CIS Control no Contexto de Compliance e Melhoria Contínua

 

Por Thiago Alvarenga

CIS Control vs ITIL

• Governança e Gestão de Riscos: O CIS Control ajuda a estabelecer um framework robusto de governança de TI, integrando práticas de segurança com a gestão de riscos empresariais. Isso é crucial para o compliance com a LGPD, pois a lei exige uma abordagem proativa e bem documentada para a gestão de dados pessoais.

• Melhoria Contínua: O framework incentiva a revisão e atualização contínua das práticas de segurança e gestão de TI. Isso se alinha com o conceito de melhoria contínua presente no ITIL, mas com um foco mais forte em segurança e conformidade.

• Alinhamento Estratégico: Ao contrário do ITIL, que é mais focado em processos e serviços de TI, o CIS Control aborda a segurança e a gestão de TI de uma perspectiva mais estratégica. Isso inclui a identificação de ativos críticos, a avaliação de riscos e a implementação de controles que protegem não apenas a infraestrutura de TI, mas também os dados e a privacidade dos usuários.

• Flexibilidade e Adaptação: O CIS Control é projetado para ser adaptável a diferentes tipos de organizações, o que o torna adequado para empresas que precisam de um framework que possa ser personalizado para atender às suas necessidades específicas, incluindo as exigências da LGPD.

• Foco em Controles Práticos: Enquanto o ITIL fornece um guia para a gestão de serviços, o CIS Control oferece um conjunto de controles práticos e acionáveis que podem ser implementados para melhorar imediatamente a segurança e a conformidade.

Em resumo, para as empresas que buscam não apenas melhorar a gestão de serviços de TI, mas também fortalecer a segurança, a conformidade com a LGPD e implementar uma abordagem de gestão de riscos mais integrada. Ele oferece uma estrutura que abrange tanto a segurança da informação quanto a governança de TI, apoiando a melhoria contínua e o alinhamento estratégico com os objetivos de negócios da empresa.

Preciso criar usuários nominais?

 Por Thiago Alvarenga

Em todos os casos, é fundamental que as organizações mantenham um registro detalhado de atividades de acesso e alterações de configuração, e que as contas de usuário sejam gerenciadas de acordo com o princípio do menor privilégio, garantindo que os usuários tenham apenas as permissões necessárias para realizar suas tarefas. Além disso, as organizações devem realizar auditorias regulares de contas de usuário e acessos para detectar e remediar qualquer uso indevido ou não autorizado.

Recomendações Gerais para Active Directory e Acesso de Fornecedores:

• Active Directory: Use contas de usuário individuais para cada funcionário. Evite contas genéricas ou compartilhadas. Implemente políticas de grupo para gerenciar permissões e auditoria.
• Acesso de Fornecedores: Fornecedores externos devem ter contas separadas, com acesso restrito apenas aos recursos necessários. Deve haver um processo para monitorar, revisar e revogar esse acesso conforme necessário.

Dito isto, a resposta é sim, as diretrizes de segurança de várias frameworks e padrões de segurança, incluindo NIST, CIS Controls, ISO/IEC 27001 e as práticas recomendadas para conformidade com a LGPD (Lei Geral de Proteção de Dados do Brasil), enfatizam a importância de usar contas de usuário nominais (individualizadas) para melhorar a responsabilidade e a rastreabilidade das ações realizadas nos sistemas de informação. Aqui estão algumas recomendações gerais baseadas nesses padrões:

NIST (National Institute of Standards and Technology):

• NIST SP 800-53: Este padrão recomenda o uso de identificação e autenticação únicas para cada usuário para garantir a rastreabilidade das ações até um indivíduo específico.

CIS Controls (Center for Internet Security Controls):

• CIS Control 16 (Account Monitoring and Control): Aconselha a implementação de uma abordagem de menor privilégio e o uso de contas de usuário únicas, evitando o compartilhamento de credenciais.

ISO/IEC 27001:

• Controle A.9.2.2 (Gestão de Acesso do Usuário): Requer a atribuição de acesso a usuários com base em uma política de controle de acesso e a necessidade de rastrear as operações de usuários individuais.
• Controle A.9.2.3 (Gerenciamento de Privilégios): Enfatiza a importância de restringir privilégios e associá-los a contas individuais.

LGPD (Lei Geral de Proteção de Dados):

• Embora a LGPD não especifique práticas técnicas de segurança da informação, ela exige que as organizações implementem medidas técnicas e administrativas adequadas para proteger os dados pessoais. O uso de contas nominais ajuda a garantir que apenas usuários autorizados tenham acesso a dados pessoais e que esse acesso possa ser monitorado e auditado.

Em ambientes de segurança da informação, exceções às práticas recomendadas devem ser cuidadosamente consideradas, documentadas e aprovadas por meio de um processo formal de gestão de exceções. Isso geralmente envolve a avaliação de riscos, a implementação de controles compensatórios e a revisão periódica da necessidade da exceção. Aqui estão algumas considerações para lidar com exceções como usuários coringas e contas de fornecedores não nominais:

Usuários Coringas:

• Avaliação de Risco: Determine o risco associado ao uso de contas coringas e se ele pode ser mitigado.
• Controles Compensatórios: Implemente medidas adicionais de segurança, como monitoramento intensivo e alertas para atividades nessas contas.
• Documentação: Documente a justificativa para a exceção e obtenha aprovação da gestão.
• Revisão Periódica: Estabeleça um cronograma para revisar a necessidade da conta coringa e se os controles compensatórios estão funcionando conforme esperado.

Contas de Fornecedores Não Nominais:

• Avaliação de Risco: Avalie os riscos de segurança e privacidade associados ao uso de contas genéricas para fornecedores.
• Acordos de Nível de Serviço (SLAs): Inclua cláusulas nos SLAs que definam responsabilidades de segurança e requisitos de auditoria.
• Controles Compensatórios: Use controles como VPNs com autenticação multifator, restrições de horário de acesso e segmentação de rede.
• Auditoria e Monitoramento: Implemente soluções de monitoramento de acesso e auditoria para acompanhar as atividades das contas de fornecedores.

Processo de Gestão de Exceções:

• Solicitação de Exceção: As exceções devem ser formalmente solicitadas e devem incluir uma análise detalhada do impacto.
• Aprovação: As exceções devem ser aprovadas por um comitê de segurança ou por um responsável com autoridade adequada.
• Revisão e Expiração: As exceções devem ter uma data de expiração e ser revisadas regularmente para determinar se ainda são necessárias.

Considerações Legais e de Conformidade:

• LGPD e Outras Regulamentações: Verifique se as exceções estão em conformidade com as leis de proteção de dados e outras regulamentações aplicáveis.
• Transparência: Seja transparente sobre as exceções com as partes interessadas, incluindo funcionários, fornecedores e, quando apropriado, clientes.

Em resumo, exceções às práticas de segurança recomendadas são às vezes necessárias, mas devem ser gerenciadas com cuidado para evitar a criação de vulnerabilidades desnecessárias. A gestão de exceções deve ser parte integrante da governança de segurança da informação da organização.

Previnir Fraudes Bancárias e Estelionatos

Por Thiago Alvarenga

Valinhos/SP

Prevenir fraudes bancárias e estelionato, especialmente no meio digital, requer uma abordagem proativa que envolve conscientização, medidas de segurança e vigilância constante. Usar o método de questionamento detalhado (o quê, por que, quem, onde, quando, como, qual o prejuízo) pode ajudar a entender e prevenir esses tipos de crimes. 

Aqui está como você pode aplicar este método:

1. O quê?
• Identifique o tipo de fraude ou estelionato que está ocorrendo ou pode ocorrer. Isso inclui phishing (e-mails fraudulentos que tentam obter informações pessoais), vishing (fraude por telefone), smishing (fraude por SMS), roubo de identidade, fraudes com cartão de crédito, etc.

 

2. Por que?
• Compreenda as razões pelas quais você ou sua empresa podem ser alvos. Os criminosos estão atrás de dinheiro, informações pessoais, detalhes da conta bancária, acesso ao seu sistema de computador? Reconhecer o valor do que você está protegendo ajuda a entender por que os fraudadores podem estar mirando em você.

 

3. Quem?
• Embora possa ser difícil identificar os fraudadores, é importante estar ciente de que qualquer pessoa pode ser um criminoso, desde estranhos até pessoas dentro de sua organização. Mantenha-se informado sobre os métodos comuns que os fraudadores usam e seja cético em relação a comunicações não solicitadas.

 

4. Onde?
• Esteja ciente de onde a fraude está ocorrendo. É online, via e-mail, sites fraudulentos, redes sociais, telefonemas, mensagens de texto? Conhecer os "locais" comuns de fraude pode ajudá-lo a evitar armadilhas.

 

5. Quando?
• As fraudes podem ocorrer a qualquer momento, mas podem haver picos durante certos períodos, como feriados, períodos de declaração de impostos, ou durante crises globais (como uma pandemia), quando as pessoas podem estar mais vulneráveis.

 

6. Como?
• Eduque-se sobre como as fraudes são realizadas. Como os fraudadores estão tentando enganá-lo? Eles estão usando e-mails persuasivos pedindo que você clique em links, estão imitando instituições bancárias ou autoridades, oferecendo oportunidades de investimento "demais para ser verdade"?

 

7. Qual o prejuízo?
• Considere as consequências de cair em uma fraude. Isso pode variar desde a perda financeira, roubo de identidade, danos à reputação, custos legais e até mesmo estresse emocional e psicológico.

 

Prevenção e Estratégias de Mitigação:

1. Educação e Conscientização:
• Eduque a si mesmo, sua família e funcionários (se aplicável) sobre os tipos de fraudes e como reconhecê-las. Isso inclui nunca compartilhar informações pessoais ou financeiras em resposta a e-mails não solicitados, mensagens ou telefonemas.

 

2. Medidas de Segurança Robustas:
• Use software antivírus e firewalls, mantenha seus sistemas operacionais e aplicativos atualizados, e aplique medidas de segurança fortes, como autenticação de dois fatores.

 

3. Monitoramento Regular:
• Monitore regularmente suas contas bancárias e relatórios de crédito para atividades suspeitas. Configure alertas de transação, se disponíveis.

 

4. Procedimentos de Verificação:
• Estabeleça processos para verificar a autenticidade de solicitações de transferência de dinheiro, alterações de detalhes de pagamento, ou solicitações de informações sensíveis.

 

5. Plano de Resposta a Incidentes:
• Tenha um plano em caso de ser vítima de fraude. Isso inclui saber como reportar a fraude aos bancos, autoridades, e agências de crédito, e como recuperar sua identidade e segurança financeira.

Lembrando, a prevenção é sempre a primeira linha de defesa contra fraudes e estelionato, seja no ambiente digital ou físico.

 

Gerenciar Conhecimento - Cobit 5

O controle do COBIT que aborda a necessidade de distribuir o conhecimento da área e não concentrá-lo em uma única pessoa está relacionado ao princípio de segregação de funções e à gestão do conhecimento. Especificamente, esse controle pode ser encontrado no domínio "Build, Acquire and Implement" (BAI) do COBIT 5 ou no domínio "Align, Plan and Organize" (APO) do COBIT 2019.

No COBIT 5, o controle relacionado à gestão do conhecimento é o BAI08 - Gerenciar Conhecimento, que foca na disponibilidade do conhecimento necessário para apoiar a realização dos processos de negócios, sem depender de indivíduos específicos.

No COBIT 2019, o controle relacionado pode ser o APO03 - Gerenciar Arquitetura Empresarial, que inclui a gestão do conhecimento como parte da arquitetura da organização, ou o APO07 - Gerenciar Recursos Humanos, que aborda a necessidade de distribuir habilidades e conhecimentos entre a equipe.

Esses controles ajudam a garantir que o conhecimento crítico não seja mantido apenas com uma pessoa, reduzindo o risco de dependência de indivíduos-chave e promovendo a continuidade e eficácia dos processos de negócios.

  

Capture ATP request sent

 Por Thiago Alvarenga,

 

Você está analizando alguns alertas do SonicWall e encontrou o seguinte alerta: 

Capture ATP request sent

Ao pesquisar na internet não é encontrada muitas informações sobre o assunto, por este motivo realizei um estudo básico de como funciona este recurso e coloquei aqui para que seja consultado e melhor compreendido. 

O alerta "Capture ATP request sent" do SonicWall é uma notificação que indica que um arquivo foi enviado para a análise do Capture Advanced Threat Protection (ATP).

O Capture ATP é um serviço de segurança de rede que usa tecnologia de sandbox para inspecionar arquivos suspeitos e proteger contra ameaças de dia zero. Quando um arquivo é identificado como suspeito pelo SonicWall, ele é enviado para o Capture ATP para análise adicional.

Portanto, esse alerta indica que um arquivo suspeito foi identificado e enviado para análise. Você deve receber um alerta de acompanhamento com os resultados da análise. Se o arquivo for considerado malicioso, o SonicWall tomará as medidas necessárias para bloquear a ameaça.

A sandbox do SonicWall, parte do SonicWall Capture Advanced Threat Protection (ATP), é uma solução de segurança projetada para detectar e impedir ameaças de zero-day e malware desconhecido. Ela faz isso através da execução de arquivos suspeitos em um ambiente isolado (a "sandbox") onde suas ações e comportamentos podem ser observados sem risco para a rede ou sistemas reais.

Tecnicamente, a sandbox do SonicWall opera da seguinte maneira:

1. Detecção de Arquivos Suspeitos: Quando um arquivo é recebido, o SonicWall primeiro verifica se ele é conhecido como seguro ou malicioso. Se for desconhecido, ele é enviado para a sandbox.
2. Análise na Sandbox: O arquivo é executado em um ambiente isolado onde seu comportamento é monitorado. Isso inclui a observação de qualquer tentativa de modificar arquivos, alterar configurações do sistema ou se comunicar com servidores externos.
3. Análise de Comportamento: O SonicWall utiliza várias técnicas para analisar o comportamento do arquivo, incluindo a análise estática (examinando o código do arquivo sem executá-lo) e a análise dinâmica (observando o comportamento do arquivo quando é executado).
4. Relatório e Ação: Se o arquivo for considerado malicioso, um relatório é gerado e ações são tomadas para prevenir a ameaça. Isso pode incluir a quarentena do arquivo, o bloqueio de sua execução ou a notificação ao administrador.

Aqui estão três casos de uso da sandbox do SonicWall:

1. Prevenção de Ransomware: Em um estudo de caso, uma organização estava enfrentando uma infecção por ransomware. O SonicWall Capture ATP foi capaz de identificar e bloquear o ransomware antes que ele pudesse infectar a rede.
2. Proteção contra Ameaças de Zero-Day: Em outro caso, uma empresa estava sendo alvo de um ataque de zero-day. O SonicWall Capture ATP conseguiu detectar a ameaça desconhecida e prevenir a infecção.
3. Defesa contra Malware Avançado: Uma terceira organização estava lutando contra um malware avançado que estava evitando a detecção. O SonicWall Capture ATP foi capaz de identificar o comportamento malicioso e bloquear o malware.

A análise de alertas de sandbox é crucial, especialmente quando um arquivo é grande demais para ser lido em uma sandbox. Isso ocorre porque arquivos grandes podem conter segmentos de código malicioso que são difíceis de detectar sem uma análise completa. Se um arquivo grande não puder ser totalmente analisado, ele pode representar um risco significativo, pois partes do arquivo podem conter malware ou outras ameaças. Portanto, é importante ter soluções de segurança robustas que possam lidar com arquivos de todos os tamanhos e fornecer proteção abrangente contra ameaças.

Para habilitar o recurso Capture ATP em um appliance SonicWall, você precisa ter as licenças apropriadas. Aqui estão os detalhes:

1. Licença do SonicWall Capture ATP: Esta é a licença principal necessária para habilitar o serviço Capture ATP. Ela permite que o appliance SonicWall envie arquivos suspeitos para a sandbox do Capture ATP para análise.
2. Licença de Serviços de Segurança: Além da licença do Capture ATP, você também pode precisar de licenças para outros serviços de segurança que trabalham em conjunto com o Capture ATP. Isso pode incluir serviços como prevenção de intrusões, antivírus, antispyware e filtragem de conteúdo.
3. Licença de Suporte: Uma licença de suporte também pode ser necessária para receber atualizações e suporte técnico para o appliance SonicWall e seus serviços de segurança.

Essas licenças são normalmente adquiridas através do portal MySonicWall, onde você pode gerenciar todas as suas licenças SonicWall. Depois de adquirir as licenças, você pode ativá-las no appliance SonicWall através da interface de gerenciamento do SonicOS.

É importante notar que os requisitos de licenciamento podem variar dependendo do modelo específico do appliance SonicWall e dos recursos que você deseja habilitar. Portanto, é sempre uma boa ideia verificar os requisitos de licenciamento específicos para o seu appliance e configuração.

Aqui estão alguns links onde você pode encontrar informações sobre o licenciamento e o ciclo de vida de cada appliance SonicWall:

1. Tabelas do Ciclo de Vida do Produto SonicWall: Este link fornece informações sobre o suporte e o fim da vida útil para os produtos SonicWall atuais.
2. Entendendo o Ciclo de Vida do Produto SonicWall: Este link descreve as fases durante as quais os produtos SonicWall são elegíveis para suporte ao produto e downloads de novas versões.
3. Requisitos de Registro e Licenciamento - SonicWall: Este link fornece informações sobre como registrar e licenciar seus appliances SonicWall.
4. Visão Geral do Sistema > Licenças - SonicWall: Este link fornece uma visão geral das licenças do sistema SonicWall.
5. Guia de Início Rápido do Appliance de Segurança Capture - SonicWall: Este link fornece um guia sobre como registrar e licenciar o seu Appliance de Segurança Capture SonicWall.

Esses links devem fornecer as informações necessárias sobre o licenciamento e o ciclo de vida dos appliances SonicWall.

Mini tutorial do Git - Github

 Por Thiago Alvarenga.

1. RECOMENDAÇÕES INICIAIS

1. Verificar o status do Git frequentemente: O comando git status é seu amigo. Ele pode lhe dizer quais arquivos foram modificados, quais estão prontos para serem commitados, e quais não estão sendo rastreados pelo Git. Use-o frequentemente para verificar o estado do seu repositório.

2. Escrever mensagens de commit claras: As mensagens de commit são uma parte importante do controle de versão. Elas permitem que você (e qualquer outra pessoa que esteja trabalhando no projeto) saiba o que foi alterado em cada commit. Tente fazer com que suas mensagens de commit sejam descritivas e significativas.

3. Entender o que é o 'origin': No Git, 'origin' é apenas um nome padrão que a maioria das pessoas usa para se referir ao repositório remoto principal de onde o código foi clonado. Não é uma palavra-chave especial no Git, apenas uma convenção. Você pode nomear seu repositório remoto como quiser, mas 'origin' é comumente usado e amplamente entendido.

4. Entender o que é a 'branch': No Git, uma 'branch' (ramo) é uma forma de isolar seu trabalho de diferentes características ou partes do projeto. 'Master' ou 'main' é geralmente a branch principal onde o código estável e totalmente testado é mantido.

5. Lidar com erros: O Git pode ser complicado às vezes, e você provavelmente encontrará erros. Aprenda a ler as mensagens de erro e não tenha medo de usar o Google para encontrar soluções. A comunidade Git é grande e há muitos recursos disponíveis para ajudá-lo.

6. Praticar: Como qualquer outra habilidade, a melhor maneira de aprender Git é praticando. Tente usar o Git em seus projetos pessoais ou contribuir para projetos de código aberto para ganhar experiência.

2. GUIA

Passo 1 

Entrar dentro da pasta onde os arquivos serão enviados.

Passo 2 

Usar o comando a seguir: 

comando #: git init

Passo 3 

É necessário indicar os arquivos que serão enviados para o repositório online do git. Usa-se o comando abaixo:

comando #: git add .

O ponto no final indica serão enviados todos os arquivos.

Passo 4

Salvo as alterações realizando um commit

comando #: git commit -m "Comentário pertinente às ações do que está sendo feito"

git remote add <nome do seu repositorio> "site" que fica assim:

comando #: git remote set-url origin git@github.com:slilikap/avaetec.git

Passo 5

Enviar de fato os arquivos para o git em seu repositório online. 

git push origin avaetecs