Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
DevSecOps: 7 fatores-chave para implementar segurança em DevOpsRoberto Velasco 23 junio, 2021 DevSecOps, também conhecido como SecDevOps, é uma filosofia de desenvolvimento de software que promove a adoção de segurança em todo o ciclo de vida de desenvolvimento de software (SDLC). DevSecOps vai além de uma ferramenta ou prática específica; favorecendo a automação da segurança, comunicação e escalabilidade. DevSecOps nasceu como uma evolução da metodologia DevOps. Sua principal motivação é automatizar a segurança para responder à aceleração dos ciclos de lançamento de software impulsionados pela adoção do DevOps. DevSecOps não apenas adiciona elementos de segurança aos ciclos de DevOps, mas, quando aplicado corretamente, torna a segurança uma parte integrante de todo o processo, do início ao fim. Como consequência, a equipe de segurança se envolve muito mais com o restante das equipes envolvidas no SDLC, incluindo Desenvolvimento e Operações. Isso elimina o atrito, pois a tensão natural entre velocidade e segurança é compartilhada por todas as equipes. Apesar, ou talvez por causa de sua ampla adoção, a metodologia DevSecOps recebe críticas por sua falta de especificidade ou orientação específica. Nesta postagem, queremos oferecer sete dicas diretamente aplicáveis que resolvem os problemas mais comuns que vemos em equipes que adotam DevSecOps. 1. Use as ferramentas IAST para evitar falsos positivos e ajuste SAST As ferramentas de teste de segurança de aplicativos (AST), como SAST e DAST, permitem que os desenvolvedores encontrem vulnerabilidades, sem serem especialistas em segurança. O problema é que, devido a abordagens desatualizadas e pouco sofisticadas, essas ferramentas não oferecem um nível ideal de precisão. Para evitar essa falta de precisão, recomendamos o uso de uma ferramenta de detecção mais precisa, como IAST (Interactive Application Security Testing). As ferramentas IAST não requerem «ajuste fino» ou revisões manuais, pois não geram falsos positivos. 2. Integre falhas de segurança em ferramentas de colaboração para melhorar a coordenação Integre o rastreador de bug que sua equipe está usando, por exemplo Jira, com ferramentas de segurança para que os desenvolvedores possam ver os bugs de segurança como tarefas comuns. O objetivo por trás dessa recomendação é que os desenvolvedores não se desviem do ambiente que normalmente usam. 3. Defina métricas e limites para garantir a qualidade se a cadência de implantação acelerar Da mesma forma que os erros de compilação paralisam a implantação, os erros de segurança também paralisam. Conhecidos como «controles de segurança«, esses pontos de verificação garantem que o código que atinge o CI / CD respeite os padrões de segurança. Crie pontos de verificação de segurança automáticos para atender aos objetivos de qualidade e paralise a construção se o número de vulnerabilidades exceder um limite. 4. Automatize a proteção contra erros de design para reduzir a verificação manual (teste de pentest) Para mitigar o gargalo da verificação manual desses erros, recomendamos automatizar a validação usando soluções e arquiteturas que são seguras desde o início. As equipes de Pentest são mais produtivas quando têm uma visão clara de onde atacar. 5. Adote relatórios contínuos para obter visibilidade sobre o histórico de segurança Os relatórios contínuos envolvem a geração de relatórios e métricas de segurança que rastreiam a evolução, o número e a gravidade das vulnerabilidades de cada versão. O objetivo é mitigar a falta de visibilidade do histórico de segurança à medida que novas versões do software são lançadas. É aconselhável usar ferramentas como Jenkins Reports ou Web Reports e melhorar os relatórios incluindo a evolução das falhas de segurança. 6. Integre a segurança do aplicativo para melhorar o suporte à nuvem A adoção de «segurança como código» versus a abordagens dependentes de hardware ou rede significa que os aplicativos permanecem seguros aonde quer que vão, sem a necessidade de alterações de configuração para acomodar uma nova implantação ou nova versão do aplicativo. 7. Garantir escalabilidade linear e custos acessíveis Certifique-se de que a infraestrutura de segurança de seu aplicativo não seja um gargalo de desempenho. Procure soluções de segurança que possam ser escalonadas de forma constante e linear ao longo do tempo. As sete recomendações que apresentamos neste artigo têm como objetivo principal capacitar os desenvolvedores para que possam criar código com segurança graças à automação da segurança. A Hdiv Security foi criada por e para desenvolvedores desde o seu início. As chaves descritas neste artigo, e até mesmo nosso DNA como empresa, sempre perseguiram a filosofia DevSecOps, mesmo antes de o termo existir. Para qualquer dúvida relacionada à automação de segurança em aplicações, não hesite em nos contatar. Boletim semanal de cibersegurança 12-18 junhoBoletim semanal de cibersegurança 19-25 junho
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...
Telefónica Tech Boletim semanal de Cibersegurança 3 – 9 dezembro Nono 0-day do ano no Chrome O Google lançou o Chrome 108.0.5359.94 para Mac e Linux, e o 108.0.5359.94/.95 para Windows, que corrige uma vulnerabilidade de 0-day, a nona detectada...
Telefónica Tech Boletim semanal de Cibersegurança 28 outubro – 4 novembro Uso de Raspberry Robin em cadeias complexas de infecção Pesquisadores da Microsoft relataram nos últimos dias novas descobertas sobre o malware Raspberry Robin. De acordo com sua análise, esse software...
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...