solução eficaz de backup e recuperação, também é fundamental garantir que ela ofereça recursos robustos e facilidade de uso que tornem a execução da sua estratégia de proteção contra ransomware simples e eficaz.

O Arcserve UDP faz exatamente isso com uma poderosa gama de recursos, incluindo:

VM instantânea para recuperação mais rápida de dados

Recuperação em nível de arquivo / pasta de VMs do Linux com backup por meio de backups baseados em host e sem agente nos hosts do vSphere e do Hyper-V

Desduplicação global de dados

Replicação otimizada para WAN

Backups Incrementais Infinitos

Arquivar em fita 

Restauração bare metal de sistemas de interface de firmware extensíveis unificados

Capacidade de fazer backup e recuperar de repositórios de deduplicação do servidor do ponto de recuperação

Lembre-se: no final do dia, nenhuma educação de usuário final ou segurança de endpoint protegerá totalmente sua empresa. Ransomware encontra um caminho. E é por isso que investir em backup e recuperação é essencial para a continuidade de seus negócios.

Para conhecer mais as soluções da Arcserve acesse nosso guia aqui.

Fonte: http://bit.ly/2P3Y73W

Ver mais ...

Ataque de Criptojacking em Massa ataca mais de 200.000 Routers MikroTikPostado por Cristina

Pesquisadores de segurança descobriram uma campanha maciça de cryptojacking que tem como alvo os roteadores MikroTik e mudam sua configuração para injetar uma cópia do script de mineração de criptomoedas no navegador Coinhive em algumas partes do tráfego Em 02/08/2018









Campanha de Criptojacking de Coinive em Massa Toca em Mais de 200.000 Routers MikroTik 



              

Pesquisadores de segurança descobriram uma campanha maciça de cryptojacking que tem como alvo os roteadores MikroTik e mudam sua configuração para injetar uma cópia do script de mineração de criptomoedas no navegador Coinhive em algumas partes do tráfego da web dos usuários.

A campanha parece ter saído do papel esta semana e foi, em seus primeiros estágios, principalmente ativa no Brasil, mas depois começou a direcionar os roteadores da MikroTik para todo o mundo.

O primeiro a identificar os ataques foi um pesquisador brasileiro que leva o nome MalwareHunterBR no Twitter, mas à medida que a campanha se tornou mais e mais impactando mais e mais roteadores, também chamou a atenção de Simon Kenin, pesquisador de segurança da Spiderwabs da Trustwave. divisão.

Em um relatório que a Trustwave compartilhou com a Bleeping Computer, Kenin diz que os hackers por trás dessa campanha parecem ter comprometido cerca de 72.000 roteadores MikroTik no Brasil durante os primeiros estágios de seu ataque.

Kenin diz que o atacante usa um dia zero no componente Winbox dos roteadores MikroTik que foi descoberto em abril . O MikroTik corrigiu o dia zero em menos de um dia, em abril, mas isso não significa necessariamente que os proprietários de roteadores aplicaram o patch necessário.

Em vez disso, o antigo dia zero foi dissecado por pesquisadores de segurança, e o código público de prova de conceito (PoC) apareceu em vários lugares no GitHub.

De acordo com Kenin, o atacante usou um desses PoCs para alterar o tráfego passando pelo roteador MikroTik e injetar uma cópia da biblioteca Coinhive dentro de todas as páginas servidas pelo roteador.

Sabemos que é apenas um agente de ameaça explorando essa falha porque o invasor usou apenas uma chave Coinhive para todas as injeções de Coinhive que ele executou durante a semana passada.

Além disso, Kenin diz que ele também identificou alguns casos em que usuários não-MikroTik também foram impactados. Ele diz que isso estava acontecendo porque alguns ISPs brasileiros estavam usando os roteadores MikroTik para sua rede principal e, portanto, o invasor conseguiu injetar o código Coinhive malicioso em uma grande quantidade de tráfego na web.

Além disso, Kenin diz que, devido à forma como o ataque foi realizado, a injeção funcionou nos dois sentidos, e não necessariamente apenas para o tráfego que vai para o usuário. Por exemplo, se um site fosse hospedado em uma rede local atrás de um roteador MikroTik afetado, o tráfego para esse site também seria injetado com a biblioteca Coinhive.

Mas injetar Coinhive em muito tráfego é muito barulhento e tende a incomodar os usuários, o que poderia levar usuários e ISPs a investigar a origem do problema, como aconteceu com esse usuário no Reddit .

O atacante também parece ter entendido esse problema, e Kenin diz que em ataques recentes, o hacker trocou de tática e apenas injetou o script Coinhive em páginas de erro retornadas pelos roteadores.

Mas encolher sua superfície de ataque não parece ser um downgrade para o atacante. O pesquisador da Trustwave diz que nos últimos dias ele viu o ataque se espalhar para fora do Brasil, e agora mais do que dobrou os números iniciais, tendo alterado as configurações e adicionado a injeção Coinhive em mais de 170.000 roteadores MikroTik .

"Deixe-me enfatizar o quão ruim é esse ataque", diz Kenin. "Existem centenas de milhares desses dispositivos em todo o mundo, usados ??por ISPs e diferentes organizações e empresas, cada dispositivo atende pelo menos dezenas, se não centenas de usuários diariamente."

"O invasor sabiamente pensou que, em vez de infectar sites pequenos com poucos visitantes, ou encontrar formas sofisticadas de executar malware em computadores de usuários finais, eles iriam direto para a fonte; dispositivos roteadores de nível de operadora", acrescentou.

"Mesmo que esse ataque funcione somente em páginas que retornam erros, ainda estamos falando sobre potencialmente milhões de páginas diárias para o invasor."

 

O ataque tem espaço para crescer

 

Uma consulta no mecanismo de pesquisa Shodan IoT revela que há mais de 1,7 milhão de roteadores MikroTik disponíveis on-line.

A Bleeping Computer entrou em contato com a equipe da Coinhive e perguntou se eles removeram a chave do site, e quanto Monero o invasor explorou em seu esquema.

ATUALIZAÇÃO: Logo após a publicação deste artigo, o pesquisador de segurança Troy Mursch disse à Bleeping Computer que descobriu uma segunda chave Coinhive sendo injetada no tráfego dos roteadores MikroTik. Esta campanha atingiu mais de 25.000 roteadores, elevando o total para mais de 200.000, já que a primeira chave Coinhive agora era usada em mais de 175.000 dispositivos. Não está claro se esta segunda campanha está sendo orquestrada por outro hacker, ou pelo mesmo autor de ameaça que mudou para uma nova chave depois que a Trustwave expôs sua primeira operação. 




Fonte: http://bit.ly/2O2B1JR

Ver mais ...

Mineração de criptomoedas dentro da sua empresa? Pode ser mais provável do que imagina!Postado por Cristina

Para evitar ser infectado pelo Rakhni e que sua empresa sofra os danos, seja muito cauteloso com mensagens recebidas, especialmente aquelas que vêm de endereços de e-mail desconhecidos.Em 30/07/2018






  

Trojan Rakhni: o criptor minerador

 Recentemente falamos sobre como ransomwares estão perdendo espaço para os mineradores no topo dos rankings das ciberameaças. Em sintonia com essa tendência, o Trojan ransomware Rakhni, que observamos desde 2013, adicionou um módulo de mineração de criptomoedas ao seu arsenal. O interessante é que o loader do malware é capaz de escolher qual componente instalar dependendo do dispositivo. Nossos pesquisadores descobriram como a nova versão funciona e onde mora o perigo.

Nossas soluções flagraram o Rakhni na Rússia, Cazaquistão, Ucrânia, Alemanha e Índia. O malware é distribuído principalmente por meio de correspondências de spam com anexos maliciosos. A amostra estudada por nossos especialistas, por exemplo, foi disfarçada como um documento financeiro. Isso sugere que os cibercriminosos envolvidos estão principalmente interessados em "clientes" corporativos.

Um anexo DOCX em um e-mail de spam possui um documento PDF. Se o usuário permite a edição e tenta abrir o PDF, o sistema solicita permissão para rodar um arquivo executável de um fornecedor desconhecido. Com a permissão do usuário, o Rakhni entra em ação.

 

Como um ladrão na noite

Quando inicializado, o arquivo PDF malicioso que parece ser um visualizador de documentos. Primeiro, o malware mostra uma mensagem de erro para a vítima explicando por qual razão nada abriu. Depois, desabilita o Windows Defender e instala certificados digitais forjados. Apenas quando a barra parece estar limpa decide o destino do dispositivo infectado "criptografar arquivos e pedir resgate ou instalar um minerador".

Por fim, o programa malicioso tenta se espalhar para outros computadores dentro da rede local. Se funcionários de empresas tiverem compartilhado o acesso ao diretório de usuário com os seus dispositivos, o malware copia a si mesmo nesses aparelhos.

Minerar ou criptografar?

 O critério de seleção é simples: se o malware encontra uma pasta de serviço chamada Bitcoin no computador da vítima, opta pelo ransomware que encripta arquivos (incluindo documentos Office, PDFs, imagens e backups) e exige um pagamento de resgate dentro de três dias. Os cibercriminosos prometem atenciosamente enviar os detalhes do resgate por e-mail, incluindo seu valor.

Se não existirem pastas relacionadas a Bitcoin no dispositivo, e o malware assume que há energia suficiente para minerar criptomoedas, baixa um minerador que, clandestinamente, gera tokens de Monero, Monero Original ou Dashcoin em segundo plano.

Não seja uma vítima

Para evitar ser infectado pelo Rakhni e que sua empresa sofra os danos, seja muito cauteloso com mensagens recebidas, especialmente aquelas que vêm de endereços de e-mail desconhecidos. Se tiver qualquer dúvida sobre abrir um documento, não o faça. Além disso, preste muita atenção aos avisos do sistema operacional: não execute programas de fornecedores desconhecidos, principalmente se os nomes forem parecidos com os de programas populares.

Na luta contra mineradores e cryptors em redes corporativas, siga essas dicas e mantenha-se protegido:

* Treine a sua equipe de segurança de TI e teste regularmente seus conhecimentos. Se precisar de ajuda com isso, nossos especialistas podem dar um jeito.

* Faça backups de dados sensíveis em um dispositivo de armazenamento independente.

* Utilize soluções de segurança confiáveis dotadas de análise comportamental o "Kaspersky Endpoint Security" for Business, por exemplo.

Procure por anomalias em sua rede corporativa regularmente.

* Mesmo sem utilizar as soluções corporativas da Kaspersky Lab, não há motivos para deixar os dados de seu negócio vulneráveis a criminosos. Temos uma solução dedicada o "Kaspersky Anti-Ransomware Tool" que pode complementar os produtos de segurança da maioria dos demais fornecedores. A ferramenta aplica as últimas tecnologias de detecção comportamental e nossos mecanismos de nuvem para caçar esse tipo de malware.



Confira aqui a pagina de soluções contra Ransomware da Kaspersky


Confira aqui a pagina de soluções contra Ransomware da Sophos


Fonte: http://bit.ly/2uZShbG

Ver mais ...

Ataque cibernético afeta clientes das maiores montadoras de veículos do mundo!Postado por Cristina

Os 157 GB de arquivos incluem negociações ‘secretas’ das empresas, além de contratos, acordos de mercado, configurações de robôs automatizados e 10 anos de esquemas de linhas de produção diferentes.Em 23/07/2018




 


Vazam 157 GB de dados sensíveis de clientes 

Volkswagen, Ford, Fiat e outros

 

   

Dados sensíveis de clientes de empresas como Ford, Toyota, GM, Fiat, Tesla, Volkswagen e ThyssenKrupp estavam expostos para acesso livre. Os dados, que juntos totalizam cerca de 157 GB de dados pessoais de clientes e informações sensíveis das próprias fabricantes, foram encontrados em um servidor exposto da Level One Robotics, segundo a equipe de cibersegurança da Upguard.

A Level One Robotics é uma empresa que oferece serviços de automação industrial e possui sede no Canadá

Os 157 GB de arquivos incluem negociações "secretas" das empresas, além de contratos, acordos de mercado, configurações de robôs automatizados e 10 anos de esquemas de linhas de produção diferentes.

Ainda, os documentos compreendem passaportes, licenças de motoristas, dados bancários (incluindo faturas), de clientes da Ford, Toyota, GM, Fiat, Tesla, Volkswagen e ThyssenKrupp. Ao que parece, apenas clientes nos Estados Unidos foram afetados pelo vazamento.

?Os dados foram expostos via rsync, um protocolo comum de transferência de arquivos usado para espelhar ou fazer backup de grandes conjuntos de dados. O servidor rsync não foi restringido por IP ou usuário, e o conjunto de dados podia ser baixado por qualquer cliente rsync conectado à porta rsync, explicou a UpGuard.

Os dados sensíveis já tiveram o acesso bloqueado após a Level One Robotics ser avisada no dia 9 de julho. A Level One leva essas alegações muito a sério e está trabalhando diligentemente para conduzir uma investigação completa da natureza, extensão e ramificações dessa suposta exposição de dados", disse o diretor executivo da Level One, Milan Gasko, ao The New York Times. "A fim de preservar a integridade desta investigação, não vamos fornecer comentários no momento."

Pensando na mitigação de casos como esse, a Supry X Informática dispõem de produtos e serviços que visam criar um nível de proteção superior e mais eficaz do que as soluções mais conhecidas no mercado. Quando o quesito é segurança de informação, devemos sempre considerar que, uma empresa segura, somente assim estará com um leque de soluções bem implementadas e configuradas gerando assim segurança, confiabilidade e continuidade de negócios, tornando-a assim prevenida quando  assunto for ataques cibernéticos

Uma das soluções de segurança mais utilizadas é o Firewall de rede Sophos. Com desempenho eficaz, e custos de implementação e operação baixos, vem se tornando cada vez mais a opção dentro das medias e grandes empresas.

Conheça mais dessa solução aqui.




 

Fonte: http://bit.ly/2JN87L2

Ver mais ...

Busca de ameaças: quando fazer e por quem deve ser feitaPostado por Cristina

Um dos principais temas da RSA 2018 foi a busca de ameaças. Os especialistas concordam que essa é uma prática necessária para conter ataques de APTs, mas nem sempre compactuam sobre o que realmente é – e quais técnicas compreende.Em 23/07/2018









Busca de ameaças: quando fazer e por quem deve ser feita
 



   Um dos principais temas da RSA 2018 foi a busca de ameaças. Os especialistas concordam que essa é uma prática necessária para conter ataques de APTs, mas nem sempre compactuam sobre o que realmente é ? e quais técnicas compreende. Ao indicar a utilização do livro How to Hunt for Security Threats (Como procurar por ameaças de segurança), formalizam a conceituação da atividade como um processo centrado no analista que permite que organizações descubram ameaças avançadas ocultas que não tenham sido identificadas pelos controles de prevenção e detecção automatizados.

   Com base nessa definição, a busca de ameaças deveria ser realizada por um especialista em cibersegurança; o processo não pode ser automatizado. No entanto, após a procura por anomalias feita pelos peritos, esses resultados contribuirão para o aprimoramento dos sistemas de detecção automáticos, que aprendem a rastrear cenários de perigos que antes exigiam um olhar humano.

Quando buscar?

   Para os especialistas, a pergunta ?há adversários em sua rede?? não importa, porque certamente eles existem. Basicamente, querem dizer que você já deveria estar caçando. Esperamos que isso não seja sempre verdade, o que não significa que você não deveria procurar ? especialmente se tiver uma enorme infraestrutura corporativa distribuída.

   Entretanto, a busca de ameaças é uma prática de segurança avançada que requer alguns recursos e um certo nível de sistemas de segurança. É por isso que, se tiver que escolher entre organizar um processo de busca de ameaças e empregar um sistema maduro de detecção e resposta, você definitivamente deve escolher o segundo.

   Sistemas maduros de detecção e resposta não apenas permitem que você tire do escopo da busca de ameaças as pequenas e menos perigosas, como também fornecem informações muito mais úteis para quem está caçando.

 

Quem deveria buscar?

   A principal questão aqui é se o caçador deve ser um especialista interno ou externo. Cada opção tem seus prós e contras. Um perito interno possui um conhecimento único sobre a arquitetura de rede local e suas especificidades, já um profissional de cibersegurança externo tem uma vasta sabedoria sobre o cenário de ameaças, mas vai precisar de algum tempo para conhecer a infraestrutura local. Ambos os aspectos são importantes. Em um mundo ideal, você deve alternar entre os dois (se permitido, é claro ? e se já tiver um especialista interno).

   Grande parte das redes corporativas se parece uma com a outra, até certo ponto. É claro, existem exceções, mas são raras. Um profissional externo que realize buscas de ameaças regularmente para várias organizações ficará à vontade com as pequenas variações de uma empresa para outra.

   Outro ponto dessa questão para os candidatos internos é que a busca constante por ameaças traz uma boa dose de tédio para os seus dias. Analisar logs para descobrir onde está escondido um processo contraditório é uma ocupação monótona que vai desgastar até os profissionais de TI mais entusiasmados. Então, é interessante alternar especialistas do seu centro de operações de segurança, ao invés de ter um único caçador de ameaças.

   Quanto às qualidades pessoais do candidato, procure alguém atento, paciente e com experiência em ciberameaças. Contudo, intuição também é muito importante. Pode ser complicado encontrar essa pessoa, já que a intuição não pode ser medida e raramente aparece nos currículos.

   Para o caso de um profissional externo, podemos oferecer os serviços dos nossos próprios especialistas em busca de ameaças. Eles podem explorar sua infraestrutura para identificar quaisquer sinais presentes ou históricos de comprometimento, ou providenciar o monitoramento 24 horas por dia e a análise contínua dos seus dados de ciberameaças. Para saber mais sobre os serviços de Busca de Ameaças da Kaspersky, visite essa página.


Para conhecer mais as soluções que a Kaspersky oferece para sua empresa, acesse aqui  uma das soluções que disponibilizamos. 



 

Fonte: http://bit.ly/2v4TLjY

Ver mais ...

Microsoft protege a vulnerabilidade do RDP. Atualize agora!Postado por Cristina

A falha afeta o protocolo Credential Security Support Provider (CredSSP), que é usado em todas as instâncias do Remote Desktop Protocol (RDP)Em 23/07/2018




Microsoft protege a vulnerabilidade do RDP. Atualize agora!

 

 

Como parte de sua atualização mensal na terça-feira, a Microsoft anunciou nesta semana que lançaram uma correção preliminar para uma vulnerabilidade avaliada e presente em todas as versões suportadas do Windows em circulação (basicamente, qualquer versão de cliente ou servidor do Windows a partir de 2008).

A falha afeta o protocolo Credential Security Support Provider (CredSSP), que é usado em todas as instâncias do Remote Desktop Protocol (RDP) do Windows e do Gerenciamento Remoto (WinRM).

A vulnerabilidade, CVE-2018-0886 , pode permitir a execução remota de código através de um ataque Man-in-the-Middle físico ou wifi, onde o atacante rouba dados de sessão, incluindo credenciais de usuários locais, durante o processo de autenticação CredSSP.

Embora a Microsoft diga que o bug ainda não foi explorado, isso pode causar sérios danos se não for apresentado.

O RDP é amplamente utilizado em ambientes empresariais e um invasor que explora com sucesso esse erro pode usá-lo para obter uma posição a partir da qual pivô e escalar. Também é popular entre as pequenas empresas que terceirizam sua administração de TI e, desnecessário dizer, um atacante com uma conta de administrador tem todos os ases.

Pesquisadores de segurança da Preempt dizem que descobriram e divulgaram esta vulnerabilidade à Microsoft em agosto passado, e a Microsoft vem trabalhando desde então para criar o patch lançado nesta semana.

Agora está lá fora, é uma corrida contra o tempo para se certificar de que você não é um alvo fácil para um atacante que quer tentar chutar os pneus nesta vulnerabilidade. Obviamente, repare o mais rápido possível.

Windows RDP como um vetor de ataque tentador

 

Se você já trabalhou em um escritório e teve problemas com seu computador baseado no Windows, há uma chance decente de que seu administrador de TI o ajudou de longe usando o RDP.

Isso ocorreu de uma forma ou de outra desde o Windows XP e permite que um administrador controle a máquina de outra pessoa, geralmente para que eles possam resolver problemas diretamente e rapidamente. (Dado que muitas equipes de TI não estão localizadas no mesmo país que as pessoas que estão tentando ajudar, o RDP certamente é muito mais rápido do que esperar por ajuda técnica para aparecer na sua mesa.)

O RDP funciona diretamente através da interface do usuário, permitindo que um usuário remoto interaja com um computador alvo como se estivesse sentado no teclado bem à sua frente.

E é isso que torna um alvo tão atraente para os atacantes.

Com uma sessão RDP, um invasor pode executar exploits de escalação de privilégios e, em seguida, tentar desativar medidas de proteção, instalar ferramentas de hacking, atacar outras máquinas na mesma rede, desligar sistemas de chaves como backups ou bancos de dados SQL e, claro, executar malware.

Ataques como este permitem que os hackers aproveitem seu tempo, descubra o lay of the land e até mesmo experimente diferentes tipos de resgate até encontrar um que funcione.

Para conhecer todas as opções de licenciamento de software da Microsoft, acesse nosso guia de licenciamento, ou entre em contato conosco. 

Para acessar o guia clique aqui. 



Fonte: http://bit.ly/2Nz7vez

Ver mais ...

Sua empresa está preparada para sobreviver a um desastre?Postado por Cristina

O seu plano de recuperação de desastre irá ajuda-lo através de ataques de ransomware, falhas de hardware e desastres naturais, ou você será surpreendido? Em 11/07/2018




A importância dos testes de recuperação de desastres

O seu plano de recuperação de desastre irá ajuda-lo através de ataques de ransomware, falhas de hardware e desastres naturais, ou você será surpreendido? Se você não puder responder a essa pergunta com um inequívoco: "Estamos prontos!", você deve investir mais tempo e recursos em testes de recuperação de desastre.

 

Atualmente, muitas organizações implementam soluções de backup e recuperação de desastre e assumem que estão preparadas para enfrentar qualquer eventualidade, afinal, o fornecedor da solução prometeu a recuperação de dados em questão de minutos.

 

Bem, isso é ótimo, mas simplesmente não podemos enfatizar o suficiente como é importante validar suas soluções e processos. Você precisa encontrar seus pontos de falha e consertá-los antes que um verdadeiro desastre aconteça.

 

O que você deve considerar?

Suponhamos que você já documentou completamente sua infraestrutura, dependências de aplicativos, fluxos de dados, custos de tempo de inatividade e SLAs.

 

Qual é o próximo?

 Quando se trata de testes de recuperação de desastre, veja o que você deve ter em mente.

 

Teste sua solução de DR e seu pessoal

Embora os testes automatizados de recuperação de desastre tenham uma finalidade importante, eles testam apenas o componente técnico do seu plano de DR. No caso de um desastre real, seu pessoal também precisará trabalhar com rapidez e confiança para restaurar rapidamente o tempo de atividade.

A realização de testes de mesa e testes técnicos simulados ajudará a garantir que sua equipe esteja preparada para executar suas políticas e procedimentos documentados.

 

Nunca subestime a importância do elemento humano.

Comprometer-se com o teste regular de recuperação de desastre.

Seu plano de DR é tão bom quanto seu elo mais fraco.

No entanto, em nossa pesquisa recente com 600 parceiros de canal e gerentes de TI, apenas 44% tinham um plano de DR implantado. E, desses, apenas 31% realizaram testes de DR mais de uma vez por ano.

 

Então, com que freqüência você deve testar seu plano?

Isso dependerá do seu negócio - o que funciona para uma agência de publicidade local não funcionará para uma instituição financeira regional. Dito isso, recomendamos que você faça um teste completo pelo menos a cada ano. E, se você precisar cumprir regulamentos rigorosos como o PCI DSS, recomendamos testes mais regulares.

Lembre-se: quanto mais você colocar o ritmo do seu pessoal, mais preparado ele estará para reagir diante do desastre. E, com a rotatividade regular de sua equipe de TI, os testes regulares serão absolutamente essenciais quando se trata de criar novos membros da equipe.

 

Projetar seu teste de DR

Independentemente de você realizar uma pequena pesquisa para testar aplicativos distintos ou executar um teste em grande escala, é necessário documentar completamente seu plano de testes de DR antes de começar.

 

Considerar:

Quanto tempo passou desde que você testou seus aplicativos essenciais e que devem ser incluídos em seu próximo teste se não for um teste completo

Alterações em sua infraestrutura de TI que podem exigir atualizações em seu plano, que devem ser validadas por meio de testes de DR

Definir:

Quem estará envolvido

O que, especificamente, você está testando

Os objetivos do seu teste

Seus resultados esperados

 


Docemente documente seu teste de DR

Ao executar seu teste de DR, será crucial fazer com que uma pessoa observe e documente o teste; este deve ser seu único objetivo no dia do teste.

Durante o teste, essa pessoa documentará qualquer falha e registrará o tempo necessário para concluir cada etapa do procedimento documentado de recuperação de desastre.

 

Eles devem manter nota de:

Tempo necessário para failover, restauração do tempo de atividade, recuperação de dados e failback

Falhas técnicas inesperadas

A resposta humana a surpresas inesperadas

Instâncias em que as pessoas encontraram falta de clareza no plano de DR, o que diminuiu o progresso e criou ansiedade entre a equipe

 

Revise e atualize seu plano de recuperação de desastre

Todos os testes no mundo não servem para nada se você não aproveitar os insights obtidos para solucionar vulnerabilidades no seu plano de DR.

 

O teste de recuperação de desastre revelou algum buraco?

Nesse caso, é hora de reunir as principais partes interessadas para determinar seu nível de risco aceitável e como você pode reduzir o impacto da perda de dados e do tempo de inatividade.

Com testes regulares de recuperação de desastre e melhorias contínuas em seu plano, você estará preparado para enfrentar qualquer tempestade. 

Ver mais ...

Gartner dá alta pontuação para Kaspersky em proteção corporativaPostado por Cristina

A Kaspersky Lab conquistou uma boa posição no relatório da Gartner focado em proteção de Endpoints. A empresa recebeu a maior pontuação do produto em um dos três casos empresariais de uso no relatório Gartner.Em 06/07/2018








A Kaspersky Lab conquistou uma boa posição no relatório da Gartner focado em proteção de Endpoints. A empresa recebeu a maior pontuação do produto em um dos três casos empresariais de uso no relatório Gartner Critical Capabilities for Endpoint Protection Platforms (Funcionalidades Críticas de Plataformas de Proteção de Endpoints).



O relatório avaliou a capacidade dos fornecedores de atender às necessidades de três tipos de empresa distintas: Tipo A, que focam em soluções flexíveis e customizáveis para atender às necessidades operacionais; Tipo B, precisam de combinação de funcionalidades de prevenção e resposta à detecção e; Tipo C, implementam soluções focadas na prevenção.

Para isso, foram analisados 21 fornecedores que receberam uma pontuação para cada uma das seguintes funcionalidades críticas: prevenção, alertas e relatórios no console, funcionalidade central de detecção e resposta no endpoint (EDR), resposta avançada de EDR, integração com terceiros, pacote de EPP, serviços gerenciados, suporte geográfico e suporte a sistemas operacionais.

A pontuação total da Kaspersky Lab Kaspersky Lab foi de 3,56, 3,76 e 3,86 para os casos A, B e C, respectivamente.

?Como cada empresa tem restrições diferentes de recursos e orçamento para proteger seus negócios contra ameaças, precisam ter acesso à proteção eficiente de endpoints com uma configuração adequada para enfrentar seus desafios?, afirma Nikita Shvetsov, diretor de tecnologia da Kaspersky Lab. Para ele, ?o cenário da segurança muda regularmente, por isso atualizamos nossos produtos para endpoints continuamente, a fim de acompanhar as necessidades de cada empresa, ajudando as organizações a ficar sempre um passo à frente das ameaças cibernéticas que as assolam diariamente?, diz.

?Ao alcançar uma das três primeiras posições em todos os grupos de usuários, confirmamos nossa missão de fornecer proteção relevante e confiável contra qualquer tipo de ameaça e para todos os tipos de usuários?, afirma.

O relatório do Gartner também mostrou que a proteção de endpoints está evoluindo para abordar as tarefas de arquitetura de segurança, como proteção, investigação, detecção de incidentes e resposta a incidentes. A versão mais recente do Kaspersky Endpoint Security for Business fornece aos clientes tecnologias de proteção em vários níveis. A solução pode ser totalmente integrada com o Kaspersky Endpoint Detection and Response, permitindo às empresas  investigações e remediações robustas. O produto também proporciona às organizações visibilidade aprimorada e recursos de gerenciamento granular, proporcionando que respondam a qualquer desafio cibernético que surja em seu caminho.



Ver mais ...

SophosPostado por Cristina

Agora temos o SFOS v17.1.0 GA disponível. Aqui está tudo que você precisa saber.Em 12/06/2018









Agora temos o SFOS v17.1.0 GA disponível. Aqui você verá tudo que você precisa saber da versão que está disponível como atualização manual para todas as versões SFOS via portal MySophos .  

Confira todos os aprimoramentos no XG Firewall v17.1, incluindo o novo recurso Cloud Application Visibility em nosso vídeo de demonstração do XG Firewall v17.1 .

 

Cloud App Visibility - traz o pilar de visibilidade do CASB para o XG Firewall, proporcionando detecção de TI e visibilidade de TI rápida e fácil em dados que podem estar em risco em aplicativos de nuvem com excelentes relatórios sobre usuários e volume de dados carregados e baixados de serviços em nuvem.

Controle de aplicativos sincronizados - obtém mais aprimoramentos no  gerenciamento de aplicativos recém-descobertos, incluindo opções para pesquisar, filtrar e excluir aplicativos. Você também verá a categoria atribuída ao aplicativo descoberto na lista para facilitar a consulta.

Email Security - adiciona gerenciamento de usuários sobre bloqueio SMTP individual e permite listas por meio do Portal do usuário. Os domínios ou endereços de e-mail adicionados à lista Permitir ignoram as políticas (exceto para aplicação de malware ou sandbox) e a adição de domínios ou endereços à lista de bloqueio colocará automaticamente os e-mails desses remetentes em quarentena. Além disso, são suportadas exceções de políticas de SMTP mais flexíveis para fornecer paridade com o Sophos SG UTM.

SSL VPN Port Option - um dos recursos mais solicitados no XG Firewall é a opção de personalizar a porta de escuta SSL VPN. 

Aprimoramentos de firewall - Aprimoramentos foram feitos no firewall e no gerenciamento de regras para melhorar a flexibilidade e simplificar ainda mais o gerenciamento. Agora você pode clicar duas vezes em uma regra de firewall na lista para abri-la para edição. Há uma nova opção para bloquear o HTTPS do Google QUIC sobre o UDP, forçando um retorno ao TCP, permitindo a inspeção completa do tráfego SSL. E agora há mais flexibilidade na definição de exceções de ACL para restringir o acesso a serviços como o Portal do usuário a partir de um único alias, por exemplo. 

Melhorias sem fio - O XG Firewall v17.1 fornece aprimoramentos de rede sem fio, incluindo a opção de definir a largura do canal para rádios sem fio na GUI, bem como o Radius Accounting. 

Aprimoramentos IPSec VPN IKEv2 - O XG Firewall v17 introduziu o novo suporte a IKEv2 para conexões VPN IPSec e todos os aprimoramentos de estabilidade e confiabilidade, incluídos em versões posteriores de manutenção, estão incluídos na v17.1.

Novo suporte de hardware - O suporte para a mais recente conectividade e recursos de hardware de desktop da série XG, revelado em uma versão de manutenção anterior, também está incluído no XG Firewall v17.1




Fonte: http://bit.ly/2sUN03X

Ver mais ...

VPNFilter: Novo Malware de Roteador com Recursos DestrutivosPostado por Cristina

Ao contrário da maioria das outras ameaças da IoT, o malware pode sobreviver à reinicialização.Em 07/06/2018

 







VPNFilter: Novo Malware de Roteador com Recursos Destrutivos 

  

Uma nova ameaça que atinge uma variedade de roteadores e dispositivos NAS (Network Attached Storage) é capaz de bloquear dispositivos infectados tornando-os inutilizáveis. O malware, conhecido como VPNFilter, é diferente da maioria das outras ameaças da IoT, pois é capaz de manter uma presença persistente em um dispositivo infectado, mesmo depois de uma reinicialização. O VPNFilter possui uma variedade de recursos, incluindo espionagem no tráfego que está sendo roteado pelo dispositivo. Seus criadores parecem ter um interesse particular nos sistemas de controle industrial SCADA, criando um módulo que intercepta especificamente as comunicações Modbus SCADA.

De acordo com uma nova pesquisa da Cisco Talos, a atividade em torno do malware se intensificou nas últimas semanas e os atacantes parecem estar particularmente interessados em alvos na Ucrânia. Embora o VPNFilter tenha se espalhado amplamente, os dados dos honeypots e dos sensores da Symantec indicam que, ao contrário de outras ameaças de IoT, como o Mirai, ele não parece estar examinando e tentando indiscriminadamente infectar todos os dispositivos vulneráveis ??globalmente.

P: Quais dispositivos são conhecidos por serem afetados pelo VPNFilter?

A: Até agora, VPNFilter é conhecido por ser capaz de infectar roteadores corporativos e pequenos escritórios / escritórios domésticos da Asus, da D-Link, da Huawei, da Linksys, da MikroTik, da Netgear, da TP-Link, da Ubiquiti, da Upvel e da ZTE. Dispositivos de armazenamento conectado à rede (NAS) da QNAP. Esses incluem:
 

ASUS

  • Asus RT-AC66U (novo)
  • Asus RT-N10 (novo)
  • Asus RT-N10E (novo)
  • Asus RT-N10U (novo)
  • Asus RT-N56U (novo)
  • Asus RT-N66U (novo)

 D-LINK

  • D-Link DES-1210-08P (novo)
  • D-Link DIR-300 (novo)
  • D-Link DIR-300A (novo)
  • D-Link DSR-250N (novo)
  • D-Link DSR-500N (novo)
  • D-Link DSR-1000 (novo)
  • D-Link DSR-1000N (novo)

 HUAWEI

  • Huawei HG8245 (novo)

 LINKSYS

  • Linksys E1200
  • Linksys E2500
  • Linksys E3000 (novo)
  • Linksys E3200 (novo)
  • Linksys E4200 (novo)
  • Linksys RV082 (novo)
  • Linksys WRVS4400N

 MIKROTIK

  • MikroTik CCR1009 (novo)
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109 (novo)
  • MikroTik CRS112 (novo)
  • MikroTik CRS125 (novo)
  • MikroTik RB411 (novo)
  • MikroTik RB450 (novo)
  • MikroTik RB750 (novo)
  • MikroTik RB911 (novo)
  • MikroTik RB921 (novo)
  • MikroTik RB941 (novo)
  • MikroTik RB951 (novo)
  • MikroTik RB952 (novo)
  • MikroTik RB960 (novo)
  • MikroTik RB962 (novo)
  • MikroTik RB1100 (novo)
  • MikroTik RB1200 (novo)
  • MikroTik RB2011 (novo)
  • MikroTik RB3011 (novo)
  • MikroTik RB Groove (novo)
  • MikroTik RB Omnitik (novo)
  • MikroTik STX5 (novo)

 NETGEAR

  • Netgear DG834 (novo)
  • Netgear DGN1000 (novo)
  • Netgear DGN2200
  • Netgear DGN3500 (novo)
  • Netgear FVS318N (novo)
  • Netgear MBRN3000 (novo)
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200 (novo)
  • Netgear WNR4000 (novo)
  • Netgear WNDR3700 (novo)
  • Netgear WNDR4000 (novo)
  • Netgear WNDR4300 (novo)
  • Netgear WNDR4300-TN (novo)
  • Netgear UTM50 (novo)

QNAP 

  • QNAP TS251
  • QNAP TS439 Pro
  • Outros dispositivos QNAP NAS executando o software QTS

 TP-LINK

  • TP-Link R600VPN
  • TP-Link TL-WR741ND (novo)
  • TP-Link TL-WR841N (novo)

 UBIQUITI

  • Ubiquiti NSM2 (novo)
  • Ubiquiti PBE M5 (novo)

 

  • Dispositivos upvel - modelos desconhecidos (novo)

 Dispositivos ZTE ZXHN H108N (novo)

 

P: Como o VPNFilter infecta os dispositivos afetados?

R: A maioria dos dispositivos direcionados é conhecida por usar credenciais padrão e / ou ter explorações conhecidas, principalmente em versões mais antigas. Não há nenhuma indicação no momento de que a exploração de vulnerabilidades de dia zero esteja envolvida na disseminação da ameaça.

P: O que o VPNFilter faz em um dispositivo infectado?

R: O VPNFilter é um malware de vários estágios. O estágio 1 é instalado primeiro e é usado para manter uma presença persistente no dispositivo infectado e entrará em contato com um servidor de comando e controle (C & C) para baixar módulos adicionais.

O estágio 2 contém a carga principal e é capaz de coletar arquivos, executar comandos, exfiltração de dados e gerenciamento de dispositivos. Ele também tem uma capacidade destrutiva e pode efetivamente ?bloquear? o dispositivo se receber um comando dos invasores. Isso é feito sobrescrevendo uma seção do firmware do dispositivo e reinicializando, tornando-o inutilizável.

Existem vários módulos conhecidos do Estágio 3, que funcionam como plug-ins para o Estágio 2. Eles incluem um sniffer de pacote para espionar o tráfego que é roteado pelo dispositivo, incluindo o roubo de credenciais do website e o monitoramento dos protocolos SCADA do Modbus. Outro módulo do Estágio 3 permite que o Estágio 2 se comunique usando o Tor.

Um módulo recém-descoberto (divulgado em 6 de junho) no estágio 3 conhecido como ?ssler? é capaz de interceptar todo o tráfego que passa pelo dispositivo pela porta 80, o que significa que os invasores podem bisbilhotar o tráfego da Web e também adulterá-lo para executar ataques do meio (MitM). Entre suas características está a capacidade de alterar solicitações HTTPS para solicitações HTTP comuns, o que significa que os dados que devem ser criptografados são enviados de forma insegura. Isso pode ser usado para coletar credenciais e outras informações confidenciais da rede da vítima. A descoberta deste módulo é significativa, pois fornece aos invasores um meio de ir além do roteador e até a rede da vítima.

Um quarto módulo do Estágio 3 conhecido como "dstr" (divulgado em 6 de junho) adiciona um comando kill a qualquer módulo do Estágio 2 que não tenha esse recurso. Se executado, o dstr removerá todos os vestígios do VPNFilter antes de compactar o dispositivo.

P: Se eu possuo um dispositivo afetado, o que devo fazer?

R: Os usuários dos dispositivos afetados são aconselhados a reinicializá-los imediatamente. Se o dispositivo estiver infectado com o VPNFilter, a reinicialização removerá o Estágio 2 e todos os elementos do Estágio 3 presentes no dispositivo. Isto irá (temporariamente pelo menos) remover o componente destrutivo do VPNFilter. No entanto, se infectado, a presença contínua do Estágio 1 significa que os Estágios 2 e 3 podem ser reinstalados pelos invasores.

Em seguida, você deve aplicar os últimos patches disponíveis aos dispositivos afetados e garantir que nenhum deles use credenciais padrão.

P: Se o Estágio 1 do VPNFilter persistir mesmo após a reinicialização, existe alguma maneira de removê-lo?

Um: sim. Realizando um hard reset do dispositivo, que restaura as configurações de fábrica, deve limpá-lo e remover o estágio 1. Com a maioria dos dispositivos, isso pode ser feito pressionando e segurando uma pequena chave de reset ao ligar e desligar o dispositivo. No entanto, tenha em mente que quaisquer detalhes de configuração ou credenciais armazenadas no roteador devem ser copiados para backup, pois serão apagados por uma reinicialização a frio.

P: O que os invasores pretendem fazer com a capacidade destrutiva do VPNFilter?

A: Isso é atualmente desconhecido. Uma possibilidade é usá-lo para fins disruptivos, usando um grande número de dispositivos infectados. Outra possibilidade é o uso mais seletivo para encobrir evidências de ataques.

P: Os produtos Symantec / Norton (Win / Mac / NMS) protegem contra essa ameaça? 

R: Os produtos Symantec e Norton detectam a ameaça como Linux.VPNFilter .

Reconhecimento: A Symantec deseja agradecer à Cisco Talos e à Cyber ??Threat Alliance por compartilhar informações sobre essa ameaça antes da publicação.

ATUALIZAÇÃO: A Netgear está aconselhando os clientes que, além de aplicar as atualizações de firmware mais recentes e alterar senhas padrão, os usuários devem garantir que o gerenciamento remoto seja desativado em seus roteadores. O gerenciamento remoto é desativado por padrão e só pode ser ativado usando as configurações avançadas do roteador. Para desligá-lo, eles devem ir para www.routerlogin.net em seu navegador e fazer o login usando suas credenciais de administrador. De lá, eles devem clicar em "Avançado" seguido de "Gerenciamento Remoto". Se a caixa de seleção "Ativar o gerenciamento remoto" estiver marcada, desmarque-a e clique em "Aplicar" para salvar as alterações.

ATUALIZAÇÃO 24 de maio de 2018: O FBI anunciou que tomou medidas imediatas para interromper o VPNFilter, garantindo uma ordem judicial, autorizando-o a confiscar um domínio que faz parte da infraestrutura C & C do malware. 

Enquanto isso, a Linksys está aconselhando os clientes a mudar as senhas de administração periodicamente e garantir que o software seja atualizado regularmente. Se eles acreditarem que foram infectados, uma reinicialização de fábrica do roteador é recomendada. Instruções completas podem ser  encontradas aqui.

A MikroTik disse que é altamente certo que qualquer um de seus dispositivos infectados pelo VPNFilter tenha instalado o malware através de uma vulnerabilidade no software MikroTik RouterOS, que foi corrigido pela MikroTik em março de 2017. Atualizar o software RouterOS exclui o VPNFilter, quaisquer outros arquivos de terceiros e corrige a vulnerabilidade.

 


Fonte: https://symc.ly/2xR5Uxw

  

Ver mais ...

Mitigação e Recuperção de desastres com Nakivo Backup & Replication Postado por Cristina

No mundo atual, impulsionado pela tecnologia, a maioria das empresas utiliza uma infraestrutura complexa, como front-ends da Web, bancos de dados e redes híbridas.Em 05/06/2018







No mundo atual, impulsionado pela tecnologia, a maioria das empresas utiliza uma infraestrutura complexa, como front-ends da Web, bancos de dados e redes híbridas. Eles costumam ser ampliados entre a infraestrutura local e os provedores de nuvem pública. Com todas as "partes móveis" da infraestrutura que impulsionam o comércio eletrônico 24 × 7 e outros negócios, há sempre a possibilidade de paralisação, seja como resultado de erro humano, ataques mal-intencionados ou desastres naturais. As empresas devem ter um plano em vigor que avalie os impactos de tais eventos e defina uma resposta. Um sólido plano de continuidade de negócios permite que as organizações antecipem quaisquer desastres em potencial que possam afetar as operações de negócios e determinar o melhor curso de ação. Vamos analisar mais de perto os planos de continuidade de negócios e o que deve ser coberto neles. 

O que é um plano de continuidade de negócios e por que você precisa de um?

Um plano de continuidade de negócios é frequentemente confundido com um plano de recuperação de desastres. Um plano de continuidade de negócios tem um escopo mais amplo, determinando como a empresa pode continuar fornecendo produtos e serviços durante interrupções não planejadas. Um plano de recuperação de desastre é mais focado em TI e engloba todos os processos envolvidos para colocar todos os sistemas essenciais aos negócios de volta on-line o mais rápido possível após uma indisponibilidade não planejada. Quando as operações do dia-a-dia são afetadas, o resultado é que as interrupções custam o dinheiro da empresa. As organizações devem ter um plano de continuidade de negócios que detalha uma estratégia para mitigar e minimizar de forma proativa o impacto nas operações de negócios enquanto mantém a produção em andamento. Um plano de recuperação de desastres é parte disso.

Planos de continuidade de negócios são extremamente importantes. Organizações que não planejaram o inesperado, na melhor das circunstâncias, podem se ver lutando para manter ou continuar seus negócios enquanto lutam com a recuperação de dados ou sistemas de negócios. No pior dos casos, o impacto pode ser grave o suficiente para que a empresa não tenha chance de se recuperar.

Lista de verificação do plano de continuidade de negócios 

Como você começa a formular um plano de continuidade de negócios? Embora a tarefa possa parecer assustadora, uma lista de verificação pode ajudá-lo a formular rapidamente uma estrutura de prioridades. Com base nessa estrutura, você pode criar um plano de continuidade de negócios adaptado à sua empresa. Isso pode ajudá-lo a planejar proativamente a manutenção de operações comerciais durante uma crise.

* Identifique os principais contatos e membros da equipe

* Identificar os principais serviços empresariais potencialmente afetados por desastres 

* Realize uma avaliação de risco e uma análise de impacto

* Desenvolver um plano de recuperação e / ou contingência para serviços empresariais específicos

*  Determinar objetivos de tempo de recuperação (RTOs) e objetivos de ponto de recuperação (RPOs)

*   Garantir que os dados críticos para os negócios sejam protegidos

* Designar um site de recuperação de desastres (DR) para failover de rede/dados.

 * Teste seu plano de continuidade de negócios e melhore os pontos fracos encontrados


Vamos examinar cada um desses itens da lista de verificação com um pouco mais de detalhes e ver por que eles são aspectos importantes a serem considerados em seu plano de continuidade de negócios.


1. Identifique os principais contatos e membros da equipe

                Identificar contatos e membros da equipe que podem desempenhar papéis importantes para manter os negócios funcionando é um primeiro passo importante na formulação de um plano de continuidade de negócios. O planejamento de continuidade de negócios precisa acontecer de cima para baixo em uma organização. Um líder de equipe de continuidade de negócios deve ser designado para liderar o esforço de planejamento de continuidade de negócios. De um modo geral, a equipe de planejamento de continuidade de negócios deve incluir membros de cada departamento envolvido em operações comerciais normais. Os membros da equipe sênior costumam ser os mais bem informados em termos de entender como os eventos de desastre podem afetar as operações de negócios.

                Uma consideração adicional a ser feita ao identificar o pessoal chave do plano de continuidade de negócios é determinar os tipos de eventos de desastre que podem impactar as operações de negócios. Esses eventos podem incluir desastres naturais, eventos climáticos extremos, criação de ameaças à segurança, perda de dados devido a falhas do sistema de TI, vírus de computador, hacking, falta de energia, danos a instalações (de clima, incêndio ou outros eventos), roubo ou vandalismo etc. Diferentes membros da equipe podem ser mais adequados para responder a diferentes tipos de desastres. Trabalhe com RH para identificar os pontos fortes de seus funcionários com base em seus conhecimentos e experiência.

                Ao atribuir responsabilidades a diferentes partes em seu plano de continuidade de negócios, verifique se você tem pelo menos um substituto para cada função. Tanto o delegado principal quanto seu substituto devem ser bem versados em como executar seus trabalhos.


2. Identificar os principais serviços de negócios potencialmente afetados por desastres

                Para formular um plano de continuidade de negócios eficaz, todos os processos, procedimentos, sistemas e recursos externos devem ser totalmente compreendidos. Sem um entendimento profundo dos serviços ou da infraestrutura necessária para fornecer produtos ou serviços da sua organização, um desastre interrompe a continuidade dos negócios. O plano de continuidade de negócios deve identificar esses elementos-chave de infraestrutura ou serviços que são absolutamente essenciais antes que você possa desenvolver um plano de contingência de acordo.

Os principais serviços e infra-estrutura provavelmente incluiriam:

    Sistemas de energia

    Conectividade de telecomunicações - WAN, LAN, telefone

    Infraestrutura de construção física

    Maquinário

    Sistemas de TI - servidores da web, servidores de aplicativos, servidores de banco de dados

Determine os recursos físicos, lógicos e outros absolutamente necessários para fazer negócios. Só então o plano de continuidade de negócios pode abordar adequadamente a infraestrutura de backup, os sistemas secundários e os níveis de serviço durante um desastre.


3. Realize uma avaliação de risco e uma análise de impacto

Depois que os principais serviços comerciais que podem ser afetados por desastres são identificados, as organizações devem realizar uma avaliação de riscos. Uma avaliação de risco identifica vulnerabilidades associadas a sistemas, atividades e recursos de suporte críticos para os negócios. Uma análise de impacto, muitas vezes realizada ao lado, avalia os efeitos sobre o negócio se esses riscos se materializarem em uma interrupção real.

A avaliação de risco deve considerar tanto a probabilidade quanto a criticidade de cada risco. A probabilidade representa a probabilidade do evento de desastre ocorrer, enquanto a criticidade é a gravidade do impacto nas operações de negócios. A análise de impacto identificaria os processos de negócios afetados e determinaria o nível de tolerância para cada processo degradado, interrompido ou completamente indisponível.

Por exemplo, um site localizado na costa pode ser mais propenso a interrupções de continuidade de negócios causadas por furacões ou inundações. Estes podem ser identificados como riscos. Então, seriam feitas considerações para determinar o impacto nos negócios se o local fosse de fato atingido por um furacão ou inundação, e que grau de impacto poderia ser tolerado.

Organizações com vários sites devem executar uma análise de risco para cada localidade. Os desafios e complexidades dos eventos de desastre são provavelmente exclusivos de cada site, especialmente se estiverem geograficamente distantes. As relações e dependências entre locais também devem ser consideradas; o que acontece se um site inteiro for perdido? Todos esses fatores devem ser considerados em uma avaliação de risco e análise de impacto para formular um plano preciso de continuidade de negócios que responda por todas as possibilidades.

Ao realizar a análise de impacto, você deve ter uma compreensão dos custos para sua organização. Isso inclui como os negócios são afetados quando serviços e processos são degradados, interrompidos ou completamente indisponíveis. Qual é o impacto fiscal para os processos de negócios ou serviços que estão sendo interrompidos por minutos, dias ou até semanas?


4. Desenvolver um Plano de Recuperação e / ou Contingência para Serviços Comerciais

Depois que os elementos essenciais necessários para as operações de negócios forem identificados (etapa 2) e uma análise de risco tiver determinado os riscos mais prováveis para esses serviços principais (etapa 3), você deverá desenvolver um plano de contingência. Um plano de contingência descreve os arranjos para recuperar e continuar esses serviços principais em caso de desastre. Seu plano de contingência pode alavancar as seguintes estratégias, entre outras:

    Procedimentos alternativos de negócios - por exemplo, soluções manuais para processos mecanizados ou automatizados até que os sistemas estejam em funcionamento e funcionando

    Um site secundário ou alternativo para retomar as operações de negócios

    Rede no nível do site e failover do servidor

    Recuperação de backups off-site de dados críticos para os negócios

    Recursos "hot spare" ou de reserva, que podem ser colocados em operação imediatamente quando os componentes primários falham

A recuperação e o planejamento de contingência são muitas vezes referidos coletivamente como uma continuidade do plano de operações (COOP). Seu COOP abrange os recursos, ações, procedimentos e informações necessários no caso de uma grande interrupção das operações de negócios.


5. Determinar os objetivos de tempo de recuperação (RTO) e os objetivos de ponto de recuperação (RPO)

Quando as empresas consideram os sistemas de TI em seus planos de continuidade de negócios, há duas métricas importantes para restaurar o serviço nos sistemas: RTO (Recovery Time Objectives) e RPO (Recovery Point Objectives, objetivos de ponto de recuperação).

Um objetivo de tempo de recuperação ou RTO determina quanto tempo de inatividade do sistema de TI uma empresa pode razoavelmente tolerar antes que os processos de negócios ou serviços sejam restaurados.

Um objetivo de ponto de recuperação ou RPO define quanto de perda de dados uma empresa pode tolerar. Como os RTOs, as RPOs são medidas em unidades de tempo (minutos, horas, dias ou semanas). Por exemplo, talvez sua empresa possa perder um dia inteiro de dados de pesquisa sem incorrer em muitos danos, mas apenas dez minutos em registros de transações on-line.

Para mais informações sobre RTO, consulte o nosso white paper.


6. Garantir que os dados críticos para os negócios sejam protegidos

O impacto de desastres pode ser significativamente mitigado protegendo adequadamente seus dados críticos para os negócios. A melhor prática para garantir a resiliência dos backups é a "regra 3-2-1": certifique-se de ter um mínimo de três backups em dois tipos diferentes de mídia, com pelo menos uma cópia armazenada externamente. Você não gostaria que o mesmo desastre que afetou seus dados de produção também tirasse os dados de backup!

Escolha uma solução de proteção de dados que permita atender aos RTOs e RPOs definidos em seu plano de continuidade de negócios.

O NAKIVO Backup & Replication permite que as organizações com infraestrutura virtual sigam a metodologia de backup "3-2-1", além de ajudá-las a alcançar até mesmo os RPOs e RTOs mais curtos que definem. O NAKIVO Backup & Replication fornece uma importante funcionalidade de proteção de dados:

    Backup baseado em imagem

    Replicação no nível da VM

    Tarefas de cópia de backup (para destinos externos de DR e de nuvem pública)

    Backup com reconhecimento de aplicativo para consistência transacional de bancos de dados

Contando com uma solução comprovada e completa, as organizações podem ter certeza de que a continuidade dos negócios do ponto de vista de proteção de dados é garantida no caso de interrupção.


7. Designe um site de DR para failover de rede / dados

Com grande parte da infraestrutura de negócios atual baseada em infraestrutura de TI, as organizações devem considerar como um desastre em potencial afetaria o acesso a dados e comunicações. Se a rede principal e os recursos de dados, incluindo máquinas virtuais, estiverem localizados em um site de produção principal, o que acontecerá se esse site ficar offline? A designação de um site de recuperação de desastre (DR) para failover de rede / dados é crucial para garantir que o RPO e o RTO sejam atendidos, conforme definido no plano de continuidade de negócios.

Ao designar uma instalação de DR (geralmente localizada em uma região geográfica diferente), as empresas podem manter uma cópia ?quente e em espera? de recursos, como máquinas virtuais, com segurança fora do ambiente do site de produção. No caso de uma falha em todo o site que reduz os recursos de produção, como a rede principal e as máquinas virtuais, o tráfego pode sofrer failover para o local de DR. As VMs de "warm-standby" basicamente se tornam cargas de trabalho de produção, permitindo que as operações de negócios sejam colocadas on-line de maneira rápida e eficiente.

Com o NAKIVO Backup & Replication, as empresas podem efetivamente replicar as VMs de produção atuais para um local de DR externo. A réplica da VM é uma cópia exata da VM original usada como uma espera ativa para um trabalho de failover automatizado. As empresas podem definir o intervalo de replicação para alinhar com o conjunto de RPOs (etapa 5). Isso faz parte de um plano de contingência eficaz para falhas em todo o site que afetam as cargas de trabalho de produção.


8. Teste seu plano de continuidade de negócios e melhore os pontos fracos encontrados

Uma vez que o plano de continuidade de negócios tenha sido criado, testes regulares e rigorosos são cruciais. Isso significa não apenas realizar orientações do plano, mas também realizar simulações completas. Você deve executar todos os processos, procedimentos e sistemas secundários para imitar o fluxo de como o plano de continuidade de negócios seria realizado em circunstâncias reais de desastre. Estes tipos de testes são melhor realizados trimestralmente, por várias razões. Os principais membros da equipe devem estar familiarizados com o processo e capazes de executar suas partes sob pressão sem confusão. Além disso, alterações em sua infraestrutura, ambiente, protocolos, cargas de trabalho e / ou força de trabalho podem introduzir complicações no plano. Esses possíveis problemas geralmente só são descobertos no decorrer dos testes completos.

As simulações devem ser assistidas por um observador independente, que pode tomar notas sobre insuficiências e fraquezas. Deve haver debriefings após cada passagem, após o qual os relatórios podem ser redigidos. Nos relatórios, os pontos fracos e os problemas devem ser documentados, bem como as atualizações propostas para o plano. Os relatórios, bem como o plano (atualizado de acordo) devem ser distribuídos a todos os membros da equipe.


Pensamentos Finais  

O planejamento de continuidade de negócios é essencial para garantir que os serviços de negócios possam continuar e / ou serem recuperados se as principais funções de negócios forem degradadas, interrompidas ou renderizadas completamente indisponíveis. As organizações que não conseguem criar um plano de continuidade de negócios (incluindo avaliação de riscos, análise de impacto, recuperação de desastres e planejamento de contingência) podem sofrer paralisações importantes, perda de dados ou outras deficiências. Esses efeitos podem levar as empresas a incorrer em perdas de receita, confiança do cliente e reputação. Com essa lista de verificação, as empresas podem criar a estrutura para um plano de continuidade de negócios eficaz que as torne resilientes a qualquer desastre, natural ou causado pelo homem. Se você ainda não tem um plano abrangente de continuidade de negócios para a sua empresa, faça disso uma prioridade. O desastre pode ocorrer a qualquer momento - e geralmente acontece quando menos se espera. Ao planejar, preparar, testar e reforçar os planos de continuidade de negócios, sua empresa pode suportar até as piores crises.

O NAKIVO Backup & Replication oferece uma série de recursos para ajudá-lo na recuperação de desastres para ambientes virtualizados, incluindo vários dos mencionados neste artigo. Teste o produto fácil de usar em seu próprio ambiente VMware, Hyper-V ou AWS gratuitamente com a avaliação gratuita completa e veja a rapidez com que você pode recuperar seus dados.



Ver mais ...

O que as empresas (AINDA) podem aprender após um ano do maior ataque globalPostado por Cristina

Não há dúvida que o ano de 2017 será lembrado como o ano em que a ameaça do ransomware expandiu-se repentinamenteEm 15/05/2018

  




Não há dúvida que o ano de 2017 será lembrado como o ano em que a ameaça do ransomware expandiu-se repentinamente, com agentes de ameaças avançadas atacando empresas globalmente em uma série de ataques destrutivos. Ano passado, três ataques de ransomware, sem precedente, atingiram redes corporativas e mudaram para sempre o cenário: WannaCry, ExPetr e BadRabbit. Além de muitos usuários domésticos, as empresas também foram alvo de ransomware. No total, conseguimos evitar infecções desse tipo com nossos produtos.  


   "Embora ainda haja dúvidas sobre as motivações por trás do ataque em 12 de maio de 2017, as lições aprendidas pela indústria têm sido de grande valor e levaram a uma melhoria progressiva das medidas de segurança aplicadas em ambientes corporativos. O WannaCry deixou claro que a segurança de computadores deve ser um processo proativo e constante, com o pilar fundamental da aplicação dos patches do sistema operacional e a configuração correta das soluções antimalware", reforça Dmitry Bestuzhev, diretor da Equipe de Análise e Pesquisa da Kaspersky Lab para a América Latina.

Segundo nossos estudos, os ataques do ransomware na América Latina tiveram um aumento anual de 30% entre 2014 e 2017. Tanto que, no ranking global, o Brasil ocupou a 6ª posição (4,06%) de países mais afetados da região. Embora o ataque tenha "assustado" muita gente, infelizmente, ainda temos empresários acreditando que não acontecerá algo parecido tão cedo. Mas o grande ponto é que se você foi atacado uma vez, será de novo, pois sua empresa continuará sendo considerada insegura, enquanto você não investir em cibersegurança.

       Um dado importe faz referencia à aproximadamente 65% das empresas atingidas por ransomware em 2017 disseram ter perdido o acesso a um volume significativo ou até a todos os seus dados, de acordo com a nossa análise: História do ano de 2017: O novo perigo do ransomware. Uma em cada seis das que pagaram o resgate não conseguiu recuperar seus dados.    


  


Claudio Martinelli

Diretor Geral da Kaspersky Lab na America Latina 

Ver mais ...

Sua empresa está preparada para as ameaças sofisticadas?Postado por Cristina

Epidemias, vazamentos de dados e ataques direcionados, ao longo dos últimos anos, mudaram significativamente as atitudes em relação à cibersegurança.Em 08/05/2018






Epidemias, vazamentos de dados e ataques direcionados, ao longo dos últimos anos,  mudaram significativamente as atitudes em relação à cibersegurança. Hoje em dia, ninguém pensa que proteção contra ciberameaças é apenas uma responsabilidade do administrador de sistema; toda empresa precisa de uma estratégia de defesa. Mas a cibersegurança não consegue sobreviver com uma abordagem passiva não pode estar limitada à instalação de "algum antivírus". Para se sentirem seguras hoje e no futuro, as corporações precisam de uma solução next-generation que possa enfrentar uma diversidade de ameaças. Uma solução de segurança completa precisa, por um lado, atacar os desafios atuais e por outro, ser capaz de se adaptar às necessidades de negócios específicos. Aqui analisamos as maiores tendências do mundo da cibersegurança e verificamos como a última versão da nossa principal solução B2B, o Kaspersky Endpoint Security for Business, as enfrenta.   

  


Ransomware:


Nos últimos anos, o ransomware manteve sua posição na lista das 10 maiores ciberameaças. Pelo menos dois grandes surtos (WannaCry e ExPetr), além de vários incidentes menores, causaram sérios danos tanto para pequenos negócios como para grandes empresas. Nossos especialistas prevêem que vamos enfrentar ransomwares esse ano também. Está muito claro para os malfeitores que intimidar usuários domésticos é menos lucrativo, especialmente, se levar em conta o valor dos resgate de vítimas corporativas, por isso, mudaram o foco para essa direção. Inclusive, se antes miravam em sistemas operacionais de usuários finais, agora se dedicam a tecnologias direcionadas para sistemas operacionais de servidores.


Medida de combate: fortalecimento de tecnologia de proteção altamente especializada. Um subsistema feito sob medida especificamente para proteger contra malwares criptográficos permite o monitoramento de tentativas de acesso a arquivos, detecção e bloqueio de atividades suspeitas. Essa solução de segurança é igualmente eficaz tanto em sistemas operacionais de usuários quanto de servidores. Além disso, nos dispositivos Windows dos clientes, local em que a maior parte das informações do usuário é armazenada, pode reverter alterações maliciosas feitas nos arquivos, ao restaurar o que foi corrompido.


Ameaças next-gen e "sem arquivo"


Os cibercriminosos constantemente inventam novos métodos para escapar da detecção. Alguns ataques não utilizam arquivos. Outros implementam métodos sofisticados de "ofuscação" de código. Outros ainda usam apenas instrumentos legítimos e contam com a desatenção de funcionários. Alguns grupos criativos até mesmo procuram vulnerabilidades zero-day e criam exploits para elas. Por fim, há os mais habilidosos que combinam todos esses métodos. Para combater essas ameaças, uma solução multicamadas não é suficiente.


Medida de combate: Aprendizado de máquina multicamadas (ML2) e métodos de detecção sem assinatura. Nossas tecnologias de proteção next-gen são baseadas em algoritmos de aprendizado de máquina que funcionam em modo estático (para detecção de ameaças em fase de pré-execução) e dinamicamente (na captura de ciberameaças ativadas). Nossos métodos incorporam mecanismos comportamentais, um subsistema de prevenção de exploits automatizado, prevenção de intrusão baseada em host, e tecnologias na nuvem que não precisam de atualizações constantes para detectar as mais novas ameaças.


Ataques direcionados: 


Executar ataques direcionados contra empresas específicas se tornou muito mais acessível, então incidentes assim agora são mais comuns do que costumavam ser. Embora ainda exijam mais recursos e uma preparação mais minuciosa do que para lançar uma rede ampla, são potencialmente mais rentáveis. Aliás, as grandes corporações, com bolsos cheios, não são os únicos alvos. Até uma pequena empresa pode se tornar um elo involuntário em um ataque a cadeias de fornecedores, por isso, nenhum negócio deve se considerar protegido contra esse tipo de ameaça.



Medida de combate: Uma estratégia de segurança integrada baseada no uso de diversas soluções de segurança complementares. O componente do cliente da nossa solução, instalado em cada estação de trabalho, pode se integrar com o Kaspersky Endpoint Detection and Response ou com o Kaspersky Anti-Targeted Attack Platform para aprimorar a visibilidade de endpoints e automatizar os procedimentos de resposta aos incidentes.


Vazamento de dados: 

Em algumas indústrias, vazamentos de dados já causaram verdadeiras catástrofes. Registros de clientes e funcionários estão entre os itens mais vendidos do mercado "alternativo". Isso é especialmente alarmante à luz da entrada em vigor do GDPR, o Regulamento Geral de Proteção de Dados da União Europeia.

 

Medida de combate: Um maior foco em tecnologias de criptografia. O console do Kaspersky Security Center pode ser usado para uma administração centralizada e remota de diversos sistemas de encriptação de dados em grande parte das plataformas móveis e de estação de trabalho mais populares (incluindo FileVault 2 para macOS). Além do mais, nossas próprias tecnologias de criptografia podem proteger seus dados tanto em um arquivo, quanto em um disco inteiro.

Claro, nem todos os itens acima são completamente novos. A versão atualizada do Kaspersky Endpoint Security for Business contém uma série de características, tanto aprimoradas como recentemente adicionadas, que aumentam os níveis de proteção, simplificam a administração e dimensionabilidade,  auxiliam na redução dos custo de implementação e suporte. Para saber como isso funciona na prática e quais as vantagens que pode trazer para o seu negócio, visite a página do produto em nosso site oficial.

 



Ver mais ...