Category Archives: Business Strategy

Compreendendo as Vulnerabilidades de Software

gestaoriscos

Neste artigo vamos analisar de uma forma geral o que representa as vulnerabilidades para as organizações e para as pessoas, nomeadamente qual a origem e seu o seu impacto.

Uma vulnerabilidade, múltiplos vectores:

  • Rede Remota
  • Rede Local
  • Sistema local

Falhas com origem no código de aplicação devido a:

  • Falha de segurança
  • Erros funcionais

Onde estão essas aplicações:

  • Servidores
  • PCs, Portáteis, VMs
  • Dispositivos móveis
  • Impressoras, switch’s e router’s
  • Appliances domésticas/empresariais

 

Da vulnerabilidade à ameaça


  1. Um hacker identifica uma vulnerabilidade
  2. Desenvolve uma forma de utilizar a vulnerabilidade para manipular a aplicação, dando origem a um exploit
  3. O exploit é executado com sucesso
  4. O hacker faz a festa.

market

Ameaças múltiplas


  • Uma única vulnerabilidade pode ter diversos exploits
  • As defesas mais comuns protegem exploits, não vulnerabilidades

 

Gestão de Riscos


  • Conhecimento de vulnerabilidade e ameaças
  • Nem todas as vulnerabilidades representam risco idêntico.
  • Conhecimento de todos os equipamentos
  • Nem todos os equipamentos têm, ou precisam, do mesmo nível de segurança

 

Visão global de vulnerabilidade, factos

Em 2013:

  • 10 falhas zero-day foram descobertas nas 50 aplicações mais populares
  • 14 falhas zero-day foram descobertas no total na generalidade das aplicações
  • 13,073 vulnerabilidades foram descobertas em 2289 produtos vulneráveis
  • Aumento de 45% em vulnerabilidades (tendência 5 anos)
  • 79% das vulnerabilidades tiveram um patch disponível no dia em que foram divulgados.

Isto significa que é possível corrigir a maior parte das vulnerabilidades, e que as empresas e utilizadores finais têm fortes probabilidades de ter uma solução disponível para a origem do problema das suas falhas de segurança originadas nas vulnerabilidades do software.

Fonte: “Secunia Vulnerability Review 2014”

Novas e velhas ameaças


“Houve um aumento surpreendente de incidentes envolvendo o work Conficker, apesar de ter sido disponibilizado uma patch desde 2008.”

Fonte: “Information Security Breaches Survey 2013.” Technical Report. PwC

“Criando um código malicioso não é nenhuma ciência impossível: Em 2012, uma criança com 11 anos de idade desenvolveu um Trojan para roubar dados de login de jogadores online.”

Fonte: “AVG Community Powered Threat Report.” Q4 2012. AVG

Ao que estamos sujeitos


figure6

Fonte: Microsoft Security Intelligence Report volume 11 

É interessante analisar este gráfico que nos dá várias métricas e informação de análise, desde o momento em que é reportada a falha, até que é lançado o update. Devemos ainda considerar que que antes de ser reportada a falha pode já estar a ser explorada.

Mais curioso ainda é analisar a quantidade de ataques, sendo que há um pico de ataques no momento em que é lançada a atualização, surgindo no 1º mês seguintes uma maior intensidade dos ataques e no 2º mês após a falha ter sido detetada, dão-se ataques intensivos.

 

O que vulnerabilidades não resolvidas podem fazer


Departamento de Energia dos EUA

  • A exploração das vulnerabilidades dos seus sistemas de informação causaram um roubo de informação pessoal de mais de 104.000 individuos
  • Os atacantes neste caso foram capazes de utilizar exploits bem conhecidos e disponibilizados na internet, para ganhar acesso aos sistemas relevantes e retirar grande quantidade de dados
  • informação que pode afectar os interesses pessoais e financeiros de muitos individuos.

Custos de limpeza:quebras

  • um valor estimado de 1,6 milhões de dólares (monitorização de crédito e de trabalho), mais 2,1 milhões devido a perdas de produtividade.

Universidade da California, Berkeley

  • Milhões de tentativas de ataque registadas, numa base semanal.
  • O tempo entre o anúncio da vulnerabilidade e quando são verificados os primeiros ataques tornaram-se cada vez mais curtos. Falamos de dias, e por vezes horas.

Snapchat

  • Esta popular aplicação de troca de envio de fotos orientada principalmente ao mercado mais jovem, foi atingida por uma falha de segurança devido a uma vulnerabilidade.
  • Especificamente, a relutância da empresa Snapchat em resolver os problemas de segurança levou a que fossem roubados nomes e números de telefones de 4,6 milhões de utilizadores da aplicação.

Facebook

  • Cerca de 6 milhões de utilizadores foram afectados por uma vulnerabilidade de software, resultando na exposição de informação pessoal (ex: emails e números de telefone) durante cerca de 1 ano após o erro de software ter sido corrigido.
  • Adicionalmente, o Facebook detetou uma infeção causada por malware em portáteis de diversos funcionários em Fevereiro, levando a que houvesse ataques direcionados aos programadores que visitassem o site de desenvolvimento que tinha sido comprometido.

Fontes:
“Department of Energy’s July 2013 Cyber Security Breach.” Special Report: IG-0900. Energy.gov. Dezembro 2013
“Universities Face a Barrage of Cyberattacks.” The New York Times. Julho 2013
“Technologists scold Snapchat for poor security.” USA Today, Janeiro 2014

“Top 10 Security Breaches of 2013.” CRN, Dezembro 2013

 

Custos operacionais por incidente de segurança


figure62

  • Linha da frente (possui ferramentas e estratégias)
  • Bombeiros (age sobre necessidade e solicitação; medidas reactivas)
  • Líderes (um consultor de segurança, com medidas preventivas e monitorização)

 Fonte: “Defending Yesterday – The Global State of Information Security Survey 2014”, PWC, CIO magazine, CSO magazine, 2013

Investigação de vulnerabilidades


  • appsquoteInvestigação, descobrindo e coordenando a divulgação de vulnerabilidades ajuda a melhorar a segurança geral e performance quer para os negócios, quer para os utilizadores
  • As vulnerabilidades no software variam como elas podem expor máquinas e ambientes
  • Compreendendo os riscos relacionados com cada vulnerabilidade permite que sejam classificados de acordo com o nível de importância
  • O ponto anterior permite prioritizar o esforço de mitigação e de enfoque nas operações de segurança
  • Investigação é um elemento chave no tratamento e resposta das vulnerabilidades.

 

Gestão de vulnerabilidades


As brechas vão continuar a acontecer, como tal devemos considerar:

  1. Incluir segurança da informação como parte da estratégia do negócio
  2. Desenvolver políticas e obrigar a que essas políticas estejam alinhadas com a estratégia
  3. Focar em reduzir a área de ataque ou possibilidades de ataque
  4. Preparar para responder a falhas
  5. Monitorizar e reportar as actividades
  6. Estar informado e acompanhar sobre o panorama das vulnerabilidades e ameaças

 

Advertisements
Tagged , , , , , , , , ,

Estratégia Mobile nas Empresas

Hoje vou voltar a mencionar a importância do tema “Mobile”. Já o fiz anteriormente em dois artigos (Tendências Mobile para 2012 e Tendências para 2013) e volto a fazê-lo porque de fato estamos hoje a presenciar uma adesão massiva e agressiva, justificado pelos novos hábitos dos consumidores, pelo fácil acesso (menor custo) e pela panóplia de possibilidades que hoje um Smartphone oferece, criando em paralelo o sentimento de necessidade por parte do consumidor.

E de que crescimento falamos? Bom, falamos disto: “entre abril e junho foram vendidos em todo o mundo mais de 237,9 milhões de smartphones, um crescimento de 52,3% face a igual período de 2012 e o mais elevado dos últimos cinco trimestres.” (in tek.sapo.pt)

Por isto e porque a tendência de crescimento é para manter durante os próximos meses e provavelmente anos, as organizações têm de realmente agir rapidamente preocupando-se com uma resposta eficaz aos novos paradigmas e exigências, obrigando assim as empresas e instituições a definirem uma estratégia mobile.

E o que é isto de estratégia mobile? E de que paradigmas estamos a falar?

A estratégia mobile, ou móvel, de uma forma muito simples passa por definir normas, e criar mecanismos que permitam que um determinado utilizador de smartphone comunique com a organização por essa via, seja ele um funcionário da empresa, seja externo à organização (cliente ou parceiro).

Devemos definir políticas de utilização e de segurança para os nossos trabalhadores (BYOD – Bring Your Own Device), visto que há cada vez mais utilizadores e trabalhadores com Smartphones, podemos dotá-los de mecanismos para realizarem o seu trabalho a partir de qualquer lado. Este paradigma acaba por se focalizar mais na forma como os trabalhadores interagem internamente com a empresa e com os recursos que tem à sua disposição.

Por outro lado, temos um paradigma que é mais abrangente e que deve ser estrategicamente bem definido e delineado, orientado na forma como o negócio funciona e é visível para o exterior, no fundo a forma como permitimos e queremos que os clientes e parceiros comuniquem e interajam com a nossa organização.

Ok ok, chega de conversa…  por onde começar?

Bom, podemos começar pelo básico: o site da empresa! É surpreendente a quantidade de sites que são atualmente concebidos e não têm qualquer versão mobile disponibilizada, nem sequer são pensados para se ajustar à resolução dos diferentes equipamentos.

Mas eu já tenho site compatível com tablet’s, smartphones e…

Já é um bom começo mas é curioso ver a quantidade de sites que não oferece mais nada do que uma simples consulta de texto institucional, sem a possibilidade de compra, sem a possibilidade de pedir um contato ou ajuda, sem qualquer tipo de funcionalidade que me faça querer e precisar de visitar o site.

O meu site permite fazer compras online, ajustado para tablet, com uma pinta de invejar.

Isso é excelente e diria que hoje, é essencial mas… será que o processo de compra está facilitado? Já pensou no utilizador de Smartphone e tablet’s? Está disposto a dar tantos cliques/toques no ecrã e a escrever tanto nos teclados virtuais como quando está em frente ao PC? Certamente que não! Um utilizador mobile está habituado a dar um toque para acender o ecrã, a dar outro toque para iniciar um jogo, a dar um toque para ver uma notificação e a dar 2 toques para enviar um smiley para um amigo do outro lado do mundo.

O utilizador mobile é tipicamente um utilizador que quer sentir a experiência de utilização, sem sentir que está utilizar o aparelho. Faz sentido?

Ficariam surpreendidos, tal como eu fiquei, em saber o número de pessoas que abandonam um carrinho de compras durante um processo de checkout de uma loja virtual utilizando um tablet ou smartphone. Isto significa dinheiro, muito dinheiro!

Não é disto que gostamos? Um clique, e… está feito. É assim que gostamos das coisas: simples e práticas! E por ser disto que gostamos é por isto que o mobile trás novas exigências, novas formas de pensar e repensar o negócio.

A adoção massiva e muito rápida dos smartphones é uma realidade bem perceptível, dado o seu potencial impacto nas organizações, devemos pensar muito bem sobre a estratégia mobile que queremos, que pode passar por redefinir toda a estrutura empresarial ou partes que alteram processos da organização.

Ficaram entusiasmados? Então invistam 1h10m num video que incide essencialmente no Design/User Experience, mas que acaba por fazer um apanhado de muitas questões, números e conceitos que nos podem ajudar a desenhar uma estratégia mobile.

E umas infografias interessantes:
Mobile Learning That Works | Changing the In-store experience | Mobile Business Predictions

Tagged , , , , , , , , , , ,
%d bloggers like this: