Carregando...

Blog

Um terço dos computadores sofreram ataques de malware em 2018Postado por Cristina

Segundo a empresa de cibersegurança Kaspersky, cerca de 30% dos computadores no mundo sofreram com ataques de malware em 2018. Além disso, que o número de backdoors aumentou em 44% e o de ransomwares cresceu 43%.Em 06/12/2018

Um terço dos computadores sofreram ataques de malware em 2018

 

   

   Segundo a empresa de cibersegurança Kaspersky, cerca de 30% dos computadores no mundo sofreram com ataques de malware em 2018. Além disso, que o número de backdoors aumentou em 44% e o de ransomwares cresceu 43%.

   Estes resultados mostram que o malware, especialmente os backdoors e o ransomware, continuam sendo um perigo significativo para os usuários de computadores, diz a empresa.

   Backdoor é um acesso ao dispositivo utilizado por cibercriminosos para o controle remoto. Enquanto isso, o ransomware é um tipo de ataque que sequestra o computador ou smartphone e pede um valor X em criptomoeda para a liberação de arquivos, por exemplo o WannaCry é um exemplo de ransomware que teve muito sucesso.

  Em 2018, o ransomware (Trojan-Ransom) e os backdoors detectados compreenderam 3,5% e 3,7% de todos os novos arquivos maliciosos coletados nos primeiros dez meses do ano. Isto representa um aumento de 43% para o ransomware (de 2.198.130 em 2017 para 3.133.513 em 2018) e de 44% para os backdoors (de 2.272.341 em 2017 para 3.263.681 em 2018) em relação ao período anterior?, detalha a empresa. Ao todo, as tecnologias de detecção da Kaspersky Lab encontraram 346.000 novos malware por dia nos dez primeiros meses do ano. O número e o alcance de novos arquivos maliciosos detectados diariamente são uma boa indicação dos interesses dos cibercriminosos envolvidos na criação e na distribuição de malware. Em 2011, nossas tecnologias detectaram 70.000 novos arquivos por dia e, até 2017, esse número aumentou cinco vezes, chegando a 360.000.


Acompanhe abaixo mais pontos sobre os ciberataques em 2018:

 

   A solução de segurança da web da Kaspersky Lab detectou 21.643.946 objetos maliciosos únicos

30,01% dos computadores de usuários sofreram pelo menos um ataque de malware durante este ano. 

 

E para ficar protegido, a Kaspersky Lab recomenda:

 

  Prestar muita atenção e não abrir arquivos ou anexos suspeitos recebidos de fontes desconhecidas;

Não baixar e instalar apps de fontes não confiáveis;

Não clicar em links recebidos de fontes desconhecidas e anúncios suspeitos;

Criar senhas fortes (longas) e não esquecer de alterá-las regularmente;

Sempre instalar as atualizações disponíveis, pois elas podem conter correções para problemas de segurança críticos;

Ignorar mensagens que solicitam a desativação de sistemas de segurança para software do Office ou software antivírus;

A utilização de uma solução de segurança eficiente. 

 


Fonte

Ver mais ...

Spyware Pegasus pode ter ajudado a matar jornalista saudita.Postado por Cristina

O Pegasus , que infecta smartphones, contém uma série de recursos de espionagem.Em 05/12/2018








Spyware Pegasus pode ter ajudado a matar jornalista saudita. 

  

O processo alega que o NSO Group violou a lei internacional ao permitir que Pegasus fosse usado por regimes opressivos para caçar dissidentes e jornalistas.

Um renomado dissidente saudita anteriormente alvejado pelo notório spyware Pegasus entrou com uma ação contra os autores do spyware, o NSO Group, de Israel. O processo alega que Pegasus foi fundamental na vigilância do governo saudita contra o jornalista do Washington Post, Jamal Khashoggi, que levou ao assassinato no consulado saudita em Istambul.

O Pegasus , que infecta smartphones, contém uma série de recursos de espionagem. Depois de verificar o dispositivo do alvo, ele instala os módulos necessários para ler as mensagens e mensagens do usuário, ouvir chamadas, capturar capturas de tela, registrar teclas pressionadas, exfiltrar histórico do navegador, contatos e realizar outras tarefas de vigilância conforme necessário.

Omar Abdulaziz, um ativista saudita e residente em Montreal, foi alvo e infectado com spyware Pegasus durante o verão, de acordo com o Citizen Lab. A segmentação ocorreu enquanto Abdulaziz, que recebeu recentemente asilo no Canadá, frequentava a Universidade McGill.

Durante esse período, Abdulaziz e Khashoggi realizaram intercâmbios quase diários até agosto de 2018, segundo reportagem da CNN - durante a qual eles planejaram uma campanha que apelidaram de "cyberbees". Cyberbees seria um esforço para permitir que jovens sauditas socialmente conscientes Twitter, a fim de desafiar a propaganda do estado do Reino e o que eles viam como táticas opressivas do regime. Seria o perfil público jornalístico de Khashoggi e o Twitter de Abdulaziz de 340.000 pessoas.

O esquema envolveu o envio de cartões SIM estrangeiros não rastreáveis "para dissidentes em casa, a fim de ajudar as "abelhas" a evitar serem identificadas enquanto twittaram; e um esforço para envolver sub-repticiamente doadores ricos para despejar dinheiro no projeto. Os dois discutiram os arranjos via mensagens do WhatsApp; mas de alguma forma, o governo saudita descobriu seu plano, segundo Abdulaziz. Ele coloca o vazamento diretamente na conta do spyware do Pegasus, que ele alega ter sido emitido pelo governo saudita.  

No domingo, os advogados de Abdulaziz entraram com uma ação em Tel Aviv, alegando que a NSO infringiu a lei internacional ao permitir conscientemente que seus produtos fossem usados "para infringir os direitos humanos."

"O NSO deve ser responsabilizado para proteger as vidas de dissidentes políticos, jornalistas e ativistas de direitos humanos", disse o advogado de Abdulaziz, Alaa Mahajna, falando à CNN .

De sua parte, Abdulaziz não encostou seus pensamentos: "A invasão do meu celular teve um papel importante no que aconteceu com o Jamal, lamento muito dizer", disse Abdelaziz à CNN. "A culpa está me matando."

O NSO Group disse em comunicado à imprensa que as alegações são "completamente infundadas" e que não há evidências de que Pegasus tenha sido usado para hackear o telefone de Abdulaziz. "O processo parece ser baseado em uma coleção de recortes de imprensa que foram gerados com o único propósito de criar notícias e não refletem a realidade do trabalho do NSO", disse.

Também reiterou seu mantra de que o Pegasus só ajuda os governos e agências de aplicação da lei a "combater o terrorismo e o crime em uma era moderna?, mas também se deu: " Além disso, os produtos fornecidos pela NSO são operados pelo cliente do governo a quem eles foram fornecidos, sem o envolvimento da NSO ou de seus funcionários ?.

Apesar das declarações do Grupo NSO em contrário, o ataque a Abdulaziz se encaixa em um padrão de ataques contínuos a membros da ?sociedade civil? (jornalistas, defensores da justiça social, dissidentes e organizações de direitos humanos) usando o malware Pegasus, segundo o Citizen Lab. No boletim Virus Bulletin 2018 de outubro, em Montreal, Masashi Nishihata, do Citizen Lab, explicou em uma sessão que o ataque a Abdulaziz foi ?inferido como sendo um agressor baseado na Arábia Saudita?.

Ele acrescentou: "Abdulaziz tem sido franco em uma disputa diplomática em curso sobre questões de direitos humanos entre o Canadá ea Arábia Saudita".

O dissidente ganhou notoriedade; Ele aparece regularmente na mídia canadense e "Omar acumulou seguidores significativos no YouTube", disse John Scott Railton, do Citizen Lab, também falando no Virus Bulletin. "E ele tem estado sob pressão do governo saudita para diminuí-lo."  

Além disso, em uma aparição no atual programa de assuntos da Canadian Broadcasting Corporation (CBC), The Current, em 10 de agosto, ele disse que as autoridades sauditas haviam entrado na casa de seu irmão na Arábia Saudita e "pediram para ele me convencer [a] pare de twittar sobre o que realmente está acontecendo entre o Canadá e a Arábia Saudita, ou eles vão mandá-lo para a cadeia. "

O Citizen Lab disse que a situação é apenas um exemplo do uso indevido de spyware comercial - que define como produtos ostensivamente feitos por empresas legítimas para uso por organizações governamentais supostamente aprovadas para capturar terroristas e criminosos. Mas tem notado constantemente o uso do Pegasus e de outras ferramentas de hacking de nível militar para atacar a sociedade civil, em nome de suspeitos de vários governos opressores ou corruptos.

"Em seis anos, observamos que quatro empresas de spyware (FinFisher, Hacking Team, Cyberbit e NSO Group) fazem afirmações semelhantes: seus produtos são usados" para capturar terroristas e criminosos; eles realizam due diligence antes de vender seus produtos a um cliente; e investigam alegações de uso indevido, tomando medidas corretivas se justificadas", observaram os pesquisadores em uma postagem recente. Ainda as descobertas do Citizen Lab mostram que muitos governos e seus serviços de inteligência não podem resistir a abusar de spyware os produtos de cada empresa foram maltratados de forma a causar danos mensuráveis aos defensores de direitos humanos, jornalistas, advogados que trabalham em nome de vítimas de crimes ou mídia cívica por exemplo, blogueiros. 

A ação de Abdulaziz ocorre na sequência de ações semelhantes  , alegando que os governos do México e dos Emirados Árabes Unidos espionaram jornalistas e outros. A Anistia Internacional, que também recentemente acusou a Arábia Saudita de usar o Pegasus para espionar seus funcionários, disse  na semana passada  que estava considerando uma ação legal, a menos que o Ministério da Defesa de Israel revogue a licença do NSO Group para exportar o spyware.

"De uma perspectiva moderna e democrática, o avanço da tecnologia de armas cibernéticas deve estar sujeito a um uso ético e controlado", disse Rick Moy, CMO da Acalvio, ao Threatpost. "Os freios e contrapesos que esperamos em relação ao uso da força cinética também devem se traduzir no ciberespaço de hoje. Infelizmente, nem todos os governos e indivíduos têm a mesma opinião. Como os ataques cibernéticos cruzam fronteiras internacionais, agora estamos falando sobre a sociedade civil como um discurso internacional. Pesquisadores de malware estão legitimamente na vanguarda desse movimento. O Citizen Lab e outros grupos devem continuar a divulgar este tópico abertamente e responsabilizar entidades públicas e privadas pelo seu uso indevido". 


 

 

Fonte: Threat Post

Ver mais ...

Polícia Federal vai atrás de ciberquadrilha que roubou até 8 MilhõesPostado por Cristina

De acordo com a Polícia Federal, as operações criminosas investigadas podem ter desviado cerca de R$ 8 milhões. Em 05/12/2018





 


Polícia Federal vai atrás de ciberquadrilha que roubou até R$ 8 milhões

  

 

A Polícia Federal deflagrou a Operação BR 153 que visa combater fraudes bancárias eletrônicas no Brasil. Só hoje (04), cumpriu 12 mandados judiciais de busca e apreensão, além de quatro prisões temporárias no Pará, Tocantins, Goiás e Distrito Federal.

De acordo com a Polícia Federal, as operações criminosas investigadas podem ter desviado cerca de R$ 8 milhões. Os alvos da PF seriam de uma quadrilha cibercriminosa especializada em realizar fraudes via internet banking provavelmente, ataques de phishing ou infecções que causavam overlay sobre apps e sites. Segundo a polícia, essa quadrilha atuava desde 2012.

As vítimas eram de várias instituições financeiras, como Caixa Econômica Federal, Bradesco e Itaú. Uma explicação mais genérica, segundo o G1, diz que os criminosos se faziam passar pela instituição financeira, "criando páginas idênticas as dos bancos para obter os dados pessoais e senhas bancárias das vítimas por meio de programas de captura de dados".

Além das prisões e mandados de busca e apreensão, a PF também realizou o sequestro de veículos de luxo de um suspeito em Goiás. "A Justiça Federal também decretou a indisponibilidade de bens e valores dos investigados", nota o G1. Até o momento, a PF já catalogou mais de R$ 800 mil em prejuízos, que pode chegar até R$ 8 milhões, como citado anteriormente.



Fonte 

Ver mais ...

ESTRATÉGIA DE REPLICAÇÃO SÍNCRONA VS. ASSÍNCRONAPostado por Cristina

O mundo dos negócios modernos está se expandindo a cada segundo, o que significa que há quantidades cada vez maiores de dados vulneráveis que precisam ser protegidos.Em 27/11/2018








 ESTRATÉGIA DE REPLICAÇÃO SÍNCRONA VS. ASSÍNCRONA

 

O mundo dos negócios modernos está se expandindo a cada segundo, o que significa que há quantidades cada vez maiores de dados vulneráveis que precisam ser protegidos.

No caso de um desastre, todas as empresas devem ter um conjunto de estratégias de recuperação para proteger e restaurar os processos de missão crítica o mais rápido possível.

Portanto, surge a necessidade de replicação remota, o que implica o envio de dados críticos para os negócios para um armazenamento confiável e recuperação rápida. 

  

O que é replicação remota?

A replicação remota é uma parte essencial da proteção e recuperação de dados.

Anteriormente, a replicação era usada principalmente para copiar e armazenar dados de aplicativos em locais externos.

No entanto, com o tempo, essa tecnologia se expandiu significativamente.

Atualmente, a replicação permite criar uma cópia sincronizada de uma VM em um host de destino remoto.

A cópia da VM é chamada de réplica e funciona exatamente como uma VM comum disponível em um host de origem.

As réplicas de VM podem ser transferidas e executadas em qualquer hardware com capacidade.

Eles podem ser ligados em questão de segundos, caso a VM original falhe.

Essa tecnologia pode reduzir significativamente o tempo de inatividade, além de mitigar possíveis riscos e perdas de negócios associados a desastres.

Antes de executar um trabalho de replicação, os seguintes fatores devem ser considerados:

 

Distância

- Quanto maior a distância entre os sites, mais latência será experimentada.

Largura de banda

- A velocidade da Internet e a conectividade de rede devem ser suficientes para garantir uma conexão avançada para transferência de dados rápida e segura.

Taxa de dados

- A taxa de dados deve ser menor que a largura de banda disponível para não sobrecarregar a rede.

Tecnologia de replicação

- Os trabalhos de replicação devem ser executados em paralelo (simultaneamente) para uso eficiente da rede.

Esses fatores ajudam a definir qual tipo de replicação é preferível ao lidar com um tipo específico de desastre.

 

Estratégias de Replicação

Dois tipos principais de replicação de dados podem ser distinguidos: síncrono e assíncrono.

Replicação Síncrona

Aqui, os dados são replicados para um local remoto secundário ao mesmo tempo em que novos dados são criados ou atualizados no datacenter principal.

Isso torna a replicação quase instantânea, que permite manter suas réplicas de dados apenas alguns minutos mais antigas que o material de origem.

Essencialmente, as fontes de host e de destino permanecem completamente sincronizadas, o que é crucial para o êxito da recuperação de desastres (DR).

Devido ao fato de que os dados são atomicamente atualizados em vários locais remotos, o desempenho e a disponibilidade da rede são afetados.

As operações atômicas são definidas como uma sequência de operações que devem ser concluídas sem interrupção antes que outra tarefa possa ser executada.

No contexto da replicação síncrona, isso significa que a gravação é considerada concluída somente quando os armazenamentos locais e remotos reconhecem sua conclusão.

Assim, a perda de dados zero é garantida, mas o desempenho geral é desacelerado.

 

Replicação assíncrona

Nesse caso, a replicação não é executada ao mesmo tempo em que as alterações são feitas no armazenamento primário.

Os dados são replicados apenas em períodos de tempo predeterminados (isso pode ser por hora, diariamente ou semanalmente).

A réplica pode ser armazenada em um local de DR remoto, pois a réplica não precisa ser sincronizada com o local principal em tempo real.

Com a replicação assíncrona, os dados não são atualizados atomicamente em vários locais, o que significa que o aplicativo prossegue com a gravação de dados que ainda não foram totalmente replicados.

Assim, uma gravação é considerada concluída assim que o armazenamento local a reconhecer.

Com a replicação assíncrona, o desempenho e a disponibilidade da rede são aprimorados sem afetar a largura de banda.

Isso se deve ao fato de que as réplicas não são atualizadas em tempo real.

A desvantagem é que, em um cenário de desastre, o site de DR pode não conter as alterações feitas mais recentemente, portanto, alguns dados críticos podem ser perdidos.

 


Qual é melhor: replicação síncrona ou assíncrona?

Não há uma resposta clara para essa pergunta, sua escolha depende inteiramente de suas prioridades de negócios.

A replicação assíncrona funciona melhor com projetos que se estendem por longas distâncias e recebem um orçamento mínimo.

Também é adequado para empresas que podem ter perda de dados parcial.

Por outro lado, a replicação síncrona é executada quando um armazenamento confiável e de longo prazo é necessário e a empresa não pode perder dados críticos.

É útil quando RTOs e RPOs são curtos.

No entanto, existe um meio termo: você pode usar estratégias de replicação síncrona e assíncrona, em diferentes níveis de infraestrutura.

Por exemplo, a replicação síncrona pode ser usada para transferir e proteger dados em uma rede local (LAN), enquanto a replicação assíncrona envia dados críticos para um site de DR remoto.

 

Replicação no NAKIVO Backup & Replication

Modo de replicação

A replicação no NAKIVO Backup & Replication é sempre incremental.

A primeira replicação copia a VM completa, mas as tarefas de replicação a seguir salvam apenas as alterações nos dados da réplica (incrementos).

Além disso, após cada trabalho de replicação, é criado um ponto de recuperação que referencia todos os blocos de dados necessários para a recuperação da VM.

Esse modo de replicação garante uma carga de rede reduzida e economiza o tempo que seria gasto em tarefas de replicação completa.

 

Plataformas compatíveis

O NAKIVO Backup & Replication oferece implementação rápida em várias plataformas de hardware e software:

* VMware VA: O VMware Virtual Appliance pré-configurado pode ser facilmente baixado e depois importado para o VMware vSphere.

* NAS: Ao instalar o NAKIVO Backup & Replication diretamente em um dispositivo NAS, você pode criar seu próprio dispositivo de backup de VM.

* AWS AMI: O NAKIVO Backup & Replication pode ser implantado na nuvem da Amazon como uma Amazon Machine Image (AMI) pré-configurada.

* O NAKIVO Backup & Replication pode ser instalado em uma máquina física ou virtual que executa o Linux com um único comando.

* O NAKIVO Backup & Replication pode ser instalado em uma máquina física ou virtual executando o Windows com um único clique.

 

Recursos de replicação

Instantâneos

Um instantâneo captura o estado de um sistema em um determinado ponto no tempo.

Com o NAKIVO Backup & Replication, as réplicas de VM são criadas por meio de snapshots de VM, que são usadas para recuperar dados atuais da VM.

Toda vez que uma tarefa de replicação é executada, uma captura instantânea temporária da VM é obtida, os dados alterados são identificados e todas as atualizações são adicionadas à réplica.

Depois que o trabalho for concluído, o instantâneo será excluído.

 

Acompanhamento de bloco alterado

O NAKIVO Backup & Replication conta com o VMware CBT (Rastreamento de Bloco Alterado) e o Hyper-V RCT (Rastreamento de Mudança Resiliente) para identificar e copiar as alterações feitas em uma VM desde a última replicação.

Essa tecnologia melhora significativamente a velocidade dos trabalhos de replicação.

Se o CBT e o RCT não estiverem disponíveis, o NAKIVO Backup & Replication usa um método de rastreamento de alterações proprietário incorporado.

 

Suporte ao aplicativo ao vivo

O NAKIVO Backup & Replication é uma solução com reconhecimento de aplicativos.

As VMs são usadas para executar todos os tipos de aplicativos essenciais aos negócios, incluindo Microsoft Exchange, Active Directory, SQL, SharePoint etc. Para esses programas com entradas e saídas freqüentes, é essencial garantir que os dados do aplicativo sejam sempre consistentes, especialmente quando o trabalho de replicação é executado.

Assim, quando um instantâneo é criado, os aplicativos dentro da VM armazenam todas as transações na memória para não interromper nenhuma operação em execução.

 

Proteção de contêiner

O NAKIVO Backup & Replication facilita a proteção de VMs críticas, permitindo que você as organize em containers, como pools de recursos, pastas ou clusters.

Um contêiner inteiro pode ser adicionado a um trabalho de replicação específico.

Você pode facilmente adicionar ou remover elementos do contêiner, cujas alterações são refletidas automaticamente nos trabalhos de replicação relevantes.

Você também pode excluir determinadas VMs em um contêiner de um trabalho de replicação. Nesse caso, o contêiner inteiro fica protegido, exceto pelas VMs excluídas.

 

Verificação de tela

Esse recurso permite que você verifique automaticamente se a replicação da VM foi concluída com êxito.

Assim que um trabalho de replicação é concluído, a rede na réplica é desativada e essa réplica é momentaneamente ativada para fazer uma captura de tela.

A réplica é então desligada e revertida para o ponto de recuperação mais recente.

O usuário recebe um relatório de email com uma captura de tela do sistema operacional testado.

 

Agrupamento de trabalho

O NAKIVO Backup & Replication permite organizar tarefas de replicação em grupos (pastas) para organizar aplicativos, serviços e locais em estruturas lógicas.

Além disso, ações em massa podem ser facilmente executadas para todos ou trabalhos selecionados para um grupo.

 

Relatórios automáticos

Se você quiser ficar atento ao status de seus trabalhos de replicação, o NAKIVO Backup & Replication poderá notificá-lo enviando relatórios automáticos por e-mail, no horário ou sob demanda.

 

Agendamento de trabalho

O NAKIVO Backup & Replication permite configurar tarefas de replicação para serem executadas sob demanda ou no horário (diariamente, semanalmente, mensalmente e anualmente).

Você pode até configurar trabalhos para serem executados em uma programação personalizada que atenda às suas necessidades comerciais específicas, por exemplo, a cada 20 minutos, a cada 5 dias ou na primeira terça-feira de cada mês.

Você também pode especificar as janelas de tempo em que um trabalho deve iniciar e terminar.

 

Replicação de VM de preparação (propagação)

A replicação inicial (completa) de VMs maiores pode levar muito tempo devido ao seu tamanho.

Para acelerar o processo, o NAKIVO Backup & Replication pode executar a replicação de VMs em estágios.

Esse recurso permite transferir primeiro ("semear") as réplicas da VM inicial para mídia removível.

Em seguida, essas réplicas podem ser transportadas para o novo site, onde uma nova tarefa de replicação é executada usando as VMs transferidas.

Em seguida, apenas a replicação incremental é executada.

 

Pontos de Recuperação

Um ponto de recuperação representa uma VM em um determinado ponto no tempo, que é usado para recuperação da VM.

Com o NAKIVO Backup & Replication, você pode armazenar até 30 pontos de recuperação por réplica de VM.

O produto permite que você armazene pontos de recuperação de acordo com as políticas de retenção do Avô-Pai-Filho (GFS), conforme descrito abaixo.

Esse método garante que os pontos de recuperação da réplica da VM sejam salvos no local de DR com frequências designadas (por exemplo, diariamente, semanalmente, mensalmente e anualmente).


    * Mantenha um ponto de recuperação por semana durante X semanas: O último ponto de recuperação de cada semana é armazenado pelo número de semanas especificado. 

* Mantenha um ponto de recuperação por mês durante X meses:

O último ponto de recuperação de cada mês é armazenado pelo número de meses especificado.

      * Mantenha um ponto de recuperação por ano durante X anos:

O último ponto de recuperação de cada ano é armazenado pelo número especificado de anos.

      * RTO e RPO

Um objetivo de ponto de recuperação (RPO) é o limite para o primeiro ponto no tempo ao qual sua VM deve ser revertida durante o DR.

Assim, define a quantidade de dados que podem ser perdidos sem causar danos irracionais ao seu negócio. 

A replicação pode ajudá-lo a atender aos RPOs mais curtos, pois os trabalhos de replicação podem ser executados conforme desejado com os agendamentos personalizados que você definir para eles.

A replicação de VM também pode ajudá-lo a atender a objetivos curtos de tempo de recuperação (RTOs).

O RTO é o período de tempo estipulado no qual suas operações de negócios devem ser recuperadas após um desastre.

Com a replicação, a VM pode ser instantaneamente restaurada simplesmente ligando a réplica.

 

Casos de Uso 

A replicação de VMs pode proteger seus serviços críticos de negócios de vários problemas, incluindo aqueles causados por perda / perda de VM crítica, falha de armazenamento de host / dados ou desastres naturais.

A replicação de VM é geralmente usada quando os projetos operam com dados confidenciais e / ou podem tolerar a perda zero de dados.

A replicação é apropriada para esses casos, porque a recuperação da VM pode ser executada facilmente e quase instantaneamente se ocorrer um desastre.

A funcionalidade de replicação é usada nos seguintes casos:

 

Recuperação de desastres com réplica

Usando o NAKIVO Backup & Replication, os efeitos negativos da falha do sistema, como tempo de inatividade e perda de receita, podem ser amplamente mitigados.

Com a replicação de VM, você pode recuperar quase instantaneamente uma VM inteira usando sua réplica, garantindo assim a alta disponibilidade de seus serviços comerciais.

 

Failover e Failback

Quando um desastre é eliminado do banco de dados principal, sua empresa pode ser gravemente afetada, a menos que você tenha um plano de DR eficiente.

É aqui que o failover é útil.

Failover é o processo de alternar de uma VM de origem para uma réplica de VM para mover cargas de trabalho críticas de negócios de um site afetado para um site de DR. 

 

Depois de conseguir restaurar seu site primário, você pode alternar as operações de negócios de volta para a VM original.

Esse processo é chamado de failback e permite sincronizar dados entre o site primário e o site de DR.

 

Recuperação do Site

Com o NAKIVO Backup & Replication, você pode criar fluxos de trabalho de recuperação de sites (jobs), que são algoritmos personalizados facilmente montados para automação e orquestração do processo de DR.

A implementação manual de um plano de recuperação de desastres pode ser uma tarefa que consome tempo e consome muitos recursos.

Felizmente, o NAKIVO Backup & Replication permite organizar ações em tarefas de recuperação de sites que podem ser executadas em apenas alguns cliques.

Você pode criar trabalhos de recuperação de site especiais para lidar com qualquer tipo de evento de DR.

As seguintes ações e condições podem ser incluídas nos fluxos de trabalho de recuperação do seu site:

 

*  VMs de failover.

Failover para uma réplica de VM já criada.

* VMs de failback.

Transferir cargas de trabalho de uma réplica de VM em um site de DR para uma VM de origem em um site de produção.

* Inicie as VMs.

Inicie uma ou várias VMs.

* Pare as VMs.

Pare uma ou várias VMs.

* Executar trabalhos.

Execute tarefas de proteção de dados (backup, replicação, etc.) que você já criou para VMs.

* Pare os trabalhos.

Pare os trabalhos de proteção de dados da VM em execução.

* Execute o script.

Execute seu próprio script pré ou pós-job em uma máquina Windows ou Linux.

* Anexar repositório.

Anexe um repositório de backup.

* Desanexe o repositório.

Desanexe um repositório de backup anexado.

* Mande emails.

Receba notificações por email detalhando os resultados após uma ação específica ser concluída.

* Esperar.

Aguarde um período de tempo definido antes de iniciar a próxima ação.

* Verifique a condição.

Verifique se existe um recurso, se um recurso está sendo executado ou se um IP / nome do host está acessível antes de prosseguir para a próxima ação.

 

Conclusão

Qualquer empresa pode ser vítima de um desastre inesperado ou falha do sistema que pode comprometer a integridade dos dados críticos para os negócios.

Isso faz com que um plano eficaz de DR seja absolutamente essencial no mundo dos negócios modernos, onde alta disponibilidade e continuidade de negócios são primordiais. 

A replicação pode se tornar uma ferramenta inestimável para o DR.

As estratégias de replicação síncrona e assíncrona devem ser implementadas de forma inteligente, dependendo das prioridades e necessidades do seu negócio.

A replicação assíncrona é uma estratégia econômica que requer menos largura de banda e nenhum hardware adicional.

Pode ser usado para armazenar dados menos sensíveis e transferir dados por longas distâncias.

Embora a replicação síncrona seja altamente dependente da conexão de rede e da latência, ela garante a perda zero de dados e permite a restauração instantânea de operações de missão crítica.

O NAKIVO Backup & Replication é uma solução rápida e flexível que pode replicar suas VMs para um ou mais locais remotos para armazenamento confiável.

Com a solução em vigor, você pode simplesmente ligar suas réplicas quando ocorrer um desastre, evitando assim qualquer perda de receita e desligamento de longo prazo.

O NAKIVO Backup & Replication oferece um conjunto completo de recursos de replicação e estratégias de recuperação de desastres. 

 

Para conhecer mais das soluções da Nakivo contate-nos!

Fonte: Nakivo   

Ver mais ...

Kaspersky detecta nova falha desconhecida no WindowsPostado por Cristina

Trata-se de uma vulnerabilidade de 0-day de elevação de privilégio no driver win32k.sys. Ao explorar essa falha, os cibercriminosos podem garantir os acessos necessários para persistirem no sistema de uma vítima.Em 26/11/2018






Kaspersky detecta nova falha desconhecida no Windows

   

Há um mês, escrevemos sobre termos encontrado um exploit no Microsoft Windows. Pode parecer familiar, mas nossas tecnologias proativas detectaram outro exploit de 0-day que mais uma vez, se aproveita de uma vulnerabilidade previamente desconhecida no sistema operacional. Dessa vez, apenas o Windows 7 e o Server 2008 estão em risco.

  

  

No entanto, essa limitação não torna a ameaça menos perigosa. Embora a Microsoft tenha suspendido o suporte geral para o Server 2008 em janeiro de 2015 e oferecido uma atualização gratuita no lançamento do Windows 10, nem todas as pessoas fizeram a instalação. Os desenvolvedores ainda estão oferecendo atualizações de segurança e suporte para ambos os sistemas (e devem continuar até o dia 14 de janeiro de 2020) porque ainda possuem clientes suficientes.

Quando detectamos o exploit, em outubro passado, nossos especialistas imediatamente reportaram a vulnerabilidade à Microsoft, junto com uma prova de conceito. Os desenvolvedores corrigiram prontamente o problema em 13 de novembro.

O que você deve saber sobre esta vulnerabilidade e este exploit?

Trata-se de uma vulnerabilidade de 0-day de elevação de privilégio no driver win32k.sys. Ao explorar essa falha, os cibercriminosos podem garantir os acessos necessários para persistirem no sistema de uma vítima.

 

O exploit foi utilizado em diversos ataques de APT, principalmente na região do Oriente Médio, e focava apenas nas versões de 32-bits do Windows 7. Você pode encontrar dados técnicos neste post do Securelist. Os assinantes dos nossos relatórios de inteligência de ameaças também podem obter mais informações sobre o ataque pelo endereço de e-mail intelreports@kaspersky.com.

Como se proteger?

Nada de novo por aqui ? mas atenção aos nossos conselhos de sempre para vulnerabilidades:

·         Instale o patch da Microsoft imediatamente.

·         Atualize regularmente todos os softwares que a sua empresa utiliza para as versões mais recentes.

·         Pare de utilizar softwares desatualizados antes que seu suporte seja suspenso.

·         Utilize produtos de segurança com capacidades de avaliação de vulnerabilidades e gerenciamento de correções para automatizar processos de atualização.

·         Utilize uma solução de segurança robusta equipada com funcionalidade de detecção com base em comportamentos para uma proteção efetiva contra ameaças desconhecidas incluindo exploits 0-day.

Note que, mais uma vez, o crédito pela detecção dessa ameaça previamente desconhecida vai para nossas tecnologias proativas: mais propriamente para o mecanismo antimalware e de sandbox avançado da Kaspersky Anti Targeted Attack Platform (uma solução criada especificamente para proteção contra ameaças APT) e a tecnologia de prevenção automática de exploits que formam um subsistema integral do Kaspersky Endpoint Security for Business.



Fonte: Kaspersky

Ver mais ...

Instagram acidentalmente revela senhas em texto puro em URLsPostado por Cristina

Infelizmente, o Instagram transformou a tarefa de baixar seus dados em um exercício de expor as senhas das pessoas em texto simples. Em 22/11/2018

 

       

 

Instagram acidentalmente revela senhas em texto puro em URLs  

 

Em abril, com o prazo do GDPR e sua exigência de portabilidade de dados se aproximando, o Instagram lançou o tão aguardado download de sua ferramenta de dados . O recurso deu aos usuários a capacidade de baixar imagens, postagens e comentários.

Infelizmente, o Instagram transformou a tarefa de baixar seus dados em um exercício de expor as senhas das pessoas em texto simples. Felizmente, o bug na ferramenta "baixar seus dados" afetou apenas um punhado de usuários.

Como a The Information informou na semana passada, o Instagram disse aos usuários afetados na noite de quinta-feira que se eles tivessem usado o recurso "download your data", suas senhas podem ter aparecido em texto puro no URL de seus navegadores.

Parece que o problema ocorreu quando os usuários pressionaram "enter" depois de digitar sua senha, em vez de clicar no botão "enviar".

Isso pode não ser um grande problema para um usuário em casa em um computador não compartilhado, mas como o Facebook, que é dono do Instagram, disse no aviso aos usuários, significa que qualquer pessoa que usou a ferramenta em um computador público - digamos, em uma biblioteca - tinha sua senha exposta no URL: um presente infeliz para qualquer surfista de ombros que estivesse por perto, ou qualquer pessoa com acesso ao histórico do navegador.

O HTTPS teria garantido que as URLs fossem criptografadas em trânsito e invisíveis para qualquer pessoa que bisbilhotasse, mas a maior preocupação é o que aconteceu quando o pedido de "download dos seus dados" chegou ao seu destino, o Instagram.

As senhas são segredos bem guardados e os URLs não são, e as empresas lidam com eles de maneira muito diferente. As senhas normalmente são transformadas em hashes salgados antes de serem armazenadas, de modo que ninguém - nem mesmo os administradores - possa vê-los, enquanto URLs são rotineiramente registrados em bancos de dados ou arquivos de log precisamente para que os administradores possam vê-los.

É um pouco como tratar  algo que deveria ser marcado como "Top Secret" como meramente "restrito".

A informação citou um porta-voz do Instagram que disse que o problema era 

"Descoberto internamente e afetou um número muito pequeno de pessoas."

O Facebook não disse se a conta do Instagram de alguém estava comprometida por causa do erro, e a Naked Security descobriu que o Instagram está de fato no processo de deletar qualquer senha que possa ter sido registrada acidentalmente por seus sistemas.

Nós já vimos problemas maiores e recentes

Problemas maiores, de fato. Não sabemos o que a definição de "pequena" do Facebook / Instagram é quando se trata dessa violação, mas sabemos que as práticas de segurança levaram a uma grande violação no Facebook em setembro, com o que acabaria sendo cerca de 30 milhões. contas afetadas e outros 40 milhões de redefinir como um "passo de precaução".

Os invasores exploraram uma vulnerabilidade no recurso "Exibir como" do Facebook para roubar tokens de acesso, que são as chaves que permitem que você permaneça conectado ao Facebook para que você não precise redigitar sua senha toda vez que usar o aplicativo. Pelo menos nos primeiros dias após o ataque, o Facebook disse que parecia que o buraco foi aberto quando os desenvolvedores fizeram uma mudança no recurso de upload de vídeo em julho de 2017. Os invasores então roubaram um token de acesso para uma conta e usaram essa conta. conta para girar para os outros e roubar mais fichas.

  

Atualização 2018-11-21

Desde a publicação do artigo Naked Security aprendeu novas informações sobre o incidente. Atualizamos a história para refletir o fato de que as senhas podem ter sido gravadas e armazenadas em arquivos de log de texto simples, em vez de serem armazenadas em texto simples, como é óbvio.

    

     

Fonte: Naked Security Sophos

Ver mais ...

Ataques de ransomware direcionados - SophosLabs Relatório de Ameaças de 2019Postado por Cristina

Os cibercriminosos voltaram às táticas de hackers manuais da velha escola para aumentar a eficiência da extorsão direcionada, de acordo com a pesquisa realizada para o Relatório de Ameaças SophosLabs de 2019Em 16/11/2018




Ataques de ransomware direcionados - SophosLabs Relatório de Ameaças de 2019

  

Os cibercriminosos voltaram às táticas de hackers manuais da velha escola para aumentar a eficiência da extorsão direcionada, de acordo com a pesquisa realizada para o  Relatório de Ameaças SophosLabs de 2019 .

Ataques de ransomware não são novidade, mas exemplos bem conhecidos como CryptoLocker ou WannaCry tendem a ser oportunistas e indiscriminados. Para penetrar em seus alvos, eles confiam na automação simples, como anexos enviados por boobytrap enviados para um grande número de possíveis vítimas por e-mail.

No entanto, a inovação mais atraente vista pela Sophos em 2018 se parece mais com o oposto da automação - o controle manual.

Implantar um ataque manualmente leva tempo e não se adapta bem, mas é difícil de detectar - porque não segue necessariamente um padrão previsível - e é difícil de ser interrompido - porque um invasor pode se adaptar à medida que avança.

O SophosLabs resume as vantagens da abordagem prática:

Com ataques direcionados, o comportamento é inerentemente imprevisível, e os atacantes podem reagir de forma reativa a medidas de defesa que, a princípio, os impedem de atingir seu objetivo.

O estudo de caso perfeito do sucesso deste modus operandi é o ransomware SamSam, cuja evolução a Sophos acompanha desde 2015.

No início deste ano, pesquisadores da Sophos descobriram que um grupo ou indivíduo usou o SamSam para extorquir com sucesso US $ 6 milhões (£ 4,6 milhões) das vítimas nos dois anos e meio até junho de 2018.

Depois de operar em menor escala no primeiro ano, em dezembro de 2016, o grupo ou indivíduo parece ter percebido que seu pacote de ransomware eficiente, segmentação e ataque manual tinha pernas.

   

Segmentação cuidadosa

 

O SamSam é bem-sucedido em relação ao ransomware mais amplamente implantado devido ao tamanho dos resgates que os invasores pedem, o que supera as demandas mais oportunistas do ransomware estabelecido.

SamSam extorque até US $ 50.000 por ataque, algumas ordens de magnitude mais caro do que o randomware GandCrab muito mais comum, que exige apenas um resgate de US $ 400.

Mensagem: a soma é extraordinária porque o nível de comprometimento é demais, e isso se deve à natureza manual do ataque.

Muito provavelmente, a vítima foi escolhida porque usa o RDP (Remote Desktop Protocol) do Windows, tornando-a acessível pela Internet, e violada pela força bruta de uma senha fraca.

Depois de abrir a porta, os invasores executam uma ferramenta como a Mimikatz projetada para capturar as credenciais dos controladores de domínio quando os administradores fazem login.

Os invasores podem usar ferramentas de administração do sistema para mapear a rede da vítima, desabilitar o software de segurança mal protegido e distribuir o malware de criptografia SamSam para quantos sistemas de destino puderem alcançar. De maneira inteligente, quando o ransomware é finalmente executado, acontece à noite, quando poucos seguranças estão por perto para reagir à onda de criptografia que se move rapidamente.

O tratamento pessoal de SamSam também se estende até a decodificação: cada vítima recebe seu próprio site escuro, onde os autores do SamSam oferecem uma forma perversa de suporte técnico.


O SamSam não é o único ransomware usado dessa maneira direcionada. Os ataques do malicioso malware BitPaymer foram acompanhados por demandas de resgate de até US $ 500.000, enquanto o Dharma parece ser usado por vários grupos direcionados a pequenas empresas.

Seu sucesso contínuo de ransomware direcionado e o recente surgimento de copycats como Ryuk sugerem que a tendência de ataques direcionados deve continuar até 2019.

A Naked Security já produziu muitos conselhos sobre como se defender contra o SamSam e sua laia, sendo que o primeiro e mais importante trabalho é bloquear o Windows RDP.

SamSam é o diabo esperando para tomar as precauções mais simples, tão simples pode manter as equipes de segurança de rede mais perto da frente da perseguição.

Você pode ler mais sobre ransomware direcionado e como o SamSam difere de ataques semelhantes, como BitPaymer, Ryuk e Dharma, juntamente com muito mais insights da equipe dentro do SophosLabs no Relatório de Ameaças do  SophosLabs 2019.


Para conhecer mais das soluções da Sophos, contate-nos e saiba onde podemos lhe ajudar!

 


Fonte: Sophos

Ver mais ...

Sophos XG Firewall: como configurar alta disponibilidadePostado por Cristina

A alta disponibilidade (HA) é uma tecnologia de cluster usada para manter o serviço ininterrupto em caso de falha de energia, hardware ou software.Em 12/11/2018



Sophos XG Firewall: Configuração de alta disponibilidade   

 

A alta disponibilidade (HA) é uma tecnologia de cluster usada para manter o serviço ininterrupto em caso de falha de energia, hardware ou software. Os dispositivos Sophos Firewall podem ser configurados nos modos Active-Active ou Active-Passive HA. Os Dispositivos (o Dispositivo Primário e Auxiliar) estão fisicamente conectados por uma porta de link HA dedicada.    

No modo Ativo-ativo, o dispositivo principal e o dispositivo auxiliar processam o tráfego, enquanto a unidade principal é responsável pelo balanceamento do tráfego. O balanceamento de carga é decidido pelo dispositivo principal. O dispositivo auxiliar só pode assumir se a unidade principal sofrer uma falha de energia / hardware / software. Já no modo Ativo-Passivo, somente o Dispositivo Primário processa o tráfego enquanto o Dispositivo Auxiliar permanece no modo de espera, pronto para assumir o controle se o Dispositivo Primário tiver uma falha de energia / hardware / software.

Alguns itens que você vai precisar: 

  Ambos os dispositivos no cluster de HA (isto é, Dispositivo Primário e Dispositivo Auxiliar) devem ter o mesmo modelo e revisão.

 Ambos os dispositivos devem ser registrados.

 Ambos os dispositivos devem ter o mesmo número de interfaces.

 No Modo Ativo-Passivo: Uma licença é necessária para o dispositivo principal. Nenhuma licença é necessária para o Dispositivo Auxiliar.

  Os endereços IP da porta de link de alta disponibilidade dos dois pares devem pertencer à mesma sub-rede. Os pares usam esse link para comunicar informações de cluster e sincronizar entre si.

  O acesso ao dispositivo por SSH na zona da DMZ deve estar ativado para ambos os dispositivos; consulte o passo 1 abaixo.

Exemplo de projeto de HA no Sophos Firewall

 

Portas de link de HA dedicadas conectadas diretamente por um cabo cruzado ou direto. 


Esse tipo de implementação, agrega em muito no quesito continuidade de negócios de uma empresa, não depender unicamente de um appliance de firewall gera para a empresa a tranquilidade que se em caso de falha de hardware ou software de uma dos equipamentos, terá certeza que um outro equipamento exatamente igual com as mesmas configurações entrará em execução instantaneamente, fazendo com que os processos e trabalhos corporativos não sejam interrompidos. 

Ver mais ...

BUG DE ATIVAÇÃO FAZ WINDOWS 10 PRO REGREDIR PARA A VERSÃO HOMEPostado por Cristina

Bug de ativação faz Windows 10 Pro regredir para a versão Home!Em 12/11/2018




BUG DE ATIVAÇÃO FAZ WINDOWS 10 PRO REGREDIR PARA A VERSÃO HOME



  

Mais um problema está trazendo dor de cabeça para usuários do Windows 10: um bug de ativação faz com que versões Pro do sistema operacional sofram um downgrade para a edição Home. O erro - de código 0xC004C003- foi relatado por diversos usuários, alguns por meio do fórum Reddit, afirmando que após anos de uso da versão Pro, o Windows 10 resolveu do nada regredir para a Home.

Algo aparentemente em comum entre os usuários que sofreram com o problema é que todos teriam atualizado seus sistemas operacionais do Windows 7 ou 8 para o 10. Quando isso era feito, as versões Pro dos SOs antigos automaticamente se tornavam o Windows 10 Pro. Pessoas em diversos países relataram o mesmo problema e um dos usuários afetados recebeu a seguinte mensagem da empresa: 

"A Microsoft acaba de lançar um anúncio de assunto emergente sobre o problema atual de ativação relacionado à edição Pro. Isso acontece no Japão, Coréia, Estados Unidos e muitos outros países. Lamento informar que há um problema temporário no servidor de ativação da Microsoft no momento e que alguns clientes podem ter esse problema em que o Windows é exibido como não ativado. Nossos engenheiros estão trabalhando incansavelmente para resolver esse problema e espera-se que seja corrigido dentro de um a dois dias úteis".

Novembro já chegou a atualização de outubro do Windows 10 ainda não foi lançada pela Microsoft. Cheia de problemas, a empresa fez um breve comunicado geral sobre esse problema segundo publicou a WCCFTech: "Estamos trabalhando para restaurar as ativações de produtos para o número limitado de clientes afetados do Windows 10 Pro'".



Fonte 

Ver mais ...

A construção de clouds híbridas na Equinix expande suas opções de conectividade. Postado por Cristina

O melhor local para integrar serviços de cloud pública no seu ambiente de TI são os data centers da Equinix.Em 09/11/2018








O melhor local para integrar serviços de cloud pública no seu ambiente de TI são os data centers da Equinix. Oferecemos flexibilidade, segurança e confiabilidade sem precedentes para nuvens híbridas. Oferecemos o maior número de locais para construir sua nuvem, bem como a maior quantidade de opções de serviços de cloud de qualquer empresa de data center. Principalmente, oferecemos às empresas o maior número de maneiras de se conectar diretamente com os provedores de cloud. Na Equinix, é possível estabelecer conexões diretas com diferentes nuvens, de vários locais simultaneamente.  


São muitos os motivos pelos quais você deve abrigar sua infraestrutura de cloud híbrida nos data centers da Equinix.  


  • A Equinix oferece a maior variedade de opções de provedores de cloud da indústria de data centers; muitos deles oferecem conexões diretas com sua infraestrutura em cloud por meio do Equinix Cloud Exchange?, Equinix Cross Connects ou serviços de Ethernet.
  • A Equinix é o único provedor de data center que oferece conexão direta com a AWS, Microsoft Azure e Oracle Cloud.
  • Fornecemos a plataforma de interconexão de nuvem mais avançada e amplamente estabelecida da indústria de data centers: o Equinix Cloud Exchange.
  • Nossos data centers oferecem conectividade confiável para transmissão de dados sensíveis à latência e/ou com alta largura de banda ? até 100Gbps de largura de banda e latência de submilissegundos.
  • A Equinix proporciona segurança da informação ao transmitir dados por conexões privadas em vez de redes públicas, reduzindo o risco dos fluxos de dados a serem interceptados, monitorados ou modificados.
  • Opções incomparáveis em serviços de telecom: mais de 1,800+ operadoras se conectam com nossas unidades International Business Exchange? (IBX®).
  • 200+ data centers em 5 continentes
  • Garantia de >99.9999% de disponibilidade


Conectividade rápida, segura e confiável


Nossos serviços de conexão direta criam ligações privadas entre a infraestrutura do seu data center na Equinix e centenas de clouds e operadoras. Essas ligações privadas fornecem conectividade rápida, segura e confiável para transmissão de dados sensíveis à latência e/ou com alta largura de banda. Como não atravessam a Internet, seus dados não estão sujeitos a tráfego congestionado, lag na transmissão e riscos de exposição de dados inerentes em redes públicas.  




Para conhecer um pouco mais sobre a capacidade técnica que a EQUINIX dispõe, assista o tour virtual pelo novo Data Center SP3 Tier 3 localizado em São Paulo. Com infraestrutura moderna, e a EQUINIX disponibiliza máxima segurança, desempenho e confiabilidade para que sua empresa atinja os mais altos resultados e cresca junto conosco!  



Para maiores informações sobre as soluções em que a EQUINIX pode lhe atender, entre em contato conosco!
 

Ver mais ...

Apple bloqueia sistemas que burlavam a criptografia do iPhonePostado por Cristina

Dispositivos foram adotados por agências do governo norte-americano para contornar as senhas do aparelhoEm 29/10/2018






Apple bloqueia sistemas que burlavam a criptografia do iPhone

  

 Aparentemente, a Apple conseguiu bloquear permanentemente a tecnologia de criptografia de uma empresa misteriosa, com sede em Atlanta, cujo dispositivo blackbox foi adotado por agências do governo para contornar as senhas do iPhone.

Grayshift é uma das duas empresas que afirma poder impedir a segurança de senhas do iPhone da Apple por meio de ataques de força bruta. A tecnologia supostamente funcionou, já que foi adquirida pela polícia regional e ganhou contratos com o Immigration and Customs Enforcement (ICE) e o Serviço Secreto dos EUA.

Outro fornecedor, a Cellebrite, de Israel, também descobriu uma maneira de desbloquear iPhones criptografados rodando o iOS 11, passando a comercializar seu produto para as empresas forenses policiais e privadas em todo o mundo. De acordo com uma autorização da polícia obtida pela Forbes, o Departamento de Segurança Interna dos EUA testou a tecnologia.

Várias fontes familiarizadas com a GrayKey disseram à Forbes que o dispositivo não pode mais quebrar as senhas de qualquer iPhone que esteja executando o iOS 12 ou superior (lançado pela Apple no mês passado).

O dispositivo de criptografia da GrayKey aparentemente poderia desbloquear um iPhone em cerca de duas horas se o proprietário usasse uma senha de quatro dígitos ou em três dias ou mais se uma senha de seis dígitos fosse usada.

A concorrente Celiebrite também vendeu seu Universal Forensic Extraction Device (UFED) para agências de segurança pública, incluindo um contrato de US$ 558.000 assinado com o ICE em agosto, de acordo com um pedido da Freedom of Information Act (EPIC).

A ferramenta de Israel pode desbloquear, descriptografar e extrair dados do telefone, incluindo "dados móveis em tempo real, registros de chamadas, contatos, calendário, SMS, MMS, arquivos de mídia, dados de aplicativos, bate-papos, senhas", de acordo com a solicitação.

Além disso, pode extrair informações privadas sem uma senha de contas privadas baseadas em nuvem, como aquelas usadas pelo Facebook, Gmail, iCloud, Dropbox e WhatsApp.

Em fevereiro, surgiram relatos de que a Cellebrite havia descoberto uma maneira de desbloquear iPhones criptografados executando o iOS 11 e estava comercializando o produto para as empresas forenses da lei e privadas em todo o mundo. De acordo com uma autorização da polícia obtida pela Forbes, o Departamento de Segurança Interna dos EUA estava testando a tecnologia. Não ficou claro se as alterações no iOS 12 afetam a tecnologia Cellebrite.

Se os dispositivos não funcionassem, a polícia não os compraria!

Nate Cardozo, um advogado sênior da Electronic Frontier Foundation (EFF), disse no início do ano que acredita que os relatórios de criptografia do iPhone foram violados. Caso contrário, as agências de aplicação da lei não estariam comprando a tecnologia de hackers.

"O FBI reclamou e disse que não poderia entrar no iPhone, e então descobrimos que não é verdade", disse Cardozo. Ele estava se referindo à investigação do atirador de San Bernardino, Syed Rizwan Farook. O FBI inicialmente afirmou que não conseguiu decifrar a senha em um iPhone usado pelo criminoso.

O Departamento de Justiça solicitou aos tribunais que forçassem a Apple a cumprir uma ordem para desbloquear o dispositivo; um juiz concedeu o pedido, mas adiou a decisão final até ouvir argumentos de ambos os lados. Na noite anterior a uma audiência para decidir o assunto, a agência anunciou que havia recebido ajuda de um grupo externo.

As tentativas do FBI para que a Apple descriptografasse o iPhone foram rejeitadas. A empresa afirmou que, para entrar em um iPhone, isso enfraqueceria a segurança de todos os outros.

A notícia de que dois métodos de descriptografia do iPhone estavam amplamente disponíveis para agências governamentais não surpreendeu os analistas, que disseram que isso era inevitável.

"Não existe criptografia inquebrável. A ideia é torná-la o mais difícil possível, adicionando camadas de criptografia ou chaves longas para codificar, decodificar. Mas um decodificador determinado pode decifrá-lo, com ferramentas suficientes e tempo suficiente?, afirma Jack Gold, principal analista da J. Gold Associates.

A caixa GrayKey é vendida por US$ 15.000. Esse modelo é geofenced para um local específico, exigindo uma conexão com a Internet que permite até 300 desbloqueios. Há também um modelo de US$ 30.000 que pode ser usado independentemente da conectividade com a Internet e oferece um número ilimitado de desbloqueios de dispositivos, de acordo com a Motherboard. 



Fonte: http://bit.ly/2PsF7iR

Ver mais ...

Mudança no horário de verão, você está prevenido?Postado por Cristina

Aplicações como, bancos de dados, servidores de e-mail, servidores WEB e tantas outras cada vez mais presentes nas empresas podem causar inconsistências a partir da meia noite deste sábado (20).Em 18/10/2018




Mudança no horário de verão, você está prevenido?

 

    

   O horário de verão é um período de grandes problemas para profissionais de T.I., essa mudança geram um impacto gigantesco, e ainda foi agravado pelo decreto federal publicado no final de 2017 alterando o inicio do horário de verão para dia 04 de novembro, não sendo mais 21 de outubro como todos se preparavam. Com isso as equipes obrigaram-se a modificar seus sistemas afim de evitar que aplicações como, bancos de dados, servidores de e-mail, servidores WEB e tantas outras que cada vez mais estão presentes nas empresas tenham inconsistências na operação a partir da meia noite deste sábado (20), podendo ocasionar em alguns casos, paradas de emissão de NF-e e CT-e que são tarefas básicas de muitas empresas. 

Para sistemas Microsoft foi disponibilizada um update que corrige essas modificações, no entanto ela foi disponibilizada como opcional, com isso grande parte de servidores e estações vão estar com o horário incorreto a partir do dia 21 de outubro, gerando assim transtornos para empresas. O mesmo ocorre para sistemas Linux, este também deve ser feita a verificação e correção desse problema, isso evitará contratempos com principais servidores alocados dentro das organizações.

Pensando nisso a Supry X iniciou uma campanha de notificação e correções aos nossos clientes e parceiros, caso você não tenha se prevenido, sugerimos que comece a se preocupar e caso queira evitar paradas, podemos lhe ajudar a resolver um problema onde todos estevam desprevenidos!  

 

Consulte-nos!

Ver mais ...

Mantendo os dados seguros na revolução digitalPostado por Cristina

Muitas inovações recentes em tecnologia foram fomentadas pelo aumento da conectividade entre aqueles que impulsionam a revolução digital.Em 11/10/2018





  

     

Mantendo os dados seguros na revolução digital 

  

Muitas inovações recentes em tecnologia foram fomentadas pelo aumento da conectividade entre aqueles que impulsionam a revolução digital. Décadas atrás, a programação era uma atividade isolada, envolvendo apenas um programador e um mainframe. Atualmente, os desenvolvedores aproveitam milhares de ferramentas e recursos para aprimoramento de produtividade e colaboram em tempo real com colegas do mundo inteiro para fornecer e oferecer suporte a aplicativos e soluções de software que melhoram as vidas individuais e o desempenho corporativo.

A nuvem tornou a implementação e o gerenciamento dessas soluções operacional e economicamente eficientes. Cada vez mais, as organizações estão migrando para a nuvem. A maioria acha que precisa trabalhar com vários provedores de nuvem para suportar suas necessidades de software, armazenamento de dados e cobertura geográfica. À medida que essas organizações crescem, se tornam geograficamente distribuídas e dependem de serviços de TI distribuídos, a necessidade de largura de banda de interconexão aumenta. A interconexão entre empresas, provedores de serviços em nuvem e serviços de rede é agora um requisito para o sucesso.

Para otimizar a comunicação entre esses recursos amplamente distribuídos, as empresas estão utilizando as trocas de dados privadas. A necessidade de interconexão que mais cresce entre as empresas é a conectividade de nuvem privada, com uma taxa de crescimento anual composta de 160% em 2020 . Essas trocas distribuídas privadas fornecem acesso a várias nuvens, permitindo que as empresas executem cadeias de valor de negócios digitais complexas e dimensionem de maneira econômica os recursos de TI e os serviços de aplicativos.

A adoção de ambientes multicloud e uma economia digital em rápido crescimento criam demanda por maior latência reduzida de largura de banda e maior segurança cibernética. O Índice de Interconexão Global, Volume 2 , publicado pela Equinix, explora esses desafios e explica como as empresas globais podem efetivamente atendê-los.

Dispositivos, dados e defesa  

A revolução digital também foi impulsionada por uma proliferação de dispositivos e pela infinidade de aplicativos móveis que se conectam à nuvem. A capacidade de processamento desses dispositivos, combinada à conectividade quase onipresente e à capacidade desses dispositivos de criar e capturar facilmente um espectro cada vez maior de dados de usuários e transações, interrompeu modelos de negócios estabelecidos e expandiu drasticamente as oportunidades de negócios corporativos. A maioria das empresas globais armazena seus dados com uma variedade de provedores de serviços em nuvem distribuídos geograficamente. As lojas de dados têm valor inestimável para a empresa - valor que está intimamente ligado à capacidade da empresa de manter os dados seguros. No entanto, a proteção de dados em vários ambientes e regiões de nuvem tornou-se cada vez mais complexa pelos seguintes motivos:

  1. A ameaça de violações de dados de agentes locais e remotos está em constante crescimento.
  2. Os regulamentos de segurança e soberania de dados variam de país para país e estão em constante evolução.
  3. Vários provedores de serviços de nuvem têm diferentes métodos de gerenciamento de chave de criptografia.

Vamos explorar as implicações para cada um deles em maior detalhe:

Ameaça constante de violação de dados 

Se sua empresa ficou ilesa até o momento por um ataque cibernético, você pode creditar isso a uma estratégia de segurança cibernética forte e proativa, ou - talvez - à simples boa sorte. No entanto, os ataques são ininterruptos. Examine o Centro Nacional de Segurança Cibernética do Reino Unido para obter um relatório semanal sobre os principais ataques globais para obter algumas informações importantes sobre a variedade de métodos de ataque - malware, ransomware, botnets, recursos mal configurados, phishing, explorações de dia zero - e seu impacto.

É claro que uma abordagem bem-sucedida para manter os dados seguros envolve defesa em muitos níveis. Para combater ataques contra dados trocados por empresas digitais entre dispositivos e locais inseguros, são necessários dados de segurança localizados em tempo real e gerenciamento automatizado de controle de segurança - em uma extensão que as redes de longa distância com latência são geralmente incapazes de fornecer. É aqui que as interconexões de troca de dados privados protegem contra violações: A interconexão assegura uma transferência de dados mais rápida, privada e de baixa latência para proteger melhor os ativos digitais críticos.

Regulamentos em evolução e variáveis

As oportunidades de negócios proporcionadas às empresas como resultado da expansão global são acompanhadas não apenas pelos desafios de manter os dados protegidos, mas também pelos desafios de estar em conformidade com um conjunto variado e em constante evolução de regulamentações geo-específicas. Essas regulamentações são uma resposta à incapacidade de muitas empresas de proteger dados pessoais, conforme evidenciado por relatórios semanais de violações de dados.

Muitas regulamentações incluem requisitos de soberania de dados, nos quais as informações em formato digital estão sujeitas às leis do país em que são criadas e armazenadas. Vários países também incluem diretrizes regulatórias destinadas a melhorar a segurança nacional. Essas diretrizes trazem um nível adicional de complexidade em relação à propriedade de dados e direitos de acesso. Para empresas que operam globalmente, monitorar, interpretar e implementar adequadamente as medidas de segurança de dados e processamento apresenta um nível adicional de complexidade.

Iniciativas como o recém implantado GDPR obrigam as empresas a manter os dados seguros. O fornecimento de um conjunto padrão de regulamentações de segurança de dados entre os 28 atuais membros da UE torna mais fácil para as empresas que operam nesses países. No entanto, isso ainda deixa a necessidade de as empresas se adequarem a dezenas de outras leis e regulamentações específicas do país.

A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA) orienta como as empresas coletam, usam e divulgam informações pessoais. O PIPEDA também se aplica a informações pessoais de funcionários de empresas regulamentadas pelo governo federal, incluindo companhias aéreas, bancos e fornecedores de telecomunicações. As leis de denúncia de violação de dados da Austrália, conhecidas como o esquema de NF (Notifiable Data Breaches) , foram promulgadas em 22 de fevereiro de 2018. O NDB exige a notificação de indivíduos cujas informações pessoais estavam envolvidas em uma violação de dados. A notificação também deve fornecer orientações sobre as etapas que os indivíduos devem tomar em relação à violação. No centro de cada uma dessas regulamentações está a proteção de informações pessoais ou confidenciais. É aqui que a criptografia de dados desempenha um papel fundamental.

Gerenciamento de chave de criptografia

A criptografia de dados há muito tempo é a primeira e melhor defesa contra violações de dados. No caso em que as proteções de segurança cibernética que você possui foram burladas e seu repositório de dados em nuvem foi violado, os dados criptografados nele permanecem sem criptografia. Sem acesso às chaves de criptografia, que são idealmente armazenadas separadamente dos dados criptografados, os dados permanecem inúteis. O gerenciamento de chaves de criptografia, portanto, é essencial para manter os dados seguros.

As chaves de criptografia podem ser gerenciadas com segurança usando módulos de segurança de hardware (HSMs) ou serviços de gerenciamento de chaves (KMS) disponíveis em provedores de serviços em nuvem. No entanto, cada método funciona apenas no domínio do provedor de serviços de nuvem específico. Como as empresas globais normalmente empregam vários provedores de serviços de nuvem diferentes para gerenciar dados e um conjunto diversificado de aplicativos de software, o gerenciamento de chaves de criptografia, usando diferentes ferramentas de gerenciamento em vários provedores de nuvem, aumenta a complexidade das já intrincadas responsabilidades de segurança de dados.

Gerenciamento de chave de criptografia neutra em nuvem

Essa complexidade pode ser bastante reduzida com a adoção de um serviço de gerenciamento de chave de criptografia neutra na nuvem. Um método único e centralizado para gerenciar o ciclo de vida completo das chaves de criptografia fornece um ponto de controle de segurança para fornecer às empresas gerenciamento local sobre dados dispersos globalmente entre várias plataformas de nuvem. Fornecido como um serviço de nuvem, ele oferece quatro benefícios distintos para empresas que armazenam dados em ambientes de nuvem globalmente distribuídos:

  1. Um único método de gerenciamento de chave reduz a carga de trabalho na equipe de segurança de dados.
  2. Está disponível globalmente, com conectividade nativa para os principais provedores de serviços em nuvem.
  3. Ele é dimensionado com facilidade à medida que as necessidades de dados e processamento aumentam nas plataformas de nuvem.
  4. Ele mantém as chaves de criptografia separadas dos dados criptografados para fornecer um nível adicional de segurança de dados.

Cada um desses benefícios ajuda uma empresa a reduzir os custos de segurança de dados e manter os dados seguros em ambientes multicloud amplamente distribuídos.

Avanços contínuos na velocidade de processamento, armazenamento de dados e tecnologia de comunicação garantem que a revolução digital continuará. Os empreendedores identificarão novas oportunidades de negócios, criarão novos aplicativos e coletarão volumes ainda maiores de dados de clientes e transações. Infelizmente, haverá esforços equivalentes de malfeitores para atacar dados. A criptografia, juntamente com uma única abordagem centralizada para o gerenciamento de chave de criptografia para ambientes multicloud, permanecerá a melhor defesa na proteção de dados.

SmartKey para simplificar a complexidade do gerenciamento de chaves de criptografia

Se você quiser simplificar a complexidade do gerenciamento de chaves de criptografia em seus ambientes multicloud, hoje e no futuro, convidamos você a ler o relatório 451 sobre o gerenciamento de chaves como umserviço. Desenvolvido pela Fortanix e protegido com o Intel® SGX, o SmartKey é um serviço de nuvem altamente disponível, tolerante a falhas e escalonável horizontalmente. Ele fornece segurança centralizada e de nível HSM para gerenciamento de chave de criptografia para os principais provedores de serviços em nuvem, como AWS, Azure, Oracle, IBM e Google. O SmartKey ajudará você a manter os dados seguros na revolução digital.

Para conhecer mais do mundo de possibilidades que a Equinix proporciona à sua empresa contate-nos!

 

Fonte

Ver mais ...

Sophos é nomeada líder no Quadrante Mágico UTM da GartnerPostado por Cristina

A Sophos lidera continuamente a inovação na solução dos principais problemas atuais com proteção de rede.Em 10/10/2018






Sophos é nomeada líder no Quadrante Mágico UTM da Gartner

 

 

  

Temos o prazer de anunciar que, pelo sétimo ano consecutivo, a Gartner nomeou a Sophos como líder no Magic Quadrant for Unified Threat Management (Firewalls multifuncionais SMB) para 2018. Continuamos sendo um dos três únicos fornecedores no Quadrante de Líderes. Acreditamos firmemente é um testemunho da força do nosso produto e estratégia aos olhos dos clientes, parceiros e analistas do setor.

O Quadrante Mágico é baseado em uma avaliação da integridade de visão e capacidade de execução de uma empresa, que inclui o entendimento de um fornecedor das importantes necessidades e tendências do setor e sua capacidade de abordá-las de maneira eficaz.

A Sophos lidera continuamente a inovação na solução dos principais problemas atuais com proteção de rede. Fomos o primeiro fornecedor a integrar de maneira significativa a próxima geração de endpoints e tecnologias de firewall para sincronizar segurança - permitindo o monitoramento do status de integridade, a identificação instantânea de ameaças e o isolamento automático de sistemas infectados. A cada lançamento, continuamos a impulsionar ainda mais as possibilidades da Segurança Sincronizada - com nossos lançamentos mais recentes fornecendo avanços na visibilidade de aplicativos. O Synchronized Application Control, introduzido na versão 17, resolve de maneira elegante um enorme problema de toda a indústria com identificação e controle de aplicativos baseados em assinatura. Agora, com a introdução do Cloud Application Visibility no XG Firewall v17.1, agora temos a cobertura de aplicativos mais abrangente - para aplicativos baseados em desktop e navegador - disponível em qualquer lugar.

Como a única empresa de segurança de TI posicionada como Líder nas Plataformas Unified Threat Management e Endpoint Protection - acreditamos que estamos posicionados de maneira única para continuar liderando a próxima geração de Segurança Sincronizada.

A Sophos também continua avançando na detecção de ameaças de dia zero, trazendo a mais avançada tecnologia avançada de nosso endpoint de próxima geração para o firewall, como detecção de exploração, CryptoGuard e aprendizado profundo. Seja nosso sandbox, IPS, inspeção SSL ou proteção da Web, estamos investindo continuamente em tecnologias de proteção inovadoras para garantir que sua rede esteja protegida contra as ameaças mais recentes e os aplicativos potencialmente indesejados.

Embora tenhamos sido um líder de longa data em proteção de rede, estamos apenas começando. Temos um roteiro rico de inovações à frente que proporcionará um enorme valor e resolverá mais seus desafios diários com sua rede, distanciando-nos ainda mais do resto do campo. É um ótimo momento para ser um cliente ou parceiro da Sophos, mas nunca é tarde demais para participar da empolgação.

Descubra o que a Gartner escreveu sobre nós no relatório completo do Quadrante Mágico para Gerenciamento Unificado de Ameaças (é necessário registro).

 

 

Sobre o Gartner

O Gartner não endossa nenhum fornecedor, produto ou serviço descrito em suas publicações de pesquisa e não aconselha os usuários de tecnologia a selecionar apenas os fornecedores com as classificações mais altas ou outra designação. As publicações de pesquisa do Gartner consistem nas opiniões da organização de pesquisa do Gartner e não devem ser interpretadas como declarações de fato. O Gartner se isenta de todas as garantias, expressas ou implícitas, com relação a esta pesquisa, incluindo quaisquer garantias de comercialização ou adequação a uma finalidade específica.

Ver mais ...

O melhor ficou ainda melhor. Intercepte o X agora com o EDR.Postado por Cristina

Com o Intercept X Advanced com EDR, as equipes de TI e segurança agora podem navegar melhor pelos desafios das ameaças mais complexas de hoje.Em 09/10/2018




O melhor ficou ainda melhor. Intercepte o X agora com o EDR.


Estamos muito entusiasmados em anunciar o lançamento do Sophos Intercept X Advanced com EDR, uma nova oferta do Intercept X que integra a detecção e resposta de endpoint inteligente (EDR) com o malware mais bem classificado do setor e a proteção contra exploits.

Com o Intercept X Advanced com EDR, as equipes de TI e segurança agora podem navegar melhor pelos desafios das ameaças mais complexas de hoje, como:  

· Entendendo o escopo e o impacto dos incidentes de segurança

·  Detectando ataques que podem ter passado despercebidos

·  * Procurando por indicadores de comprometimento em toda a rede

·  Priorizando eventos para investigações adicionais

·  Analisando arquivos para determinar se eles são ameaças potencialmente indesejadas ou verdadeiras

· Relatar com confiança a postura de segurança da organização em qualquer momento

·  Respondendo a questões difíceis de conformidade no caso de uma violação

Considere a velha figura do discurso ?agulha no palheiro?: A maioria das soluções de EDR no mercado hoje tenta coletar o máximo de feno possível para garantir que as agulhas sejam eventualmente encontradas.

É um processo complicado, tedioso e manual. A abordagem da Sophos é diferente: graças à tecnologia de aprendizagem profunda líder do setor e à proteção frontal inequívoca e forte, nós diminuímos exponencialmente o palheiro para tornar as agulhas muito mais fáceis de encontrar.

As ferramentas de EDR (Detecção e Resposta de Endpoint) dão às equipes de segurança a capacidade de detectar, investigar e responder a atividades suspeitas. As melhores soluções de EDR começam com a proteção mais forte e nenhuma outra solução oferece proteção mais forte que o Intercept X.

Como a tecnologia Intercept X é tão eficaz em interromper violações antes de iniciar, a carga de trabalho do EDR é significativamente mais leve. Isso significa que as organizações de TI de todos os tamanhos podem otimizar os principais recursos, permitindo que eles se concentrem nos negócios de TI, em vez de perseguir falsos positivos e lidar com volumes de alertas avassaladores.

O EDR inteligente incorporado ao novo Intercept X Advanced com EDR replica as capacidades de analistas altamente qualificados, permitindo que as organizações adicionem conhecimento sem precisar adicionar headcount. O produto aproveita o aprendizado profundo, a inteligência de ameaças Sophos Labs e muito mais para imitar as funções de analista de malware, analista de segurança e analista de inteligência de ameaças, sem ter que pagar salários humanos para essas principais habilidades.

Mesmo para organizações maiores com um centro de operações de segurança (SOC), o Intercept X Advanced com EDR oferece um valioso primeiro nível de detecção, liberando os analistas humanos para se concentrarem no que é mais importante. A investigação orientada permite que as equipes de segurança de todos os níveis entendam rapidamente suas posturas de segurança graças à orientação sensível ao contexto, que oferece as próximas etapas sugeridas, representações claras de ataques visuais e experiência integrada. Quando uma investigação é concluída, os analistas podem responder com um clique de um botão.  

        

Ver mais ...

MELHOR VISIBILIDADE, PROTEÇÃO E RESPOSTA DO MUNDOPostado por Cristina

Inigualável segurança, simplicidade e percepção Em 08/10/2018





Inigualável segurança, simplicidade e percepção  


- Bloqueia ameaças desconhecidas com um conjunto abrangente de proteções avançadas, incluindo IPS, ATP, sandbox, antivírus de duplo mecanismo, controle de aplicativos e da Web, antiphishing, um firewall de aplicativos Web completo e muito mais. 

- Responde automaticamente aos incidentes ao identificar e isolar instantaneamente os sistemas infectados, até que possam ser limpos. 

- Expõe os riscos ocultos em sua rede, incluindo aplicativos desconhecidos, usuários de alto risco, ameaças avançadas, cargas úteis suspeitas e muito mais. 

Expõe riscos ocultos

O Sophos XG Firewall oferece uma visibilidade inédita de sua rede, usuários e aplicativos, diretamente da central de controle totalmente nova. Você também conta com uma emissão integrada de relatórios detalhados e a opção de adicionar o Sophos iView para a emissão de relatórios centralizada através de múltiplos firewalls.    


 

O widget Sophos Security Heartbeat indica o estado de integridade de todos os seus endpoints gerenciados pela Sophos Central. Se algum sistema estiver executando aplicativos indesejados ou infectados, eles serão exibidos aqui na cor amarela ou vermelha.  

Clicar no widget revela os detalhes completos do computador afetado, incluindo o usuário, nome de host, endereço de IP e até mesmo o processo responsável, permitindo que você execute rapidamente as medidas necessárias. É possível também usar o status do Security Heartbeat na suas políticas para limitar o acesso aos recursos de rede no caso de sistemas afetados.  

O Sophos XG Firewall é a única solução de segurança de rede capaz de identificar totalmente a origem de uma infecção na sua rede e automaticamente limitar, como resposta, o acesso a outros recursos dela. Isso é possível graças ao nosso exclusivo Sophos Security Heartbeat? que compartilha informações de telemetria e sobre o estado de integridade entre os Sophos Endpoints e o seu firewall.   


 


Conheça mais das soluçoes da Sophos, consulte-nos e tenha toda a proteção de uma das maiores desenvolvedoras de segurança cibernetica do mundo.  

Consulte-nos 







Ver mais ...

PEQUENAS EMPRESAS TAMBÉM SOFREM ATAQUES!Postado por Cristina

Cada vez mais pequenas e medias empresas sofrem com ataques cibernéticos, isso se deve ao fato de tais organizações não possuírem um profissional dedicado para essa função trabalhando em tempo integralEm 02/10/2018





PEQUENAS EMPRESAS TAMBÉM SOFREM ATAQUES!

 

 

Cada vez mais pequenas e medias empresas sofrem com ataques cibernéticos, isso se deve ao fato de tais organizações não possuírem um profissional dedicado para essa função trabalhando em tempo integral. Uma parcela deve-se também à pouca conscientização dos administradores quanto a necessidade de existir um planejamento e um projeto de prevenção, que realmente gere segurança tecnológica para a empresa.

Para entender o estado crítico da segurança cibernética, é bom analisar primeiro as estatísticas a seguir, extraídas de pesquisas realizadas com empresas do mundo todo em 2017. Os participantes foram inquiridos sobre a incidência em suas empresas de ataques direcionados - invasões capazes de romper as defesas da rede e danificar ou roubar ativos valiosos (ao contrário das inúmeras atividades nefastas de baixo nível que são mais aborrecimento que ameaça). Eles também relataram as violações - ataques que conseguem penetrar.



 

 

De acordo com um levantamento similar de 2018, a proporção de ataques direcionados que foram impedidos aumentou para 87%. Isso poderia parecer boa notícia, mas?


 

 

E quando você leva isso em conta?




Nota-se claramente que as empresas estão gastando mais e mais, para continuar marcando passo. Em média, elas estão detectando praticamente o mesmo número de violações. E os especialistas acreditam que esse número não deve diminuir substancialmente, porque os ataques continuarão aumentando. Além disso, há uma preocupação de que as violações poderão afetar alvos de impacto mais alto e com consequências de maior repercussão. Provavelmente os gastos também continuarão aumentando em virtude do uso massivo de medidas preventivas e os crescentes custos das violações.

 

O Mercado está mudando!

Essa situação cria um grande problema, empresas medianas já não podem mais se prevenir com soluções gratuitas de baixo desempenho, e também não possuem mão de obra técnica para administrar soluções corporativos. Indo ao encontro dessa necessidade cada vez mais o serviço de consultoria tecnológica vem deixando de ser exclusividade de grandes empresas e passando a ser um serviço quase que obrigatório para empresas que precisam proteger seus dados.

 

A maior necessidade das empresas!

Hoje as maiores necessidades são disponibilidade e continuidade de negócio, é vital que sua empresa esteja disponível o maior tempo possível durante todo o período de operação, entretanto é quase que inevitável, - sua empresa em algum momento, vai sofrer com alguma parada prevista ou imprevista!  com isso é imprescindível que você tenha um plano para recolocar suas operações no ar, considerando que cada hora parada, pode representar um prejuízo que em muitos casos pode se tornar incalculável. 

 

Consultoria, o melhor caminho!

 

A quase 20 anos, a Supry X informática atende diversos tamanhos de empresas, de pequenos escritórios a grandes organizações, isso só comprova a capacidade da empresa e a visão que nossos clientes possuem a cerca da necessidade de protegerem suas organizações, pois afinal de contas todos nós nos protegemos contra ataques, furtos e incêndios, contratamos seguros e segurança, chegou a hora de protegermos seu maior bem, SEUS DADOS!



     Dinamismo

   Equipe Multidisciplinar
 Amplo Know How em segurança tecnológica. 
  Leque diversificado de produtos e serviços tecnológicos.     


                                  


                                                        CONTATE-NOS!

 


Ver mais ...

O Intercept X defende contra o ataque à vulnerabilidade do Windows!Postado por Cristina

Mesmo usando uma versão mais antiga do Intercept - X, você será protegido se você abrir um documento malicioso com a exploração CVE-2018-8414 incorporada neleEm 10/09/2018






Na semana passada, a Microsoft lançou uma atualização que corrige, entre outras coisas, uma vulnerabilidade explorável que os criminosos estavam usando ativamente para tentar infectar computadores com malware. O exploit, que recebeu o codinome  CVE-2018-8414,  envolve a incorporação de XML especialmente criado em um documento do Office, que (quando aberto) invoca o Powershell para baixar e executar uma carga maliciosa hospedada remotamente.

Depois que o patch para a chamada vulnerabilidade SettingsContent-ms foi lançado, o diretor de engenharia Mark Loman produziu um pequeno vídeo mostrando como o exploit funciona, e como até mesmo uma instalação de dois anos da ferramenta anti-exploit Intercept X da Sophos impede explorar o funcionamento e protege uma máquina onde o usuário pode acidentalmente tentar abrir um documento mal-intencionado do Office.

Abaixo o vídeo em que um arquivo malicioso é executado em  um ambiente de teste da própria Sophos.   

Conheca mais das funcionalidades do Intercept X acessando nosso guia, ou se preferir, entre em contato conosco!      

Ver mais ...

Cuidado com sua conta no Instagram, saiba como elas são roubadas!Postado por Cristina

Além da segunda mídia social mais popular no mundo, o Instagram é fonte de renda para blogueiros, modelos e outras celebridades da internet.Em 04/09/2018





Além da segunda mídia social mais popular no mundo, o Instagram é fonte de renda para blogueiros, modelos e outras celebridades da internet. Contas com milhares de seguidores despertam atenção não apenas dos fãs, como também dos cibercriminosos. Se uma delas é roubada, as consequências são bem desagradáveis. Entretanto, como exatamente isso pode acontecer? O que podemos fazer para evitar ser vítimas desse golpe?

Método número 1: verificação falsa

Você provavelmente já notou uma marca azul ao lado de algumas contas do Instagram. Até muito recentemente, esses símbolos eram usados ??por contas pertencentes a celebridades, grandes empresas e blogueiros populares. O emblema é especialmente importante para contas com grandes públicos, porque acrescenta prestígio e distingue da contas  fake. Conseguir um selo não era tão fácil: não havia um formulário de inscrição ou uma "loja" - a rede social decidia.

No entanto, o Instagram mudou recentemente sua política de verificação e agora você pode solicitar a confirmação do aplicativo (para isso, vá para Configurações -> Solicitar verificação) e receba o selo se sua conta atender aos critérios.

Essa mudança foi implementada recentemente - em 28 de agosto de 2018 - e muitos usuários não sabem exatamente como obter o carimbo azul desejado. É claro que os golpistas exploram isso, criando sites que se mascaram como páginas do Centro de Ajuda do Instagram e solicitam detalhes de usuários, como nome de usuário, senha, endereço de e-mail, nome completo e data de nascimento - tudo pela promessa de um selo.

Ao fornecerem esses dados, o usuário desavisado é informado que terá de esperar 24 horas para o veredito, e é avisado para não alterar suas configurações de conta nesse período. As informações vão direto para o cibercriminosos, enquanto o usuário senta e espera, sem nem imaginar que a segurança de sua conta está comprometida.




O método também pode ser utilizado para obter informações pertencentes às vítimas, facilitando a passagem dos criminosos por processos de autenticação de dois fatores. Para isso, os criminosos usam uma mensagem dizendo ser possível que o serviço de suporte entre em contato com o dono da conta a fim de esclarecer detalhes. Quando o tal "serviço" entra em contato, pede o código SMS ou outra informação de segurança. Podem ainda enviar outra mensagem que requisita informação supostamente necessária para verificação, que utilizam ao lidar com a equipe de suporte real pelas costas do dono da conta (isso pode incluir, por exemplo, uma foto ou outros dados pedidos pelo serviço verdadeiro).

 

Método número 2: o bom e velho phishing

 

Os golpistas também continuam a utilizar técnicas comuns de phishing para atrair a vítima a uma página falsa de login ou redefinição de senha. Por exemplo, enviam uma mensagem dizendo que a conta foi hackeada e suas credenciais de login precisam ser atualizadas, ou simplesmente oferecer "avaliar uma foto" que supostamente requer as informações de acesso à mídia social.




Com mais de um bilhão de usuários ao redor do mundo, o Instagram não é um alvo novo. Uma vez que sua conta é hackeada, cibercriminosos obtêm acesso a suas informações pessoais e mensagens. E essa conta pode ser usada para espalhar spam, phishing e conteúdo malicioso. Frequentemente, ao hackear uma conta, os criminosos mudam a descrição, foto de perfil, e-mail e telefone associado. Isso torna quase impossível para o usuário real restaurar acesso a conta perdida.

 

Como se proteger do roubo de contas do Instagram

Como sempre, melhor prevenir que remediar - especialmente quando as medidas mitigatórias são escassas. Aplique essas regras simples e proteja-se:

 

Não clique em links suspeitos.

Sempre verifique a barra de endereço com o URL da página. Se no lugar de Instagram.com constar algo como 1stogram.com ou instagram.security-settings.com, saia já e sequer considere fornecer informações pessoais.

Apenas utilize aplicativos de mídias sociais advindos de lojas oficiais - Google Play e App Store.

Não use credenciais de login para autenticação em serviços ou aplicativos de terceiros.

Utilize uma solução de segurança que despacha mensagens suspeitas e bloqueia páginas de phishing. O Kaspersky Internet Security é capaz de lidar com essa tarefa para você.

Para conhecer mais dessas soluções acesse aqui nosso guia da Kaspersky, ou se preferir entre em contato  conosco.



Fonte: http://bit.ly/2NhnpgY

Ver mais ...

Implementação do Sophos XG 210 na Prefeitura Municipal de EstrelaPostado por Cristina

Na busca de obter sempre a melhor solução quando o assunto é segurança cibernética, a prefeitura de Estrela em parceria com a Supry X Informática, iniciou-se o processo de implementação do Sophos XG 210 como firewall de borda da instituição pública.Em 03/09/2018



Implementação do Sophos XG 210 na Prefeitura Municipal de Estrela 

                          


Visando sempre proporcionar as melhores soluções para nossos clientes e parceiros, a Supry X tornou-se parceira da Sophos em meados de 2016, com isso passamos a disponibilizar ferramentas que cada vez mais tornaram-se essenciais para pequenas, médias e grandes organizações.  

Com isso passamos a buscar incessantemente as melhores soluções quando o assunto é segurança cibernética, a prefeitura de Estrela-RS em parceria com a Supry X Informática, iniciou o processo de implementação do Sophos XG 210 como firewall de borda da instituição pública. 

Tudo isso veio ao encontro do pensamento da instituição que sempre visou a ampliação e melhoria do seu parque tecnológico, almejando sempre oferecer o máximo desempenho aos seus colaboradores e também a toda comunidade que usufrui das ferramentas e processos eletrônicos. 

Substituindo a antiga solução de software livre que administrava, gerenciava e protegia todas os serviços internos da instituição, o Sophos XG 210 foi  dimensionado para suprir a demanda de mais de 600 usuários autenticados diariamente, exigindo assim a máxima, robustez, desempenho e confiabilidade, tudo isso aliado a mais alta tecnologia da Sophos para proteção e combate das mais altas e perigosas ameaças tecnológicas.    

Essa migração total somente foi possível devido a performance que o XG 210 disponibiliza, com o Throughput do firewall de até 16 GBPS, até 2.3 GBPS no proxy e 2.7 GBPS pelo IPS, o Sophos XG oferece desempenho compatível com todas as demandas que foram propostas inicialmente, já também calculando o fator de crescimento da instituição. 
 
Para que você possa conhecer mais das soluções que a Sophos disponibiliza,  acesse aqui nosso guia demonstrativo da solução, e caso você tenha dúvidas ou questionamos por favor, entre em contato conosco! 

  

Ver mais ...

Ataques cibernéticos geram prejuízo de 16 Milhoes de dólaresPostado por Cristina

Cyberataques na economia global é um fato há muito tempo, esses países estão entre os mais abertos ao comércio internacional, onde realizar transferências para outros países não é nada difícil.Em 28/08/2018









Cyberataques na economia global é um fato há muito tempo, esses países estão entre os mais abertos ao comércio internacional, onde realizar transferências para outros países não é nada difícil, e as organizações criminosas cibernéticas dedicadas a explorar as fraquezas dos sistemas bancários sabem disso!

Seu modus operandi, onde distribuem o dinheiro extraído em diferentes contas chamadas ?mula? na África ou na Ásia Central, é algo que temos visto desde os ataques ao Banco de Bangladesh em 2016, mas agora vemos isso com muito mais freqüência na América Latina.

Isso é muito mais sofisticado que um vírus. Aqueles que realizam esse tipo de ataque conhecem as aplicações do banco, seus fornecedores, os usuários da rede, o software em que estão trabalhando, tudo. Então encontram o ponto fraco e começam a fazer todo o seu trabalho.

No final das contas, o que eles buscam explorar é o elo mais fraco da cadeia e aparece o usuário final, um funcionário que (muitas vezes) está entediado com suas funções e em sua distração se abre ou acessa lugares onde não deveria acessar.

  

Timeline

O ataque aos bancos peruanos ocorreu há quase três meses após o ataque ao banco do Chile, onde roubaram aproximadamente 10 milhões de dólares e também vazaram dados de cerca de 14 mil cartões de crédito

Na época, Eduardo Ebensperger (gerente geral do Banco de Chile) reconheceu que ?esses ataques exigem outro tipo de sofisticação, de conhecimento, e devemos evoluir de acordo. Embora tenhamos antivírus e uma série de controles e monitoramento, devemos intensificá-lo. Tomaremos todas as medidas necessárias para continuar investigando e protegendo nossos clientes como fizemos até agora. Esse é um novo método, que acreditávamos estar um pouco longe do Chile, mas agora está descendo para a América Latina ?.

Aqui eu faço um parêntese, temos um CEO de um banco que está falando de um AV tradicional não é suficiente ? então quais soluções devo pensar?

Algo semelhante aconteceu no México, onde contas falsas foram criadas e fundos transferidos de aproximadamente 16 milhões de dólares e não se sabe se o número pode continuar a subir. Entre os bancos mais afetados estão Banorte e Banabajio, onde cada um relatou uma perda de aproximadamente 8 milhões de dólares.

Um fato interessante é que, segundo o The Boston Consulting Group, as empresas chilenas gastaram US $ 195,7 milhões em segurança cibernética em 2017, o equivalente a 0,07% do PIB, enquanto a média mundial é de 0,12% do PIB.

?Foi detectado que o investimento em segurança está aumentando. Algo diferente é onde esse investimento é feito. Detectamos que muitas vezes se destina a ter mais tecnologias e não em aspectos de educação ou melhorar processos que, no final, são os violados?

 

Ataque 

Um vírus que consegue entrar na rede do banco e começa a desativar as máquinas., enquanto a equipe de segurança se concentra em isolar a ameaça para proteger dados e informações de clientes, dezenas de transferências são executadas automaticamente de contas bancárias para destinos fora do país. Algumas dessas transferências acionaram o alerta e foi nesse momento que, dentro da instituição, perceberam que o vírus nos computadores era uma distração e que o perigo real era o roubo de milhões de dólares.

A questão aqui é: era exatamente isso que queriam fazer isso no BCP, BBVA e Interbank no Peru? Só o tempo nos levará a conhecer um pouco mais em detalhes.

Como especialista em segurança da Sophos, acredito que para atingir esse objetivo, os hackers devem ter se infiltrado na rede do banco muito antes, a fim de conhecer os hábitos de navegação do usuário e, assim, fazer Engenharia Social para conseguir que alguém clique em um link ou faça o download um arquivo que permite que o programa malicioso se espalhe no sistema.

Esse grau de sofisticação é chamado de APT, ameaça persistente avançada. Esse tipo de ataque é realizado por criminosos cibernéticos muito bem preparados, que encontram o elo mais fraco da cadeia e permanecem em uma organização por um tempo sem serem detectados e, de dentro, realizam ataques mais complexos. Como foi o roubo de 81 milhões de dólares no Banco Central do Bangladesh em 2016.


O que podemos fazer?

Esse tipo de ataque sofisticado requer tecnologias inteligentes, mas ao mesmo tempo simples de administrar. Hoje, um antimalware baseado em assinaturas, heurísticas ou mesmo reputação não é suficiente.

Chegou a época de detecção de ameaças avançadas e ameaças ainda desconhecidas, na Sophos lançamos o InterceptX, uma solução que permite às empresas detectar técnicas de exploração, roubo de credenciais, código oculto, ataques de ransomware e malwares desconhecidos.

Nossa tecnologia e Deep Learning é líder no mercado por ter maior antiguidade e por sua eficácia no modelo matemático. Isso permitiu que nossos clientes estivessem sempre um passo à frente de qualquer tipo de ameaça.


Também temos um sistema de análise forense que fornece aos analistas do SOC ou de segurança cibernética a visibilidade de onde o ataque foi feito e, assim, bloqueia esses pontos de falha.

Há mais de 2 anos a Sophos tem uma visão de segurança diferente no mercado, onde conseguimos fazer com que nossa nova geração de Firewall converse com nossos Endpoints para isolar computadores infectados da rede, dando uma resposta automática a um incidente.

Essas tecnologias não são reconhecidas apenas por nossos canais e clientes que utilizam nossas soluções, mas também pelo SE Labs e Gartner, entre outros que nos consideram líderes na detecção e proteção de ameaças avançadas.

 

Pense nas soluções de EDR (Edpoint Detection and Response), vamos pensar em conscientizar nossos usuários sobre os possíveis riscos de segurança envolvidos na abertura de emails de estranhos.

Vamos adotar as soluções em nuvem, que nos permitem adaptar-se mais rapidamente às mudanças vertiginosas, nas quais as soluções locais não podem alcançar. 

  


Fonte:  http://bit.ly/2Pdgi6y

Ver mais ...

Brasileiros são maiores vítimas de golpes phishing no mundoPostado por Cristina

Em 2017, a Kaspersky bloqueou quase 37 milhões de ataques na América Latina.Em 15/08/2018



 


Brasileiros são maiores vítimas de golpes phishing no mundo 

  

   O Brasil ocupa a ingrata posição de líder mundial em ataques de phishing. De acordo com dados revelados durante a Semana de Cibersegurança da Kaspersky, quase 30% dos internautas no país sofreram ao menos uma tentativa de golpe ano passado -esse índice caiu para 23% em 2018, mas não tirou a posição brasileira.

Em 2017, a Kaspersky bloqueou quase 37 milhões de ataques na América Latina, diz Fabio Assolini, analista-sênior de malware da empresa -só nos primeiros 7 meses deste ano, já foram mais de 40 milhões. Assolini diz que quase 60% das tentativas de golpe simulam mensagens de instituições financeiras -o objetivo é roubar credenciais de acesso e dados dos usuários.

O cibercrime tem diversificado os vetores de phishing. Se antes eram em sua maioria emails, agora também chegam por SMS, propaganda em redes sociais, anúncios no Google e até via WhatsApp.

O phishing é relativamente simples e barato. O analista explica que basta cadastrar um domínio (cerca de U$1). O disparo de emails em massa e mesmo a obtenção de um certificado digital -para exibir o cadeado no site falso- também tem custo mínimo ou zero.

"O golpe é popular por sua simplicidade e eficácia", afirma. "Uma pesquisa revela que mais de 90% dos ciberataques começa por um email phishing", diz. De acordo com o mesmo estudo, as pessoas abrem mensagens de golpe por curiosidade (14%), medo (13%) e "urgência" (13%).

Só em um banco americano, por exemplo, emails phishing abriram os cofres para um golpe que superou U$ 2,4 milhões. Em média, ataques bem-sucedidos contra pequenas e médias empresas causaram prejuízos de até U$ 120 mil este ano, aumento 35% sobre 2017.

Distinguir um site falso de um legítimo muitas vezes é tarefa difícil até para um usuário avançado. Por isso, explica o analista da Kaspersky, a empresa tem adotado um sistema de "atire primeiro, pergunte depois" que tem se revelado muito eficaz na América Latina. Usando uma combinação de monitoramento de palavras-chave e análise de registro dos sites, os produtos da Kaspersky estão bloqueando ataques phishing mesmo antes de começarem. "Estamos sempre de olho em novas URLs associadas a instituições financeiras que não foram registradas por elas", explica.

De acordo com ele, nos últimos quatro anos essa metodologia bloqueou mais de 100 mil ataques somente no Brasil, com taxa de falso-positivo (sites legítimos bloqueados) de apenas 0,30%. "Com isso temos barrados golpes via email, SMS e outros", diz. 


Conheca mais da solucao de anti virus corporativo da kaspersky clicando aqui



Fonte: http://bit.ly/2vO4117

Ver mais ...

O ataque ransomware da Epic Linux fez com que os cibercriminosos ganha-sem US 1 milhao Postado por Cristina

Em 10 de junho, os criminosos cibernéticos fizeram história. Permitido pela variante do ransomware, o Erebus, eles conseguiram um pagamento de US $ 1 milhão, o maior pagamento de resgate já extorquido de uma empresa em qualquer lugar do mundo.Em 13/08/2018



 


     

O ataque ransomware da Epic Linux faz com que os cibercriminosos ganhem US $ 1 milhão 

 

Em 10 de junho, os criminosos cibernéticos fizeram história. Permitido pela variante do ransomware, o Erebus, eles conseguiram um pagamento de US $ 1 milhão, o maior pagamento de resgate já extorquido de uma empresa em qualquer lugar do mundo.

 

A infeliz vítima deste atordoante ataque?  Nayana, uma empresa sul-coreana de hospedagem.

 

O impacto astronômico deste ataque ransomware Erebus

O ransomware Erebus, detectado inicialmente nos sistemas da Microsoft em 2016, infectou com sucesso 153 servidores Linux e criptografou mais de 3.400 sites de clientes da Nayana.

Sob intensa pressão do cliente, a Nayana se comprometeu com o maior pagamento de ransomware na história dos ataques cibernéticos. Isso é muito claro. O que era incomum, até certo ponto, era o fato de que Nayana conseguiu negociar com sucesso um resgate menor. Embora os cibercriminosos originalmente exigissem 550 Bitcoins, ou aproximadamente US $ 1,6 milhão, Nayana conseguiu reduzir seu pagamento aos extorsionários em quase um terço.

Obviamente, submeter-se a pedidos de resgate é sempre um negócio arriscado.

Enquanto Nayana concordou em fazer três pagamentos, e os ciber-atacantes também concordaram em habilitar a Nayana a recuperar seus servidores Linux em três lotes correspondentes, os servidores do segundo lote estão sofrendo com erros no banco de dados.


Falhas de segurança abrem brecha para ataque 

Esses números astronômicos levantam a questão: como poderia a Nayana ter permitido que seu core business permanecesse tão vulnerável? 

Para ser franco: Esta foi uma falha épica por parte do provedor de serviços. Qualquer novato em TI esperaria que um grande provedor de hospedagem como este fosse endurecido. Nayana não estava.

E suas vulnerabilidades estavam praticamente implorando para serem exploradas:

Nayana estava operando no kernel Linux 2.6.24.2, compilado em 2008

O site da Nayana rodou o Apache v.1.3.36 e o PHP v.5.1.4, ambos lançados em 2006

Nós simplesmente não podemos ressaltar a importância de instalar imediatamente atualizações de software e patches de segurança.

Igualmente importante, pedimos a todos os provedores de serviços que avaliem com cuidado suas próprias vulnerabilidades. Este dia de pagamento extraordinário significa que você é um alvo ainda maior agora, então conte com os atacantes de ransomware para tentar, tente novamente.


Deixe de lado sua falsa sensação de segurança: o Linux está sob ameaça

Enquanto os atacantes de ransomware claramente favorecem o Windows devido a sua maior participação no mercado, esse ataque maciço ao Linux prova que o sistema operacional não é invulnerável. Os desenvolvedores Linux estão se tornando cada vez mais sofisticados, e isso significa que você deve estar atento quando se trata de proteger seus dados. Além disso, tenha cuidado com os fornecedores que afirmam que você está mais exposto se estiver executando no Windows. Isso claramente não é mais o caso.


Proteja seu ambiente Linux da infecção por ransomware

Se você estiver operando em sistemas baseados em Linux, você deve considerar a ameaça do ransomware ao desenvolver sua estratégia de proteção de dados.

Isso começa com as práticas recomendadas de segurança de dados, incluindo:

Investir em treinamento de ransomware completo e regular para sua equipe de TI e usuários finais.

Implementando segurança de extremidade robusta e em camadas, incluindo antivírus e detecção de ameaças.

Regularmente fazendo backup de seus sistemas críticos para um destino off-line.

Nunca enviando por e-mail de qualquer máquina que hospede seu servidor de backup.

Manter o software atualizado e instalar imediatamente os patches de segurança do sistema operacional.

Quando se trata de implantar uma solução eficaz de backup e recuperação, também é fundamental garantir que ela ofereça recursos robustos e facilidade de uso que tornem a execução da sua estratégia de proteção contra ransomware simples e eficaz.

O Arcserve UDP faz exatamente isso com uma poderosa gama de recursos, incluindo:

VM instantânea para recuperação mais rápida de dados

Recuperação em nível de arquivo / pasta de VMs do Linux com backup por meio de backups baseados em host e sem agente nos hosts do vSphere e do Hyper-V

Desduplicação global de dados

Replicação otimizada para WAN

Backups Incrementais Infinitos

Arquivar em fita 

Restauração bare metal de sistemas de interface de firmware extensíveis unificados

Capacidade de fazer backup e recuperar de repositórios de deduplicação do servidor do ponto de recuperação

Lembre-se: no final do dia, nenhuma educação de usuário final ou segurança de endpoint protegerá totalmente sua empresa. Ransomware encontra um caminho. E é por isso que investir em backup e recuperação é essencial para a continuidade de seus negócios.

Para conhecer mais as soluções da Arcserve acesse nosso guia aqui.

Fonte: http://bit.ly/2P3Y73W

Ver mais ...

Ataque de Criptojacking em Massa ataca mais de 200.000 Routers MikroTikPostado por Cristina

Pesquisadores de segurança descobriram uma campanha maciça de cryptojacking que tem como alvo os roteadores MikroTik e mudam sua configuração para injetar uma cópia do script de mineração de criptomoedas no navegador Coinhive em algumas partes do tráfego Em 02/08/2018









Campanha de Criptojacking de Coinive em Massa Toca em Mais de 200.000 Routers MikroTik 



              

Pesquisadores de segurança descobriram uma campanha maciça de cryptojacking que tem como alvo os roteadores MikroTik e mudam sua configuração para injetar uma cópia do script de mineração de criptomoedas no navegador Coinhive em algumas partes do tráfego da web dos usuários.

A campanha parece ter saído do papel esta semana e foi, em seus primeiros estágios, principalmente ativa no Brasil, mas depois começou a direcionar os roteadores da MikroTik para todo o mundo.

O primeiro a identificar os ataques foi um pesquisador brasileiro que leva o nome MalwareHunterBR no Twitter, mas à medida que a campanha se tornou mais e mais impactando mais e mais roteadores, também chamou a atenção de Simon Kenin, pesquisador de segurança da Spiderwabs da Trustwave. divisão.

Em um relatório que a Trustwave compartilhou com a Bleeping Computer, Kenin diz que os hackers por trás dessa campanha parecem ter comprometido cerca de 72.000 roteadores MikroTik no Brasil durante os primeiros estágios de seu ataque.

Kenin diz que o atacante usa um dia zero no componente Winbox dos roteadores MikroTik que foi descoberto em abril . O MikroTik corrigiu o dia zero em menos de um dia, em abril, mas isso não significa necessariamente que os proprietários de roteadores aplicaram o patch necessário.

Em vez disso, o antigo dia zero foi dissecado por pesquisadores de segurança, e o código público de prova de conceito (PoC) apareceu em vários lugares no GitHub.

De acordo com Kenin, o atacante usou um desses PoCs para alterar o tráfego passando pelo roteador MikroTik e injetar uma cópia da biblioteca Coinhive dentro de todas as páginas servidas pelo roteador.

Sabemos que é apenas um agente de ameaça explorando essa falha porque o invasor usou apenas uma chave Coinhive para todas as injeções de Coinhive que ele executou durante a semana passada.

Além disso, Kenin diz que ele também identificou alguns casos em que usuários não-MikroTik também foram impactados. Ele diz que isso estava acontecendo porque alguns ISPs brasileiros estavam usando os roteadores MikroTik para sua rede principal e, portanto, o invasor conseguiu injetar o código Coinhive malicioso em uma grande quantidade de tráfego na web.

Além disso, Kenin diz que, devido à forma como o ataque foi realizado, a injeção funcionou nos dois sentidos, e não necessariamente apenas para o tráfego que vai para o usuário. Por exemplo, se um site fosse hospedado em uma rede local atrás de um roteador MikroTik afetado, o tráfego para esse site também seria injetado com a biblioteca Coinhive.

Mas injetar Coinhive em muito tráfego é muito barulhento e tende a incomodar os usuários, o que poderia levar usuários e ISPs a investigar a origem do problema, como aconteceu com esse usuário no Reddit .

O atacante também parece ter entendido esse problema, e Kenin diz que em ataques recentes, o hacker trocou de tática e apenas injetou o script Coinhive em páginas de erro retornadas pelos roteadores.

Mas encolher sua superfície de ataque não parece ser um downgrade para o atacante. O pesquisador da Trustwave diz que nos últimos dias ele viu o ataque se espalhar para fora do Brasil, e agora mais do que dobrou os números iniciais, tendo alterado as configurações e adicionado a injeção Coinhive em mais de 170.000 roteadores MikroTik .

"Deixe-me enfatizar o quão ruim é esse ataque", diz Kenin. "Existem centenas de milhares desses dispositivos em todo o mundo, usados ??por ISPs e diferentes organizações e empresas, cada dispositivo atende pelo menos dezenas, se não centenas de usuários diariamente."

"O invasor sabiamente pensou que, em vez de infectar sites pequenos com poucos visitantes, ou encontrar formas sofisticadas de executar malware em computadores de usuários finais, eles iriam direto para a fonte; dispositivos roteadores de nível de operadora", acrescentou.

"Mesmo que esse ataque funcione somente em páginas que retornam erros, ainda estamos falando sobre potencialmente milhões de páginas diárias para o invasor."

 

O ataque tem espaço para crescer

 

Uma consulta no mecanismo de pesquisa Shodan IoT revela que há mais de 1,7 milhão de roteadores MikroTik disponíveis on-line.

A Bleeping Computer entrou em contato com a equipe da Coinhive e perguntou se eles removeram a chave do site, e quanto Monero o invasor explorou em seu esquema.

ATUALIZAÇÃO: Logo após a publicação deste artigo, o pesquisador de segurança Troy Mursch disse à Bleeping Computer que descobriu uma segunda chave Coinhive sendo injetada no tráfego dos roteadores MikroTik. Esta campanha atingiu mais de 25.000 roteadores, elevando o total para mais de 200.000, já que a primeira chave Coinhive agora era usada em mais de 175.000 dispositivos. Não está claro se esta segunda campanha está sendo orquestrada por outro hacker, ou pelo mesmo autor de ameaça que mudou para uma nova chave depois que a Trustwave expôs sua primeira operação. 




Fonte: http://bit.ly/2O2B1JR

Ver mais ...

Mineração de criptomoedas dentro da sua empresa? Pode ser mais provável do que imagina!Postado por Cristina

Para evitar ser infectado pelo Rakhni e que sua empresa sofra os danos, seja muito cauteloso com mensagens recebidas, especialmente aquelas que vêm de endereços de e-mail desconhecidos.Em 30/07/2018






  

Trojan Rakhni: o criptor minerador

 Recentemente falamos sobre como ransomwares estão perdendo espaço para os mineradores no topo dos rankings das ciberameaças. Em sintonia com essa tendência, o Trojan ransomware Rakhni, que observamos desde 2013, adicionou um módulo de mineração de criptomoedas ao seu arsenal. O interessante é que o loader do malware é capaz de escolher qual componente instalar dependendo do dispositivo. Nossos pesquisadores descobriram como a nova versão funciona e onde mora o perigo.

Nossas soluções flagraram o Rakhni na Rússia, Cazaquistão, Ucrânia, Alemanha e Índia. O malware é distribuído principalmente por meio de correspondências de spam com anexos maliciosos. A amostra estudada por nossos especialistas, por exemplo, foi disfarçada como um documento financeiro. Isso sugere que os cibercriminosos envolvidos estão principalmente interessados em "clientes" corporativos.

Um anexo DOCX em um e-mail de spam possui um documento PDF. Se o usuário permite a edição e tenta abrir o PDF, o sistema solicita permissão para rodar um arquivo executável de um fornecedor desconhecido. Com a permissão do usuário, o Rakhni entra em ação.

 

Como um ladrão na noite

Quando inicializado, o arquivo PDF malicioso que parece ser um visualizador de documentos. Primeiro, o malware mostra uma mensagem de erro para a vítima explicando por qual razão nada abriu. Depois, desabilita o Windows Defender e instala certificados digitais forjados. Apenas quando a barra parece estar limpa decide o destino do dispositivo infectado "criptografar arquivos e pedir resgate ou instalar um minerador".

Por fim, o programa malicioso tenta se espalhar para outros computadores dentro da rede local. Se funcionários de empresas tiverem compartilhado o acesso ao diretório de usuário com os seus dispositivos, o malware copia a si mesmo nesses aparelhos.

Minerar ou criptografar?

 O critério de seleção é simples: se o malware encontra uma pasta de serviço chamada Bitcoin no computador da vítima, opta pelo ransomware que encripta arquivos (incluindo documentos Office, PDFs, imagens e backups) e exige um pagamento de resgate dentro de três dias. Os cibercriminosos prometem atenciosamente enviar os detalhes do resgate por e-mail, incluindo seu valor.

Se não existirem pastas relacionadas a Bitcoin no dispositivo, e o malware assume que há energia suficiente para minerar criptomoedas, baixa um minerador que, clandestinamente, gera tokens de Monero, Monero Original ou Dashcoin em segundo plano.

Não seja uma vítima

Para evitar ser infectado pelo Rakhni e que sua empresa sofra os danos, seja muito cauteloso com mensagens recebidas, especialmente aquelas que vêm de endereços de e-mail desconhecidos. Se tiver qualquer dúvida sobre abrir um documento, não o faça. Além disso, preste muita atenção aos avisos do sistema operacional: não execute programas de fornecedores desconhecidos, principalmente se os nomes forem parecidos com os de programas populares.

Na luta contra mineradores e cryptors em redes corporativas, siga essas dicas e mantenha-se protegido:

* Treine a sua equipe de segurança de TI e teste regularmente seus conhecimentos. Se precisar de ajuda com isso, nossos especialistas podem dar um jeito.

* Faça backups de dados sensíveis em um dispositivo de armazenamento independente.

* Utilize soluções de segurança confiáveis dotadas de análise comportamental o "Kaspersky Endpoint Security" for Business, por exemplo.

Procure por anomalias em sua rede corporativa regularmente.

* Mesmo sem utilizar as soluções corporativas da Kaspersky Lab, não há motivos para deixar os dados de seu negócio vulneráveis a criminosos. Temos uma solução dedicada o "Kaspersky Anti-Ransomware Tool" que pode complementar os produtos de segurança da maioria dos demais fornecedores. A ferramenta aplica as últimas tecnologias de detecção comportamental e nossos mecanismos de nuvem para caçar esse tipo de malware.



Confira aqui a pagina de soluções contra Ransomware da Kaspersky


Confira aqui a pagina de soluções contra Ransomware da Sophos


Fonte: http://bit.ly/2uZShbG

Ver mais ...

Ataque cibernético afeta clientes das maiores montadoras de veículos do mundo!Postado por Cristina

Os 157 GB de arquivos incluem negociações ‘secretas’ das empresas, além de contratos, acordos de mercado, configurações de robôs automatizados e 10 anos de esquemas de linhas de produção diferentes.Em 23/07/2018




 


Vazam 157 GB de dados sensíveis de clientes 

Volkswagen, Ford, Fiat e outros

 

   

Dados sensíveis de clientes de empresas como Ford, Toyota, GM, Fiat, Tesla, Volkswagen e ThyssenKrupp estavam expostos para acesso livre. Os dados, que juntos totalizam cerca de 157 GB de dados pessoais de clientes e informações sensíveis das próprias fabricantes, foram encontrados em um servidor exposto da Level One Robotics, segundo a equipe de cibersegurança da Upguard.

A Level One Robotics é uma empresa que oferece serviços de automação industrial e possui sede no Canadá

Os 157 GB de arquivos incluem negociações "secretas" das empresas, além de contratos, acordos de mercado, configurações de robôs automatizados e 10 anos de esquemas de linhas de produção diferentes.

Ainda, os documentos compreendem passaportes, licenças de motoristas, dados bancários (incluindo faturas), de clientes da Ford, Toyota, GM, Fiat, Tesla, Volkswagen e ThyssenKrupp. Ao que parece, apenas clientes nos Estados Unidos foram afetados pelo vazamento.

?Os dados foram expostos via rsync, um protocolo comum de transferência de arquivos usado para espelhar ou fazer backup de grandes conjuntos de dados. O servidor rsync não foi restringido por IP ou usuário, e o conjunto de dados podia ser baixado por qualquer cliente rsync conectado à porta rsync, explicou a UpGuard.

Os dados sensíveis já tiveram o acesso bloqueado após a Level One Robotics ser avisada no dia 9 de julho. A Level One leva essas alegações muito a sério e está trabalhando diligentemente para conduzir uma investigação completa da natureza, extensão e ramificações dessa suposta exposição de dados", disse o diretor executivo da Level One, Milan Gasko, ao The New York Times. "A fim de preservar a integridade desta investigação, não vamos fornecer comentários no momento."

Pensando na mitigação de casos como esse, a Supry X Informática dispõem de produtos e serviços que visam criar um nível de proteção superior e mais eficaz do que as soluções mais conhecidas no mercado. Quando o quesito é segurança de informação, devemos sempre considerar que, uma empresa segura, somente assim estará com um leque de soluções bem implementadas e configuradas gerando assim segurança, confiabilidade e continuidade de negócios, tornando-a assim prevenida quando  assunto for ataques cibernéticos

Uma das soluções de segurança mais utilizadas é o Firewall de rede Sophos. Com desempenho eficaz, e custos de implementação e operação baixos, vem se tornando cada vez mais a opção dentro das medias e grandes empresas.

Conheça mais dessa solução aqui.




 

Fonte: http://bit.ly/2JN87L2

Ver mais ...

Busca de ameaças: quando fazer e por quem deve ser feitaPostado por Cristina

Um dos principais temas da RSA 2018 foi a busca de ameaças. Os especialistas concordam que essa é uma prática necessária para conter ataques de APTs, mas nem sempre compactuam sobre o que realmente é – e quais técnicas compreende.Em 23/07/2018









Busca de ameaças: quando fazer e por quem deve ser feita
 



   Um dos principais temas da RSA 2018 foi a busca de ameaças. Os especialistas concordam que essa é uma prática necessária para conter ataques de APTs, mas nem sempre compactuam sobre o que realmente é ? e quais técnicas compreende. Ao indicar a utilização do livro How to Hunt for Security Threats (Como procurar por ameaças de segurança), formalizam a conceituação da atividade como um processo centrado no analista que permite que organizações descubram ameaças avançadas ocultas que não tenham sido identificadas pelos controles de prevenção e detecção automatizados.

   Com base nessa definição, a busca de ameaças deveria ser realizada por um especialista em cibersegurança; o processo não pode ser automatizado. No entanto, após a procura por anomalias feita pelos peritos, esses resultados contribuirão para o aprimoramento dos sistemas de detecção automáticos, que aprendem a rastrear cenários de perigos que antes exigiam um olhar humano.

Quando buscar?

   Para os especialistas, a pergunta ?há adversários em sua rede?? não importa, porque certamente eles existem. Basicamente, querem dizer que você já deveria estar caçando. Esperamos que isso não seja sempre verdade, o que não significa que você não deveria procurar ? especialmente se tiver uma enorme infraestrutura corporativa distribuída.

   Entretanto, a busca de ameaças é uma prática de segurança avançada que requer alguns recursos e um certo nível de sistemas de segurança. É por isso que, se tiver que escolher entre organizar um processo de busca de ameaças e empregar um sistema maduro de detecção e resposta, você definitivamente deve escolher o segundo.

   Sistemas maduros de detecção e resposta não apenas permitem que você tire do escopo da busca de ameaças as pequenas e menos perigosas, como também fornecem informações muito mais úteis para quem está caçando.

 

Quem deveria buscar?

   A principal questão aqui é se o caçador deve ser um especialista interno ou externo. Cada opção tem seus prós e contras. Um perito interno possui um conhecimento único sobre a arquitetura de rede local e suas especificidades, já um profissional de cibersegurança externo tem uma vasta sabedoria sobre o cenário de ameaças, mas vai precisar de algum tempo para conhecer a infraestrutura local. Ambos os aspectos são importantes. Em um mundo ideal, você deve alternar entre os dois (se permitido, é claro ? e se já tiver um especialista interno).

   Grande parte das redes corporativas se parece uma com a outra, até certo ponto. É claro, existem exceções, mas são raras. Um profissional externo que realize buscas de ameaças regularmente para várias organizações ficará à vontade com as pequenas variações de uma empresa para outra.

   Outro ponto dessa questão para os candidatos internos é que a busca constante por ameaças traz uma boa dose de tédio para os seus dias. Analisar logs para descobrir onde está escondido um processo contraditório é uma ocupação monótona que vai desgastar até os profissionais de TI mais entusiasmados. Então, é interessante alternar especialistas do seu centro de operações de segurança, ao invés de ter um único caçador de ameaças.

   Quanto às qualidades pessoais do candidato, procure alguém atento, paciente e com experiência em ciberameaças. Contudo, intuição também é muito importante. Pode ser complicado encontrar essa pessoa, já que a intuição não pode ser medida e raramente aparece nos currículos.

   Para o caso de um profissional externo, podemos oferecer os serviços dos nossos próprios especialistas em busca de ameaças. Eles podem explorar sua infraestrutura para identificar quaisquer sinais presentes ou históricos de comprometimento, ou providenciar o monitoramento 24 horas por dia e a análise contínua dos seus dados de ciberameaças. Para saber mais sobre os serviços de Busca de Ameaças da Kaspersky, visite essa página.


Para conhecer mais as soluções que a Kaspersky oferece para sua empresa, acesse aqui  uma das soluções que disponibilizamos. 



 

Fonte: http://bit.ly/2v4TLjY

Ver mais ...

Microsoft protege a vulnerabilidade do RDP. Atualize agora!Postado por Cristina

A falha afeta o protocolo Credential Security Support Provider (CredSSP), que é usado em todas as instâncias do Remote Desktop Protocol (RDP)Em 23/07/2018




Microsoft protege a vulnerabilidade do RDP. Atualize agora!

 

 

Como parte de sua atualização mensal na terça-feira, a Microsoft anunciou nesta semana que lançaram uma correção preliminar para uma vulnerabilidade avaliada e presente em todas as versões suportadas do Windows em circulação (basicamente, qualquer versão de cliente ou servidor do Windows a partir de 2008).

A falha afeta o protocolo Credential Security Support Provider (CredSSP), que é usado em todas as instâncias do Remote Desktop Protocol (RDP) do Windows e do Gerenciamento Remoto (WinRM).

A vulnerabilidade, CVE-2018-0886 , pode permitir a execução remota de código através de um ataque Man-in-the-Middle físico ou wifi, onde o atacante rouba dados de sessão, incluindo credenciais de usuários locais, durante o processo de autenticação CredSSP.

Embora a Microsoft diga que o bug ainda não foi explorado, isso pode causar sérios danos se não for apresentado.

O RDP é amplamente utilizado em ambientes empresariais e um invasor que explora com sucesso esse erro pode usá-lo para obter uma posição a partir da qual pivô e escalar. Também é popular entre as pequenas empresas que terceirizam sua administração de TI e, desnecessário dizer, um atacante com uma conta de administrador tem todos os ases.

Pesquisadores de segurança da Preempt dizem que descobriram e divulgaram esta vulnerabilidade à Microsoft em agosto passado, e a Microsoft vem trabalhando desde então para criar o patch lançado nesta semana.

Agora está lá fora, é uma corrida contra o tempo para se certificar de que você não é um alvo fácil para um atacante que quer tentar chutar os pneus nesta vulnerabilidade. Obviamente, repare o mais rápido possível.

Windows RDP como um vetor de ataque tentador

 

Se você já trabalhou em um escritório e teve problemas com seu computador baseado no Windows, há uma chance decente de que seu administrador de TI o ajudou de longe usando o RDP.

Isso ocorreu de uma forma ou de outra desde o Windows XP e permite que um administrador controle a máquina de outra pessoa, geralmente para que eles possam resolver problemas diretamente e rapidamente. (Dado que muitas equipes de TI não estão localizadas no mesmo país que as pessoas que estão tentando ajudar, o RDP certamente é muito mais rápido do que esperar por ajuda técnica para aparecer na sua mesa.)

O RDP funciona diretamente através da interface do usuário, permitindo que um usuário remoto interaja com um computador alvo como se estivesse sentado no teclado bem à sua frente.

E é isso que torna um alvo tão atraente para os atacantes.

Com uma sessão RDP, um invasor pode executar exploits de escalação de privilégios e, em seguida, tentar desativar medidas de proteção, instalar ferramentas de hacking, atacar outras máquinas na mesma rede, desligar sistemas de chaves como backups ou bancos de dados SQL e, claro, executar malware.

Ataques como este permitem que os hackers aproveitem seu tempo, descubra o lay of the land e até mesmo experimente diferentes tipos de resgate até encontrar um que funcione.

Para conhecer todas as opções de licenciamento de software da Microsoft, acesse nosso guia de licenciamento, ou entre em contato conosco. 

Para acessar o guia clique aqui. 



Fonte: http://bit.ly/2Nz7vez

Ver mais ...

Sua empresa está preparada para sobreviver a um desastre?Postado por Cristina

O seu plano de recuperação de desastre irá ajuda-lo através de ataques de ransomware, falhas de hardware e desastres naturais, ou você será surpreendido? Em 11/07/2018




A importância dos testes de recuperação de desastres

O seu plano de recuperação de desastre irá ajuda-lo através de ataques de ransomware, falhas de hardware e desastres naturais, ou você será surpreendido? Se você não puder responder a essa pergunta com um inequívoco: "Estamos prontos!", você deve investir mais tempo e recursos em testes de recuperação de desastre.

 

Atualmente, muitas organizações implementam soluções de backup e recuperação de desastre e assumem que estão preparadas para enfrentar qualquer eventualidade, afinal, o fornecedor da solução prometeu a recuperação de dados em questão de minutos.

 

Bem, isso é ótimo, mas simplesmente não podemos enfatizar o suficiente como é importante validar suas soluções e processos. Você precisa encontrar seus pontos de falha e consertá-los antes que um verdadeiro desastre aconteça.

 

O que você deve considerar?

Suponhamos que você já documentou completamente sua infraestrutura, dependências de aplicativos, fluxos de dados, custos de tempo de inatividade e SLAs.

 

Qual é o próximo?

 Quando se trata de testes de recuperação de desastre, veja o que você deve ter em mente.

 

Teste sua solução de DR e seu pessoal

Embora os testes automatizados de recuperação de desastre tenham uma finalidade importante, eles testam apenas o componente técnico do seu plano de DR. No caso de um desastre real, seu pessoal também precisará trabalhar com rapidez e confiança para restaurar rapidamente o tempo de atividade.

A realização de testes de mesa e testes técnicos simulados ajudará a garantir que sua equipe esteja preparada para executar suas políticas e procedimentos documentados.

 

Nunca subestime a importância do elemento humano.

Comprometer-se com o teste regular de recuperação de desastre.

Seu plano de DR é tão bom quanto seu elo mais fraco.

No entanto, em nossa pesquisa recente com 600 parceiros de canal e gerentes de TI, apenas 44% tinham um plano de DR implantado. E, desses, apenas 31% realizaram testes de DR mais de uma vez por ano.

 

Então, com que freqüência você deve testar seu plano?

Isso dependerá do seu negócio - o que funciona para uma agência de publicidade local não funcionará para uma instituição financeira regional. Dito isso, recomendamos que você faça um teste completo pelo menos a cada ano. E, se você precisar cumprir regulamentos rigorosos como o PCI DSS, recomendamos testes mais regulares.

Lembre-se: quanto mais você colocar o ritmo do seu pessoal, mais preparado ele estará para reagir diante do desastre. E, com a rotatividade regular de sua equipe de TI, os testes regulares serão absolutamente essenciais quando se trata de criar novos membros da equipe.

 

Projetar seu teste de DR

Independentemente de você realizar uma pequena pesquisa para testar aplicativos distintos ou executar um teste em grande escala, é necessário documentar completamente seu plano de testes de DR antes de começar.

 

Considerar:

Quanto tempo passou desde que você testou seus aplicativos essenciais e que devem ser incluídos em seu próximo teste se não for um teste completo

Alterações em sua infraestrutura de TI que podem exigir atualizações em seu plano, que devem ser validadas por meio de testes de DR

Definir:

Quem estará envolvido

O que, especificamente, você está testando

Os objetivos do seu teste

Seus resultados esperados

 


Docemente documente seu teste de DR

Ao executar seu teste de DR, será crucial fazer com que uma pessoa observe e documente o teste; este deve ser seu único objetivo no dia do teste.

Durante o teste, essa pessoa documentará qualquer falha e registrará o tempo necessário para concluir cada etapa do procedimento documentado de recuperação de desastre.

 

Eles devem manter nota de:

Tempo necessário para failover, restauração do tempo de atividade, recuperação de dados e failback

Falhas técnicas inesperadas

A resposta humana a surpresas inesperadas

Instâncias em que as pessoas encontraram falta de clareza no plano de DR, o que diminuiu o progresso e criou ansiedade entre a equipe

 

Revise e atualize seu plano de recuperação de desastre

Todos os testes no mundo não servem para nada se você não aproveitar os insights obtidos para solucionar vulnerabilidades no seu plano de DR.

 

O teste de recuperação de desastre revelou algum buraco?

Nesse caso, é hora de reunir as principais partes interessadas para determinar seu nível de risco aceitável e como você pode reduzir o impacto da perda de dados e do tempo de inatividade.

Com testes regulares de recuperação de desastre e melhorias contínuas em seu plano, você estará preparado para enfrentar qualquer tempestade. 

Ver mais ...

Gartner dá alta pontuação para Kaspersky em proteção corporativaPostado por Cristina

A Kaspersky Lab conquistou uma boa posição no relatório da Gartner focado em proteção de Endpoints. A empresa recebeu a maior pontuação do produto em um dos três casos empresariais de uso no relatório Gartner.Em 06/07/2018








A Kaspersky Lab conquistou uma boa posição no relatório da Gartner focado em proteção de Endpoints. A empresa recebeu a maior pontuação do produto em um dos três casos empresariais de uso no relatório Gartner Critical Capabilities for Endpoint Protection Platforms (Funcionalidades Críticas de Plataformas de Proteção de Endpoints).



O relatório avaliou a capacidade dos fornecedores de atender às necessidades de três tipos de empresa distintas: Tipo A, que focam em soluções flexíveis e customizáveis para atender às necessidades operacionais; Tipo B, precisam de combinação de funcionalidades de prevenção e resposta à detecção e; Tipo C, implementam soluções focadas na prevenção.

Para isso, foram analisados 21 fornecedores que receberam uma pontuação para cada uma das seguintes funcionalidades críticas: prevenção, alertas e relatórios no console, funcionalidade central de detecção e resposta no endpoint (EDR), resposta avançada de EDR, integração com terceiros, pacote de EPP, serviços gerenciados, suporte geográfico e suporte a sistemas operacionais.

A pontuação total da Kaspersky Lab Kaspersky Lab foi de 3,56, 3,76 e 3,86 para os casos A, B e C, respectivamente.

?Como cada empresa tem restrições diferentes de recursos e orçamento para proteger seus negócios contra ameaças, precisam ter acesso à proteção eficiente de endpoints com uma configuração adequada para enfrentar seus desafios?, afirma Nikita Shvetsov, diretor de tecnologia da Kaspersky Lab. Para ele, ?o cenário da segurança muda regularmente, por isso atualizamos nossos produtos para endpoints continuamente, a fim de acompanhar as necessidades de cada empresa, ajudando as organizações a ficar sempre um passo à frente das ameaças cibernéticas que as assolam diariamente?, diz.

?Ao alcançar uma das três primeiras posições em todos os grupos de usuários, confirmamos nossa missão de fornecer proteção relevante e confiável contra qualquer tipo de ameaça e para todos os tipos de usuários?, afirma.

O relatório do Gartner também mostrou que a proteção de endpoints está evoluindo para abordar as tarefas de arquitetura de segurança, como proteção, investigação, detecção de incidentes e resposta a incidentes. A versão mais recente do Kaspersky Endpoint Security for Business fornece aos clientes tecnologias de proteção em vários níveis. A solução pode ser totalmente integrada com o Kaspersky Endpoint Detection and Response, permitindo às empresas  investigações e remediações robustas. O produto também proporciona às organizações visibilidade aprimorada e recursos de gerenciamento granular, proporcionando que respondam a qualquer desafio cibernético que surja em seu caminho.



Ver mais ...

SophosPostado por Cristina

Agora temos o SFOS v17.1.0 GA disponível. Aqui está tudo que você precisa saber.Em 12/06/2018









Agora temos o SFOS v17.1.0 GA disponível. Aqui você verá tudo que você precisa saber da versão que está disponível como atualização manual para todas as versões SFOS via portal MySophos .  

Confira todos os aprimoramentos no XG Firewall v17.1, incluindo o novo recurso Cloud Application Visibility em nosso vídeo de demonstração do XG Firewall v17.1 .

 

Cloud App Visibility - traz o pilar de visibilidade do CASB para o XG Firewall, proporcionando detecção de TI e visibilidade de TI rápida e fácil em dados que podem estar em risco em aplicativos de nuvem com excelentes relatórios sobre usuários e volume de dados carregados e baixados de serviços em nuvem.

Controle de aplicativos sincronizados - obtém mais aprimoramentos no  gerenciamento de aplicativos recém-descobertos, incluindo opções para pesquisar, filtrar e excluir aplicativos. Você também verá a categoria atribuída ao aplicativo descoberto na lista para facilitar a consulta.

Email Security - adiciona gerenciamento de usuários sobre bloqueio SMTP individual e permite listas por meio do Portal do usuário. Os domínios ou endereços de e-mail adicionados à lista Permitir ignoram as políticas (exceto para aplicação de malware ou sandbox) e a adição de domínios ou endereços à lista de bloqueio colocará automaticamente os e-mails desses remetentes em quarentena. Além disso, são suportadas exceções de políticas de SMTP mais flexíveis para fornecer paridade com o Sophos SG UTM.

SSL VPN Port Option - um dos recursos mais solicitados no XG Firewall é a opção de personalizar a porta de escuta SSL VPN. 

Aprimoramentos de firewall - Aprimoramentos foram feitos no firewall e no gerenciamento de regras para melhorar a flexibilidade e simplificar ainda mais o gerenciamento. Agora você pode clicar duas vezes em uma regra de firewall na lista para abri-la para edição. Há uma nova opção para bloquear o HTTPS do Google QUIC sobre o UDP, forçando um retorno ao TCP, permitindo a inspeção completa do tráfego SSL. E agora há mais flexibilidade na definição de exceções de ACL para restringir o acesso a serviços como o Portal do usuário a partir de um único alias, por exemplo. 

Melhorias sem fio - O XG Firewall v17.1 fornece aprimoramentos de rede sem fio, incluindo a opção de definir a largura do canal para rádios sem fio na GUI, bem como o Radius Accounting. 

Aprimoramentos IPSec VPN IKEv2 - O XG Firewall v17 introduziu o novo suporte a IKEv2 para conexões VPN IPSec e todos os aprimoramentos de estabilidade e confiabilidade, incluídos em versões posteriores de manutenção, estão incluídos na v17.1.

Novo suporte de hardware - O suporte para a mais recente conectividade e recursos de hardware de desktop da série XG, revelado em uma versão de manutenção anterior, também está incluído no XG Firewall v17.1




Fonte: http://bit.ly/2sUN03X

Ver mais ...

VPNFilter: Novo Malware de Roteador com Recursos DestrutivosPostado por Cristina

Ao contrário da maioria das outras ameaças da IoT, o malware pode sobreviver à reinicialização.Em 07/06/2018

 







VPNFilter: Novo Malware de Roteador com Recursos Destrutivos 

  

Uma nova ameaça que atinge uma variedade de roteadores e dispositivos NAS (Network Attached Storage) é capaz de bloquear dispositivos infectados tornando-os inutilizáveis. O malware, conhecido como VPNFilter, é diferente da maioria das outras ameaças da IoT, pois é capaz de manter uma presença persistente em um dispositivo infectado, mesmo depois de uma reinicialização. O VPNFilter possui uma variedade de recursos, incluindo espionagem no tráfego que está sendo roteado pelo dispositivo. Seus criadores parecem ter um interesse particular nos sistemas de controle industrial SCADA, criando um módulo que intercepta especificamente as comunicações Modbus SCADA.

De acordo com uma nova pesquisa da Cisco Talos, a atividade em torno do malware se intensificou nas últimas semanas e os atacantes parecem estar particularmente interessados em alvos na Ucrânia. Embora o VPNFilter tenha se espalhado amplamente, os dados dos honeypots e dos sensores da Symantec indicam que, ao contrário de outras ameaças de IoT, como o Mirai, ele não parece estar examinando e tentando indiscriminadamente infectar todos os dispositivos vulneráveis ??globalmente.

P: Quais dispositivos são conhecidos por serem afetados pelo VPNFilter?

A: Até agora, VPNFilter é conhecido por ser capaz de infectar roteadores corporativos e pequenos escritórios / escritórios domésticos da Asus, da D-Link, da Huawei, da Linksys, da MikroTik, da Netgear, da TP-Link, da Ubiquiti, da Upvel e da ZTE. Dispositivos de armazenamento conectado à rede (NAS) da QNAP. Esses incluem:
 

ASUS

  • Asus RT-AC66U (novo)
  • Asus RT-N10 (novo)
  • Asus RT-N10E (novo)
  • Asus RT-N10U (novo)
  • Asus RT-N56U (novo)
  • Asus RT-N66U (novo)

 D-LINK

  • D-Link DES-1210-08P (novo)
  • D-Link DIR-300 (novo)
  • D-Link DIR-300A (novo)
  • D-Link DSR-250N (novo)
  • D-Link DSR-500N (novo)
  • D-Link DSR-1000 (novo)
  • D-Link DSR-1000N (novo)

 HUAWEI

  • Huawei HG8245 (novo)

 LINKSYS

  • Linksys E1200
  • Linksys E2500
  • Linksys E3000 (novo)
  • Linksys E3200 (novo)
  • Linksys E4200 (novo)
  • Linksys RV082 (novo)
  • Linksys WRVS4400N

 MIKROTIK

  • MikroTik CCR1009 (novo)
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109 (novo)
  • MikroTik CRS112 (novo)
  • MikroTik CRS125 (novo)
  • MikroTik RB411 (novo)
  • MikroTik RB450 (novo)
  • MikroTik RB750 (novo)
  • MikroTik RB911 (novo)
  • MikroTik RB921 (novo)
  • MikroTik RB941 (novo)
  • MikroTik RB951 (novo)
  • MikroTik RB952 (novo)
  • MikroTik RB960 (novo)
  • MikroTik RB962 (novo)
  • MikroTik RB1100 (novo)
  • MikroTik RB1200 (novo)
  • MikroTik RB2011 (novo)
  • MikroTik RB3011 (novo)
  • MikroTik RB Groove (novo)
  • MikroTik RB Omnitik (novo)
  • MikroTik STX5 (novo)

 NETGEAR

  • Netgear DG834 (novo)
  • Netgear DGN1000 (novo)
  • Netgear DGN2200
  • Netgear DGN3500 (novo)
  • Netgear FVS318N (novo)
  • Netgear MBRN3000 (novo)
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200 (novo)
  • Netgear WNR4000 (novo)
  • Netgear WNDR3700 (novo)
  • Netgear WNDR4000 (novo)
  • Netgear WNDR4300 (novo)
  • Netgear WNDR4300-TN (novo)
  • Netgear UTM50 (novo)

QNAP 

  • QNAP TS251
  • QNAP TS439 Pro
  • Outros dispositivos QNAP NAS executando o software QTS

 TP-LINK

  • TP-Link R600VPN
  • TP-Link TL-WR741ND (novo)
  • TP-Link TL-WR841N (novo)

 UBIQUITI

  • Ubiquiti NSM2 (novo)
  • Ubiquiti PBE M5 (novo)

 

  • Dispositivos upvel - modelos desconhecidos (novo)

 Dispositivos ZTE ZXHN H108N (novo)

 

P: Como o VPNFilter infecta os dispositivos afetados?

R: A maioria dos dispositivos direcionados é conhecida por usar credenciais padrão e / ou ter explorações conhecidas, principalmente em versões mais antigas. Não há nenhuma indicação no momento de que a exploração de vulnerabilidades de dia zero esteja envolvida na disseminação da ameaça.

P: O que o VPNFilter faz em um dispositivo infectado?

R: O VPNFilter é um malware de vários estágios. O estágio 1 é instalado primeiro e é usado para manter uma presença persistente no dispositivo infectado e entrará em contato com um servidor de comando e controle (C & C) para baixar módulos adicionais.

O estágio 2 contém a carga principal e é capaz de coletar arquivos, executar comandos, exfiltração de dados e gerenciamento de dispositivos. Ele também tem uma capacidade destrutiva e pode efetivamente ?bloquear? o dispositivo se receber um comando dos invasores. Isso é feito sobrescrevendo uma seção do firmware do dispositivo e reinicializando, tornando-o inutilizável.

Existem vários módulos conhecidos do Estágio 3, que funcionam como plug-ins para o Estágio 2. Eles incluem um sniffer de pacote para espionar o tráfego que é roteado pelo dispositivo, incluindo o roubo de credenciais do website e o monitoramento dos protocolos SCADA do Modbus. Outro módulo do Estágio 3 permite que o Estágio 2 se comunique usando o Tor.

Um módulo recém-descoberto (divulgado em 6 de junho) no estágio 3 conhecido como ?ssler? é capaz de interceptar todo o tráfego que passa pelo dispositivo pela porta 80, o que significa que os invasores podem bisbilhotar o tráfego da Web e também adulterá-lo para executar ataques do meio (MitM). Entre suas características está a capacidade de alterar solicitações HTTPS para solicitações HTTP comuns, o que significa que os dados que devem ser criptografados são enviados de forma insegura. Isso pode ser usado para coletar credenciais e outras informações confidenciais da rede da vítima. A descoberta deste módulo é significativa, pois fornece aos invasores um meio de ir além do roteador e até a rede da vítima.

Um quarto módulo do Estágio 3 conhecido como "dstr" (divulgado em 6 de junho) adiciona um comando kill a qualquer módulo do Estágio 2 que não tenha esse recurso. Se executado, o dstr removerá todos os vestígios do VPNFilter antes de compactar o dispositivo.

P: Se eu possuo um dispositivo afetado, o que devo fazer?

R: Os usuários dos dispositivos afetados são aconselhados a reinicializá-los imediatamente. Se o dispositivo estiver infectado com o VPNFilter, a reinicialização removerá o Estágio 2 e todos os elementos do Estágio 3 presentes no dispositivo. Isto irá (temporariamente pelo menos) remover o componente destrutivo do VPNFilter. No entanto, se infectado, a presença contínua do Estágio 1 significa que os Estágios 2 e 3 podem ser reinstalados pelos invasores.

Em seguida, você deve aplicar os últimos patches disponíveis aos dispositivos afetados e garantir que nenhum deles use credenciais padrão.

P: Se o Estágio 1 do VPNFilter persistir mesmo após a reinicialização, existe alguma maneira de removê-lo?

Um: sim. Realizando um hard reset do dispositivo, que restaura as configurações de fábrica, deve limpá-lo e remover o estágio 1. Com a maioria dos dispositivos, isso pode ser feito pressionando e segurando uma pequena chave de reset ao ligar e desligar o dispositivo. No entanto, tenha em mente que quaisquer detalhes de configuração ou credenciais armazenadas no roteador devem ser copiados para backup, pois serão apagados por uma reinicialização a frio.

P: O que os invasores pretendem fazer com a capacidade destrutiva do VPNFilter?

A: Isso é atualmente desconhecido. Uma possibilidade é usá-lo para fins disruptivos, usando um grande número de dispositivos infectados. Outra possibilidade é o uso mais seletivo para encobrir evidências de ataques.

P: Os produtos Symantec / Norton (Win / Mac / NMS) protegem contra essa ameaça? 

R: Os produtos Symantec e Norton detectam a ameaça como Linux.VPNFilter .

Reconhecimento: A Symantec deseja agradecer à Cisco Talos e à Cyber ??Threat Alliance por compartilhar informações sobre essa ameaça antes da publicação.

ATUALIZAÇÃO: A Netgear está aconselhando os clientes que, além de aplicar as atualizações de firmware mais recentes e alterar senhas padrão, os usuários devem garantir que o gerenciamento remoto seja desativado em seus roteadores. O gerenciamento remoto é desativado por padrão e só pode ser ativado usando as configurações avançadas do roteador. Para desligá-lo, eles devem ir para www.routerlogin.net em seu navegador e fazer o login usando suas credenciais de administrador. De lá, eles devem clicar em "Avançado" seguido de "Gerenciamento Remoto". Se a caixa de seleção "Ativar o gerenciamento remoto" estiver marcada, desmarque-a e clique em "Aplicar" para salvar as alterações.

ATUALIZAÇÃO 24 de maio de 2018: O FBI anunciou que tomou medidas imediatas para interromper o VPNFilter, garantindo uma ordem judicial, autorizando-o a confiscar um domínio que faz parte da infraestrutura C & C do malware. 

Enquanto isso, a Linksys está aconselhando os clientes a mudar as senhas de administração periodicamente e garantir que o software seja atualizado regularmente. Se eles acreditarem que foram infectados, uma reinicialização de fábrica do roteador é recomendada. Instruções completas podem ser  encontradas aqui.

A MikroTik disse que é altamente certo que qualquer um de seus dispositivos infectados pelo VPNFilter tenha instalado o malware através de uma vulnerabilidade no software MikroTik RouterOS, que foi corrigido pela MikroTik em março de 2017. Atualizar o software RouterOS exclui o VPNFilter, quaisquer outros arquivos de terceiros e corrige a vulnerabilidade.

 


Fonte: https://symc.ly/2xR5Uxw

  

Ver mais ...

Mitigação e Recuperção de desastres com Nakivo Backup & Replication Postado por Cristina

No mundo atual, impulsionado pela tecnologia, a maioria das empresas utiliza uma infraestrutura complexa, como front-ends da Web, bancos de dados e redes híbridas.Em 05/06/2018







No mundo atual, impulsionado pela tecnologia, a maioria das empresas utiliza uma infraestrutura complexa, como front-ends da Web, bancos de dados e redes híbridas. Eles costumam ser ampliados entre a infraestrutura local e os provedores de nuvem pública. Com todas as "partes móveis" da infraestrutura que impulsionam o comércio eletrônico 24 × 7 e outros negócios, há sempre a possibilidade de paralisação, seja como resultado de erro humano, ataques mal-intencionados ou desastres naturais. As empresas devem ter um plano em vigor que avalie os impactos de tais eventos e defina uma resposta. Um sólido plano de continuidade de negócios permite que as organizações antecipem quaisquer desastres em potencial que possam afetar as operações de negócios e determinar o melhor curso de ação. Vamos analisar mais de perto os planos de continuidade de negócios e o que deve ser coberto neles. 

O que é um plano de continuidade de negócios e por que você precisa de um?

Um plano de continuidade de negócios é frequentemente confundido com um plano de recuperação de desastres. Um plano de continuidade de negócios tem um escopo mais amplo, determinando como a empresa pode continuar fornecendo produtos e serviços durante interrupções não planejadas. Um plano de recuperação de desastre é mais focado em TI e engloba todos os processos envolvidos para colocar todos os sistemas essenciais aos negócios de volta on-line o mais rápido possível após uma indisponibilidade não planejada. Quando as operações do dia-a-dia são afetadas, o resultado é que as interrupções custam o dinheiro da empresa. As organizações devem ter um plano de continuidade de negócios que detalha uma estratégia para mitigar e minimizar de forma proativa o impacto nas operações de negócios enquanto mantém a produção em andamento. Um plano de recuperação de desastres é parte disso.

Planos de continuidade de negócios são extremamente importantes. Organizações que não planejaram o inesperado, na melhor das circunstâncias, podem se ver lutando para manter ou continuar seus negócios enquanto lutam com a recuperação de dados ou sistemas de negócios. No pior dos casos, o impacto pode ser grave o suficiente para que a empresa não tenha chance de se recuperar.

Lista de verificação do plano de continuidade de negócios 

Como você começa a formular um plano de continuidade de negócios? Embora a tarefa possa parecer assustadora, uma lista de verificação pode ajudá-lo a formular rapidamente uma estrutura de prioridades. Com base nessa estrutura, você pode criar um plano de continuidade de negócios adaptado à sua empresa. Isso pode ajudá-lo a planejar proativamente a manutenção de operações comerciais durante uma crise.

* Identifique os principais contatos e membros da equipe

* Identificar os principais serviços empresariais potencialmente afetados por desastres 

* Realize uma avaliação de risco e uma análise de impacto

* Desenvolver um plano de recuperação e / ou contingência para serviços empresariais específicos

*  Determinar objetivos de tempo de recuperação (RTOs) e objetivos de ponto de recuperação (RPOs)

*   Garantir que os dados críticos para os negócios sejam protegidos

* Designar um site de recuperação de desastres (DR) para failover de rede/dados.

 * Teste seu plano de continuidade de negócios e melhore os pontos fracos encontrados


Vamos examinar cada um desses itens da lista de verificação com um pouco mais de detalhes e ver por que eles são aspectos importantes a serem considerados em seu plano de continuidade de negócios.


1. Identifique os principais contatos e membros da equipe

                Identificar contatos e membros da equipe que podem desempenhar papéis importantes para manter os negócios funcionando é um primeiro passo importante na formulação de um plano de continuidade de negócios. O planejamento de continuidade de negócios precisa acontecer de cima para baixo em uma organização. Um líder de equipe de continuidade de negócios deve ser designado para liderar o esforço de planejamento de continuidade de negócios. De um modo geral, a equipe de planejamento de continuidade de negócios deve incluir membros de cada departamento envolvido em operações comerciais normais. Os membros da equipe sênior costumam ser os mais bem informados em termos de entender como os eventos de desastre podem afetar as operações de negócios.

                Uma consideração adicional a ser feita ao identificar o pessoal chave do plano de continuidade de negócios é determinar os tipos de eventos de desastre que podem impactar as operações de negócios. Esses eventos podem incluir desastres naturais, eventos climáticos extremos, criação de ameaças à segurança, perda de dados devido a falhas do sistema de TI, vírus de computador, hacking, falta de energia, danos a instalações (de clima, incêndio ou outros eventos), roubo ou vandalismo etc. Diferentes membros da equipe podem ser mais adequados para responder a diferentes tipos de desastres. Trabalhe com RH para identificar os pontos fortes de seus funcionários com base em seus conhecimentos e experiência.

                Ao atribuir responsabilidades a diferentes partes em seu plano de continuidade de negócios, verifique se você tem pelo menos um substituto para cada função. Tanto o delegado principal quanto seu substituto devem ser bem versados em como executar seus trabalhos.


2. Identificar os principais serviços de negócios potencialmente afetados por desastres

                Para formular um plano de continuidade de negócios eficaz, todos os processos, procedimentos, sistemas e recursos externos devem ser totalmente compreendidos. Sem um entendimento profundo dos serviços ou da infraestrutura necessária para fornecer produtos ou serviços da sua organização, um desastre interrompe a continuidade dos negócios. O plano de continuidade de negócios deve identificar esses elementos-chave de infraestrutura ou serviços que são absolutamente essenciais antes que você possa desenvolver um plano de contingência de acordo.

Os principais serviços e infra-estrutura provavelmente incluiriam:

    Sistemas de energia

    Conectividade de telecomunicações - WAN, LAN, telefone

    Infraestrutura de construção física

    Maquinário

    Sistemas de TI - servidores da web, servidores de aplicativos, servidores de banco de dados

Determine os recursos físicos, lógicos e outros absolutamente necessários para fazer negócios. Só então o plano de continuidade de negócios pode abordar adequadamente a infraestrutura de backup, os sistemas secundários e os níveis de serviço durante um desastre.


3. Realize uma avaliação de risco e uma análise de impacto

Depois que os principais serviços comerciais que podem ser afetados por desastres são identificados, as organizações devem realizar uma avaliação de riscos. Uma avaliação de risco identifica vulnerabilidades associadas a sistemas, atividades e recursos de suporte críticos para os negócios. Uma análise de impacto, muitas vezes realizada ao lado, avalia os efeitos sobre o negócio se esses riscos se materializarem em uma interrupção real.

A avaliação de risco deve considerar tanto a probabilidade quanto a criticidade de cada risco. A probabilidade representa a probabilidade do evento de desastre ocorrer, enquanto a criticidade é a gravidade do impacto nas operações de negócios. A análise de impacto identificaria os processos de negócios afetados e determinaria o nível de tolerância para cada processo degradado, interrompido ou completamente indisponível.

Por exemplo, um site localizado na costa pode ser mais propenso a interrupções de continuidade de negócios causadas por furacões ou inundações. Estes podem ser identificados como riscos. Então, seriam feitas considerações para determinar o impacto nos negócios se o local fosse de fato atingido por um furacão ou inundação, e que grau de impacto poderia ser tolerado.

Organizações com vários sites devem executar uma análise de risco para cada localidade. Os desafios e complexidades dos eventos de desastre são provavelmente exclusivos de cada site, especialmente se estiverem geograficamente distantes. As relações e dependências entre locais também devem ser consideradas; o que acontece se um site inteiro for perdido? Todos esses fatores devem ser considerados em uma avaliação de risco e análise de impacto para formular um plano preciso de continuidade de negócios que responda por todas as possibilidades.

Ao realizar a análise de impacto, você deve ter uma compreensão dos custos para sua organização. Isso inclui como os negócios são afetados quando serviços e processos são degradados, interrompidos ou completamente indisponíveis. Qual é o impacto fiscal para os processos de negócios ou serviços que estão sendo interrompidos por minutos, dias ou até semanas?


4. Desenvolver um Plano de Recuperação e / ou Contingência para Serviços Comerciais

Depois que os elementos essenciais necessários para as operações de negócios forem identificados (etapa 2) e uma análise de risco tiver determinado os riscos mais prováveis para esses serviços principais (etapa 3), você deverá desenvolver um plano de contingência. Um plano de contingência descreve os arranjos para recuperar e continuar esses serviços principais em caso de desastre. Seu plano de contingência pode alavancar as seguintes estratégias, entre outras:

    Procedimentos alternativos de negócios - por exemplo, soluções manuais para processos mecanizados ou automatizados até que os sistemas estejam em funcionamento e funcionando

    Um site secundário ou alternativo para retomar as operações de negócios

    Rede no nível do site e failover do servidor

    Recuperação de backups off-site de dados críticos para os negócios

    Recursos "hot spare" ou de reserva, que podem ser colocados em operação imediatamente quando os componentes primários falham

A recuperação e o planejamento de contingência são muitas vezes referidos coletivamente como uma continuidade do plano de operações (COOP). Seu COOP abrange os recursos, ações, procedimentos e informações necessários no caso de uma grande interrupção das operações de negócios.


5. Determinar os objetivos de tempo de recuperação (RTO) e os objetivos de ponto de recuperação (RPO)

Quando as empresas consideram os sistemas de TI em seus planos de continuidade de negócios, há duas métricas importantes para restaurar o serviço nos sistemas: RTO (Recovery Time Objectives) e RPO (Recovery Point Objectives, objetivos de ponto de recuperação).

Um objetivo de tempo de recuperação ou RTO determina quanto tempo de inatividade do sistema de TI uma empresa pode razoavelmente tolerar antes que os processos de negócios ou serviços sejam restaurados.

Um objetivo de ponto de recuperação ou RPO define quanto de perda de dados uma empresa pode tolerar. Como os RTOs, as RPOs são medidas em unidades de tempo (minutos, horas, dias ou semanas). Por exemplo, talvez sua empresa possa perder um dia inteiro de dados de pesquisa sem incorrer em muitos danos, mas apenas dez minutos em registros de transações on-line.

Para mais informações sobre RTO, consulte o nosso white paper.


6. Garantir que os dados críticos para os negócios sejam protegidos

O impacto de desastres pode ser significativamente mitigado protegendo adequadamente seus dados críticos para os negócios. A melhor prática para garantir a resiliência dos backups é a "regra 3-2-1": certifique-se de ter um mínimo de três backups em dois tipos diferentes de mídia, com pelo menos uma cópia armazenada externamente. Você não gostaria que o mesmo desastre que afetou seus dados de produção também tirasse os dados de backup!

Escolha uma solução de proteção de dados que permita atender aos RTOs e RPOs definidos em seu plano de continuidade de negócios.

O NAKIVO Backup & Replication permite que as organizações com infraestrutura virtual sigam a metodologia de backup "3-2-1", além de ajudá-las a alcançar até mesmo os RPOs e RTOs mais curtos que definem. O NAKIVO Backup & Replication fornece uma importante funcionalidade de proteção de dados:

    Backup baseado em imagem

    Replicação no nível da VM

    Tarefas de cópia de backup (para destinos externos de DR e de nuvem pública)

    Backup com reconhecimento de aplicativo para consistência transacional de bancos de dados

Contando com uma solução comprovada e completa, as organizações podem ter certeza de que a continuidade dos negócios do ponto de vista de proteção de dados é garantida no caso de interrupção.


7. Designe um site de DR para failover de rede / dados

Com grande parte da infraestrutura de negócios atual baseada em infraestrutura de TI, as organizações devem considerar como um desastre em potencial afetaria o acesso a dados e comunicações. Se a rede principal e os recursos de dados, incluindo máquinas virtuais, estiverem localizados em um site de produção principal, o que acontecerá se esse site ficar offline? A designação de um site de recuperação de desastre (DR) para failover de rede / dados é crucial para garantir que o RPO e o RTO sejam atendidos, conforme definido no plano de continuidade de negócios.

Ao designar uma instalação de DR (geralmente localizada em uma região geográfica diferente), as empresas podem manter uma cópia ?quente e em espera? de recursos, como máquinas virtuais, com segurança fora do ambiente do site de produção. No caso de uma falha em todo o site que reduz os recursos de produção, como a rede principal e as máquinas virtuais, o tráfego pode sofrer failover para o local de DR. As VMs de "warm-standby" basicamente se tornam cargas de trabalho de produção, permitindo que as operações de negócios sejam colocadas on-line de maneira rápida e eficiente.

Com o NAKIVO Backup & Replication, as empresas podem efetivamente replicar as VMs de produção atuais para um local de DR externo. A réplica da VM é uma cópia exata da VM original usada como uma espera ativa para um trabalho de failover automatizado. As empresas podem definir o intervalo de replicação para alinhar com o conjunto de RPOs (etapa 5). Isso faz parte de um plano de contingência eficaz para falhas em todo o site que afetam as cargas de trabalho de produção.


8. Teste seu plano de continuidade de negócios e melhore os pontos fracos encontrados

Uma vez que o plano de continuidade de negócios tenha sido criado, testes regulares e rigorosos são cruciais. Isso significa não apenas realizar orientações do plano, mas também realizar simulações completas. Você deve executar todos os processos, procedimentos e sistemas secundários para imitar o fluxo de como o plano de continuidade de negócios seria realizado em circunstâncias reais de desastre. Estes tipos de testes são melhor realizados trimestralmente, por várias razões. Os principais membros da equipe devem estar familiarizados com o processo e capazes de executar suas partes sob pressão sem confusão. Além disso, alterações em sua infraestrutura, ambiente, protocolos, cargas de trabalho e / ou força de trabalho podem introduzir complicações no plano. Esses possíveis problemas geralmente só são descobertos no decorrer dos testes completos.

As simulações devem ser assistidas por um observador independente, que pode tomar notas sobre insuficiências e fraquezas. Deve haver debriefings após cada passagem, após o qual os relatórios podem ser redigidos. Nos relatórios, os pontos fracos e os problemas devem ser documentados, bem como as atualizações propostas para o plano. Os relatórios, bem como o plano (atualizado de acordo) devem ser distribuídos a todos os membros da equipe.


Pensamentos Finais  

O planejamento de continuidade de negócios é essencial para garantir que os serviços de negócios possam continuar e / ou serem recuperados se as principais funções de negócios forem degradadas, interrompidas ou renderizadas completamente indisponíveis. As organizações que não conseguem criar um plano de continuidade de negócios (incluindo avaliação de riscos, análise de impacto, recuperação de desastres e planejamento de contingência) podem sofrer paralisações importantes, perda de dados ou outras deficiências. Esses efeitos podem levar as empresas a incorrer em perdas de receita, confiança do cliente e reputação. Com essa lista de verificação, as empresas podem criar a estrutura para um plano de continuidade de negócios eficaz que as torne resilientes a qualquer desastre, natural ou causado pelo homem. Se você ainda não tem um plano abrangente de continuidade de negócios para a sua empresa, faça disso uma prioridade. O desastre pode ocorrer a qualquer momento - e geralmente acontece quando menos se espera. Ao planejar, preparar, testar e reforçar os planos de continuidade de negócios, sua empresa pode suportar até as piores crises.

O NAKIVO Backup & Replication oferece uma série de recursos para ajudá-lo na recuperação de desastres para ambientes virtualizados, incluindo vários dos mencionados neste artigo. Teste o produto fácil de usar em seu próprio ambiente VMware, Hyper-V ou AWS gratuitamente com a avaliação gratuita completa e veja a rapidez com que você pode recuperar seus dados.



Ver mais ...

O que as empresas (AINDA) podem aprender após um ano do maior ataque globalPostado por Cristina

Não há dúvida que o ano de 2017 será lembrado como o ano em que a ameaça do ransomware expandiu-se repentinamenteEm 15/05/2018

  




Não há dúvida que o ano de 2017 será lembrado como o ano em que a ameaça do ransomware expandiu-se repentinamente, com agentes de ameaças avançadas atacando empresas globalmente em uma série de ataques destrutivos. Ano passado, três ataques de ransomware, sem precedente, atingiram redes corporativas e mudaram para sempre o cenário: WannaCry, ExPetr e BadRabbit. Além de muitos usuários domésticos, as empresas também foram alvo de ransomware. No total, conseguimos evitar infecções desse tipo com nossos produtos.  


   "Embora ainda haja dúvidas sobre as motivações por trás do ataque em 12 de maio de 2017, as lições aprendidas pela indústria têm sido de grande valor e levaram a uma melhoria progressiva das medidas de segurança aplicadas em ambientes corporativos. O WannaCry deixou claro que a segurança de computadores deve ser um processo proativo e constante, com o pilar fundamental da aplicação dos patches do sistema operacional e a configuração correta das soluções antimalware", reforça Dmitry Bestuzhev, diretor da Equipe de Análise e Pesquisa da Kaspersky Lab para a América Latina.

Segundo nossos estudos, os ataques do ransomware na América Latina tiveram um aumento anual de 30% entre 2014 e 2017. Tanto que, no ranking global, o Brasil ocupou a 6ª posição (4,06%) de países mais afetados da região. Embora o ataque tenha "assustado" muita gente, infelizmente, ainda temos empresários acreditando que não acontecerá algo parecido tão cedo. Mas o grande ponto é que se você foi atacado uma vez, será de novo, pois sua empresa continuará sendo considerada insegura, enquanto você não investir em cibersegurança.

       Um dado importe faz referencia à aproximadamente 65% das empresas atingidas por ransomware em 2017 disseram ter perdido o acesso a um volume significativo ou até a todos os seus dados, de acordo com a nossa análise: História do ano de 2017: O novo perigo do ransomware. Uma em cada seis das que pagaram o resgate não conseguiu recuperar seus dados.    


  


Claudio Martinelli

Diretor Geral da Kaspersky Lab na America Latina 

Ver mais ...

Sua empresa está preparada para as ameaças sofisticadas?Postado por Cristina

Epidemias, vazamentos de dados e ataques direcionados, ao longo dos últimos anos, mudaram significativamente as atitudes em relação à cibersegurança.Em 08/05/2018






Epidemias, vazamentos de dados e ataques direcionados, ao longo dos últimos anos,  mudaram significativamente as atitudes em relação à cibersegurança. Hoje em dia, ninguém pensa que proteção contra ciberameaças é apenas uma responsabilidade do administrador de sistema; toda empresa precisa de uma estratégia de defesa. Mas a cibersegurança não consegue sobreviver com uma abordagem passiva não pode estar limitada à instalação de "algum antivírus". Para se sentirem seguras hoje e no futuro, as corporações precisam de uma solução next-generation que possa enfrentar uma diversidade de ameaças. Uma solução de segurança completa precisa, por um lado, atacar os desafios atuais e por outro, ser capaz de se adaptar às necessidades de negócios específicos. Aqui analisamos as maiores tendências do mundo da cibersegurança e verificamos como a última versão da nossa principal solução B2B, o Kaspersky Endpoint Security for Business, as enfrenta.   

  


Ransomware:


Nos últimos anos, o ransomware manteve sua posição na lista das 10 maiores ciberameaças. Pelo menos dois grandes surtos (WannaCry e ExPetr), além de vários incidentes menores, causaram sérios danos tanto para pequenos negócios como para grandes empresas. Nossos especialistas prevêem que vamos enfrentar ransomwares esse ano também. Está muito claro para os malfeitores que intimidar usuários domésticos é menos lucrativo, especialmente, se levar em conta o valor dos resgate de vítimas corporativas, por isso, mudaram o foco para essa direção. Inclusive, se antes miravam em sistemas operacionais de usuários finais, agora se dedicam a tecnologias direcionadas para sistemas operacionais de servidores.


Medida de combate: fortalecimento de tecnologia de proteção altamente especializada. Um subsistema feito sob medida especificamente para proteger contra malwares criptográficos permite o monitoramento de tentativas de acesso a arquivos, detecção e bloqueio de atividades suspeitas. Essa solução de segurança é igualmente eficaz tanto em sistemas operacionais de usuários quanto de servidores. Além disso, nos dispositivos Windows dos clientes, local em que a maior parte das informações do usuário é armazenada, pode reverter alterações maliciosas feitas nos arquivos, ao restaurar o que foi corrompido.


Ameaças next-gen e "sem arquivo"


Os cibercriminosos constantemente inventam novos métodos para escapar da detecção. Alguns ataques não utilizam arquivos. Outros implementam métodos sofisticados de "ofuscação" de código. Outros ainda usam apenas instrumentos legítimos e contam com a desatenção de funcionários. Alguns grupos criativos até mesmo procuram vulnerabilidades zero-day e criam exploits para elas. Por fim, há os mais habilidosos que combinam todos esses métodos. Para combater essas ameaças, uma solução multicamadas não é suficiente.


Medida de combate: Aprendizado de máquina multicamadas (ML2) e métodos de detecção sem assinatura. Nossas tecnologias de proteção next-gen são baseadas em algoritmos de aprendizado de máquina que funcionam em modo estático (para detecção de ameaças em fase de pré-execução) e dinamicamente (na captura de ciberameaças ativadas). Nossos métodos incorporam mecanismos comportamentais, um subsistema de prevenção de exploits automatizado, prevenção de intrusão baseada em host, e tecnologias na nuvem que não precisam de atualizações constantes para detectar as mais novas ameaças.


Ataques direcionados: 


Executar ataques direcionados contra empresas específicas se tornou muito mais acessível, então incidentes assim agora são mais comuns do que costumavam ser. Embora ainda exijam mais recursos e uma preparação mais minuciosa do que para lançar uma rede ampla, são potencialmente mais rentáveis. Aliás, as grandes corporações, com bolsos cheios, não são os únicos alvos. Até uma pequena empresa pode se tornar um elo involuntário em um ataque a cadeias de fornecedores, por isso, nenhum negócio deve se considerar protegido contra esse tipo de ameaça.



Medida de combate: Uma estratégia de segurança integrada baseada no uso de diversas soluções de segurança complementares. O componente do cliente da nossa solução, instalado em cada estação de trabalho, pode se integrar com o Kaspersky Endpoint Detection and Response ou com o Kaspersky Anti-Targeted Attack Platform para aprimorar a visibilidade de endpoints e automatizar os procedimentos de resposta aos incidentes.


Vazamento de dados: 

Em algumas indústrias, vazamentos de dados já causaram verdadeiras catástrofes. Registros de clientes e funcionários estão entre os itens mais vendidos do mercado "alternativo". Isso é especialmente alarmante à luz da entrada em vigor do GDPR, o Regulamento Geral de Proteção de Dados da União Europeia.

 

Medida de combate: Um maior foco em tecnologias de criptografia. O console do Kaspersky Security Center pode ser usado para uma administração centralizada e remota de diversos sistemas de encriptação de dados em grande parte das plataformas móveis e de estação de trabalho mais populares (incluindo FileVault 2 para macOS). Além do mais, nossas próprias tecnologias de criptografia podem proteger seus dados tanto em um arquivo, quanto em um disco inteiro.

Claro, nem todos os itens acima são completamente novos. A versão atualizada do Kaspersky Endpoint Security for Business contém uma série de características, tanto aprimoradas como recentemente adicionadas, que aumentam os níveis de proteção, simplificam a administração e dimensionabilidade,  auxiliam na redução dos custo de implementação e suporte. Para saber como isso funciona na prática e quais as vantagens que pode trazer para o seu negócio, visite a página do produto em nosso site oficial.

 



Ver mais ...