Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Você é cripto-ágil para responder rapidamente às mudanças nas ciberameaças?Gonzalo Álvarez Marañón 10 noviembre, 2020 Uma empresa é considerada ágil se for capaz de responder rapidamente às mudanças do mercado, adaptando-se para manter a estabilidade. Agora, sem criptografia não há segurança e sem segurança não há negócio. Portanto, em última análise, a agilidade de um negócio será condicionada por sua criptoagilidade. E o que uma empresa precisa para ser cripto-ágil? Poder adotar uma alternativa ao método de criptografia em uso quando se mostrar vulnerável, com impacto mínimo na infraestrutura da organização. Quanto mais rápido e automatizado for o processo de substituição de um algoritmo criptográfico (ou seus parâmetros), maior será a cripto-agilidade do sistema. Na criptografia, nenhum algoritmo é totalmente «seguro», na melhor das hipóteses é «aceitável» A definição de segurança em criptografia é contingente. Quando um algoritmo é considerado seguro, na realidade, o que se quer dizer é que atualmente não há risco de segurança conhecido quando usado de acordo com as diretrizes adequadas. A palavra-chave aqui é «atualmente», porque o que é considerado seguro hoje muito provavelmente deixará de ser amanhã , devido aos avanços na computação (computador quântico à vista?), Avanços na criptoanálise, avanços no hardware e avanços na matemática. Em outras palavras, um algoritmo é considerado seguro se for computacionalmente inviável quebrá-lo hoje. A descoberta de vulnerabilidades em criptos sistemas e a retirada de algoritmos afetados são inevitáveis com o tempo. É por isso que você precisa ser cripto-ágil: para ser capaz de atualizar os métodos de criptografia usados nos protocolos, sistemas e tecnologias que você usa assim que novas vulnerabilidades são descobertas… ou mesmo antes que elas apareçam! E você não precisa apenas pensar nas vulnerabilidades. No Mundo Real™, a criptografia deve estar em conformidade com os regulamentos e padrões, que em muitos casos exigirão mudanças nos algoritmos de criptografia e protocolos de comunicação. Como encontrar criptoagilidade O pior momento para avaliar sua criptografia é depois que um acordo ocorreu com o mundo inteiro correndo como uma galinha sem cabeça. Ser cripto-ágil implica controle total sobre os mecanismos e processos criptográficos de sua organização . Obter esse controle não é uma tarefa fácil porque, como o Gartner aponta em seu relatório Better Safe Than Sorry: Preparing for Crypto-Agility: Os algoritmos criptográficos quebram «repentinamente» , pelo menos do ponto de vista do usuário final. Apesar de haver crônicas de mortes anunciadas, como a do SHA-1, há organizações que nem sabem até que ocorra o incidente, quando é tarde demais para trocar o algoritmo por outro sem impacto na organização.A maioria das organizações não tem conhecimento de sua criptografia: que tipo de criptografia usam, quais aplicativos a usam ou como ela é usada.Os desenvolvedores geralmente permanecem cegos para os detalhes das bibliotecas de funções criptográficas, portanto, eles programam dependências criptográficas enquanto ignoram a flexibilidade das bibliotecas. Isso pode tornar a correção ou resposta difícil ou imprevisível no caso de um incidente.Os algoritmos de código aberto são geralmente considerados seguros porque qualquer pessoa pode auditar, mas as análises do seu aplicativo real são raras. Nesse contexto, toda organização deve se preparar para o pior. Como? De acordo com o Gartner, essa preparação envolve: Inclua a criptoagilidade desde o design no desenvolvimento de aplicativos ou no fluxo de trabalho de aquisição de aplicativos de terceiros .Todo o software criado internamente deve estar em conformidade com os padrões de segurança criptográficos aceitos pelo setor, como Suite B ou FIPS 140-3; ou com os regulamentos e padrões atuais, como o RGPD.É conveniente utilizar frameworks de desenvolvimento, como JCA ou .NET, que abstraem a criptografia, facilitando a substituição de alguns algoritmos por outros sem alterar o código. Da mesma forma, existem outras linguagens e bibliotecas que favorecem a reutilização e substituição rápida de código criptográfico, que deve ser priorizado em relação a alternativas menos flexíveis.Ao adquirir aplicativos de terceiros, certifique-se de que o provedor siga as diretrizes acima. Todo software e firmware deve incluir as mais recentes técnicas criptográficas e algoritmos considerados seguros.Aplicativos de inventário que usam criptografia e identificam e avaliam sua dependência de algoritmos. Preste atenção especial aos sistemas de gerenciamento de identidade e acesso, as infraestruturas de chave pública (PKI) em uso em sua organização e como as chaves são gerenciadas. Este trabalho tornará mais fácil para você avaliar o impacto de uma violação de criptografia e permitirá que você determine o risco para aplicativos específicos e priorize planos de resposta a incidentes.Inclua alternativas criptográficas e um procedimento de troca de algoritmo em seus planos de resposta a incidentes: por exemplo, a identificação e substituição de algoritmos, a extensão ou modificação de comprimentos de chave e a recertificação de alguns tipos de aplicativos. No caso de dispositivos de hardware, pergunte ao fabricante como eles lidam com as mudanças de chave e algoritmo. Esteja preparado se, em caso de comprometimento, você precisar descriptografar dados privados com uma chave ou algoritmo desatualizado para recriptografá-los com uma nova chave ou algoritmo. E não se esqueça de incluir dispositivos IoT em seu inventário, porque alguns vêm com chaves pré-carregadas e pouca flexibilidade criptográfica e são implantados em campo por muitos anos. Vulnerabilidades, regulamentações, computadores quânticos,… Mudanças criptográficas espreitam de todos os cantos. A aplicação dessas práticas recomendadas aumentará sua criptoagilidade para reagir rapidamente a ameaças cibernéticas. Abordagem da cibersegurança na Indústria 4.0: a era das máquinas conectadasZoomEye: expandindo o TheTHE com mais plugins
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...
Roberto Velasco DevSecOps: 7 fatores-chave para implementar segurança em DevOps DevSecOps, também conhecido como SecDevOps, é uma filosofia de desenvolvimento de software que promove a adoção de segurança em todo o ciclo de vida de desenvolvimento de software (SDLC)....
ElevenPaths Boletim semanal de cibersegurança 5-11 junho Boletim Mensal da Microsoft A Microsoft lançou seu boletim de segurança de junho que aborda 50 vulnerabilidades, incluindo falhas de execução remota de código (RCE), problemas de negação de serviço,...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Gonzalo Álvarez Marañón Recupere o controle de seus dados pessoais graças à identidade descentralizada no Blockchain Aposto que, quando você tinha 18 anos, em alguma ocasião eles lhe pediram sua carteira de identidade em uma boate ou na compra de bebidas alcoólicas para verificar se você era...
Sergio de los Santos E o presidente disse «tudo bem agora.» As novas propostas em cibersegurança da Casa Branca Joe Biden assinou uma Ordem Executiva para melhorar a segurança cibernética nacional e proteger com mais eficiência as redes do governo federal . O ataque à operadora de oleoduto Colonial Pipeline, notícia...