A inteligência de ameaças é necessária?

threat_research.jpg*Por Derek Manky
02/05/2018 - O compartilhamento de informações é um dos elementos mais importantes de qualquer estratégia de segurança. A possibilidade de comparar e analisar o dispositivo ou a rede que você está tentando proteger levando-se em conta as ameaças atualmente ativas é um recurso inestimável para implementar os recursos e as medidas apropriados para eliminar o alvo.

A meta é ir além do bloqueio de um ataque antes de atingir a rede e impedir que chegue ao objetivo final. Isso significa que sua estratégia de segurança também deve incluir a visualização e a interrupção de um ataque em qualquer momento da estrutura do ataque, desde a exploração inicial do sistema, passando pela penetração na rede, até a extração final dos dados. A inteligência também deve fornecer informações e contexto sobre as metodologias de ataque, como as ferramentas usadas para encobrir uma invasão, como um ataque se esconde no tráfego da rede ou evita a detecção, os tipos de dados que estão sendo roubados ou malware implementado e como um ataque se comunica com seu controlador. Por fim, a inteligência de ameaças precisa ser utilizada para responder a um ataque, seja para fornecer análise de investigações para uma recuperação completa ou para atribuir e processar os invasores.

Tipos de inteligência de ameaça

Para usar este tipo de inteligência, as organizações devem acessar várias fontes de inteligência de ameaças, que incluem:

1. Inteligência viabilizada compartilhada pelos fabricantes: Este é o tipo mais comum de inteligência de ameaças, na maioria das vezes obtida nas atualizações de segurança periódicas dos fabricantes, geralmente na forma de assinatura que pode detectar uma ameaça conhecida. Por exemplo, o Fortinet FortiGuard fornece análise e detecção de inteligência de ameaças para ficar à frente do cenário de ataque em rápida expansão.

2. Inteligência coletada de dispositivos e sistemas locais: Estabelecer uma linha básica do que seria o comportamento normal da rede permite determinar se alguma parte da rede está se comportando de maneira inadequada. Picos de dados, um dispositivo tentando entrar em contato com dispositivos com os quais não se comunica normalmente, aplicativos desconhecidos ou não reconhecidos em execução na rede ou dados coletados e armazenados em um local improvável são formas de inteligência local que podem ser usadas para identificar um ataque e quais dispositivos foram afetados.

3. Inteligência coletada de dispositivos e sistemas distribuídos: Esse tipo de inteligência pode ser coletado de outras partes da rede. Com a expansão das redes, novas oportunidades são criadas para a infiltração de ameaças na rede. Porém, como ambientes de rede diferentes, como redes virtuais ou ambientes de nuvem pública, geralmente executam ferramentas de segurança e rede separadas e geralmente isoladas, é essencial configurar um processo para a coleta centralizada e a correlação desses diferentes segmentos de inteligência.

4. Inteligência coletada de feeds de ameaças: A assinatura de feeds de ameaças públicos ou comerciais permite que as organizações aprimorem os dados coletados de seu próprio ambiente com informações em tempo real recebidas de uma atividade regional ou global. Muitos desses feeds podem fornecer inteligência específica desenvolvida para uma infraestrutura de segurança em particular. O Threat Intelligence Service (TIS) da Fortinet, por exemplo, adiciona informações de segurança personalizadas no Security Fabric, que fornece informações sobre o atual cenário global de ameaças e conecta essa inteligência ao ambiente de segurança específico de uma organização para determinar melhor como priorizar os recursos de segurança para enfrentar essas ameaças.

5. Inteligência compartilhada entre organizações do setor: Existem vários grupos que compartilham inteligência de ameaças, incluindo os ISACs (Centros de Compartilhamento e Análise de Informações) e os ISAOs (Organizações de Compartilhamento e Análise de Informações), que compartilham inteligência de ameaças entre organizações do mesmo setor, mercado vertical ou região geográfica. Essa inteligência é muito útil para analisar tendências e ameaças que afetam organizações do mesmo setor e que podem afetar a sua organização também.

6. Transferência de inteligência: Para que a inteligência de segurança seja eficaz, as organizações precisam de ferramentas que operem com os protocolos STIX e TAXII, que são a parte central do fornecimento desses feeds. O protocolo STIX pode ser usado com feeds brutos e personalizados e o protocolo TAXII atua como a camada de transporte.

7. Inteligência compartilhada entre fornecedores de soluções de segurança: O público nunca vê os compartilhamentos mais importantes de inteligência de ameaças. Como membro fundador da Cyber Threat Alliance (CTA), a Fortinet e outras organizações compartilham sua inteligência, seu conhecimento humano e suas estratégias para aumentar o nível de segurança. Embora não pareça intuitivo, esse esforço cooperativo é um testemunho da importância de compartilhar inteligência de ameaças. Essas organizações entendem que a oportunidade de reduzir o número de ameaças que colocam todos em risco é mais valiosa do que qualquer vantagem de manter esses dados somente para uso próprio.

A adoção de um processo eficaz de coleta e compartilhamento de inteligência de ameaças é um componente essencial de uma estratégia de cibersegurança; é tão importante quanto o firewall que você instalou na borda da rede ou a solução de segurança de dispositivos de usuários que você instalou nos computadores da sua empresa. Embora a inteligência seja importante, assim como o compartilhamento de ameaças, o acesso à inteligência viabilizada em tempo real ainda é essencial, aumentando o nível da inteligência de ameaças dessa maneira e compreendendo as ameaças tanto da sua rede distribuída quanto das fontes e pontos de vista de inteligência global. Porque compartilhar sua própria inteligência de ameaças com os outros aumenta a segurança de todos.

*Por Derek Manky é estrategista de segurança global da Fortinet

Comentário (0) Hits: 8663

PGR defende que ICMS sobre software é legal

contas.jpgLuís Osvaldo Grossmann, Convergência Digital
26/03/2018 - A Procuradoria Geral da República alinhou-se aos estados e defende como legal e constitucional a cobrança de ICMS na venda de programas de computador, inclusive as realizadas "por meio de transferência eletrônica de dados". A manifestação se deu em uma das três ações diretas de inconstitucionalidade, no caso contra Minas Gerais, que abordam o ICMS sobre o software no Supremo Tribunal Federal.

Para a procuradora Raquel Dodge, "se o software é posto para venda no comércio (seja por meio físico ou digital), incide ICMS. Se for desenvolvido por encomenda do adquirente, incide o ISS. A legislação mineira questionada, ao tratar de ICMS em operações com software não afasta essa conclusão".

No processo, a Confederação Nacional de Serviços alega que ao "exigir o ICMS sobre operações com software, sejam as realizadas por meio de transferência eletrônica de dados ou não, o estado de Minas Gerais, além de incorrer em nítida bitributação, criou nova hipótese de incidência do imposto".

O governo mineiro rebate e defende a constitucionalidade da incidência do ICMS sobre o "software de prateleira", seja por meio físico ou por transferência digital. A PGR replicou o mesmo argumento. "Operações envolvendo aquisição de softwares disponibilizados a consumidores em geral (por meio físico ou por transferência eletrônica de dados) se faz por ICMS e não por ISS. Logo, não há invasão de competência municipal por parte do estado de Minas Gerais. É, por conseguinte, infundada a alegação de bitributação do mesmo fato gerador por ISS e ICMS".

Comentário (0) Hits: 7824

ASSESPRO-SP: ”novo ICMS" sobre software é negativo

contas.jpgPor redação
28/02/2018 - A partir de abril de 2018, o governo de São Paulo pretende começar a cobrar ICMS sobre softwares produzidos por empresas do estado. A medida, que é decorrência de um decreto de inciativa do governador, promulgado sem a participação do legislativo estadual, poderá entrar em vigor, caso a proposta não seja revertida junto ao STF (Supremo Tribunal Federal). A ASSESPRO-SP (Associação Das Empresas Brasileiras de Tecnologia da Informação – regional São Paulo) tem se mobilizado juntamente com outras associações do setor para promoverem uma ação coletiva para apoiar no STF as duas ADIN’s (Ação Direta de Inconstitucionalidade), que a Confederação Nacional de Serviços (CNS) já está patrocinando junto ao Supremo contra a cobrança do ICMS sobre a comercialização de software.

A ASSESPRO-SP e das demais empresas unidas pela causa têm se mobilizado para provar que a cobrança do chamado “novo ICMS” sobre o software é inconstitucional, já que seu vigor acarretaria em uma bitributação, uma vez que a arrecadação executada sobre a produção de software é conduzida pelo ISS (imposto sobre serviços).

As pricipal alegaçação é a de que as empresas que pagam o ISS (imposto municipal) não devem recolher ICMS (tributo estadual). Com ambos impostos incidindo sobre o mesmo fato gerador, a bitributação é inconstitucional”, comenta Jeovani Ferreira Salomão, presidente da ASSESPRO NACIONAL.

Inconstitucionalidade

De acordo com o advogado Adriano Mendes, especializado em Direito Digital, Tecnologia e Empresarial, desde o ano passado o governo do estado de São Paulo começou a ressuscitar teses jurídicas e argumentos de que podem existir diferenças entre os programas de computador que são vendidos em larga escala e os que são feitos sob encomenda ou que necessitam de instalação e customização para o seu correto funcionamento. Embora em seu discurso, o foco do governo de São Paulo seja os aplicativos que estão disponíveis para download nas plataformas da Google Play e Apple Store, não é possível admitir mais de um imposto incidindo sobre o mesmo fato gerador.

Segundo Mendes, até 2.004 havia muita discussão jurídica se alguns tipos de software, chamados de “prateleira”, deveriam pagar ICMS ou ISS. Toda essa discussão caiu por terra com a edição da Lei Complementar 116, que está no mesmo nível da Constituição Federal.

De acordo com o adbogado, a única forma das empresas de software passarem a pagar ICMS por suas vendas é através da modificação da Lei Complementar 116/2004, que inclui expressamente que o licenciamento, cessão de direitos e outras atividades de TI são sempre classificadas como serviços e não mercadorias. “Enquanto a Lei Complementar não for modificada, as empresas de software continuam obrigadas às declarações para a prefeitura e pagamento do ISS. A cobrança adicional de outro imposto pelo mesmo fato gerador é considerada uma bitributação, proibida pelas nossas leis”, afirma Mendes.

Consequências para o setor

“Infelizmente, pelo que temos acompanhado, o governo de São Paulo pretende mesmo iniciar a cobrança, mesmo sem o correto amparo legal. Isto deve gerar uma enxurrada de ações judiciais aonde as empresas terão que depositar os valores em juízo para que seja analisado para qual ente e qual imposto deve ser pago”, explica o advogado Adriano Mendes.

Outra consequência possível é que o Estado pode começar a gerar fiscalizações e autuações, incluindo empresas de software no CADIN (Cadastro Informativo de créditos não quitados) e iniciando execuções fiscais que deverão ser defendidas por entender – de forma errada – que os impostos que criou não foram recolhidos.

“Entretanto, nenhuma empresa deve pagar o ICMS sobre o licenciamento de programas de computador para que não sofra autuações das respectivas prefeituras. A recomendação é que não se deve deixar de pagar o ISS. As empresas deverão verificar se as ações das associações e entidades de classe já propostas também servem para lhes proteger ou se será necessário entrar com algum pedido ou ação individual”, explica Mendes.


Comentário (0) Hits: 3362

Palo Alto Networks lança solução de segurança

magnifier_2.jpg29/01/2018 - A Palo Alto Networks, fornecedora de segurança da próxima geração, anuncia o Magnifier, uma aplicação baseada em nuvem, como serviço por assinatura, com recursos comportamentais analíticos fornecidos pelo Palo Alto Networks Application Framework , que permite às organizações identificar e prevenir ameaças rapidamente.

Como parte da Palo Alto Networks Next-Generation Security Platform, o Magnifier aplica recursos de machine learning para redes, endpoints e dados na nuvem, detectando de forma precisa e prevenindo ataques, abusos internos e comprometimento de endpoints na rede.

Invasores que acessam as redes corporativas podem roubar, modificar ou destruir dados sensíveis enquanto atuam como usuários legítimos. Frequentemente, eles também podem se infiltrar nas organizações e acessar as redes por meses e até anos, sem serem detectados. Além disso, o volume de alertas que os sistemas de gerenciamento legados produzem e a urgência de atuar com produtos em múltiplos pontos da rede para resolver os problemas de segurança criam sérios desafios para as equipes de cibersegurança, que tentam combater e atuar manualmente com todo esse cenário complexo de ataques e invasões.

Segundo relatório publicado pelo instituto de pesquisas Forrester em dezembro de 2017, "Five Steps to a Zero Trust Network," dos analistas Stephanie Balaouras, Chase Cunningham e Peter Cerrato, "as operações de segurança feitas manualmente retardam as respostas aos ataques e a detecção de brechas, deixando dados e sistemas vulneráveis e dando aos invasores tempo extra pra extrair mais dados e causar sérios danos nas redes".

O Magnifier é a primeira solução que aplica recursos e comportamentos analíticos baseados em nuvem, que identificam e previnem automaticamente os ataques às redes. Integrado à plataforma Next-Generation Security Platform e ao Palo Alto Networks Logging Service, ele garante recursos altamente precisos de detecção que são totalmente escaláveis, ágeis e baseados em machine learning na nuvem.

"A inclusão do Magnifier na Next-Generation Security Platform da Palo Alto oferece uma abordagem efetiva e escalável para comportamentos analíticos e identificação de ameaças. A partir de agora, podemos encontrar ciberameaças que não eram detectadas antes e fazer a prevenção correta antes que elas impactem os negócios". - John Woods, vice-presidente, Information Security, PDX Inc.

"O Magnifier, desenvolvido sobre a infraestrutura da Palo Alto Networks, irá melhorar a detecção de ameaças e a resposta aos incidentes de maneira ordenada. Os recursos comportamentais analíticos irão ajudar os CISOs a introduzir avanços na automação dos processos operacionais de segurança e a ganhar com os benefícios dessa integração, sem precisar fazer toda o processo sozinhos". -Jon Oltsik, analista principal sênior do Enterprise Strategy Group.

"O Magnifier automatiza o processo de prevenção de ciberataques ao integrar o melhor das capacidades comportamentais analíticas na plataforma Palo Alto Networks Next-Generation Security. Ele permitirá aos times de segurança uma grande melhora de atuação, enquanto economizam recursos e tempo ao utilizar os benefícios do machine learning e identificar automaticamente potenciais ciberataques que podem ser prevenidos". - Lee Klarich, chief product officer, Palo Alto Networks

As novas habilidades analíticas do Magnifier incluem:

- Precisão e Eficiência: O Magnifier analisa os dados dos firewalls de próxima geração e o serviço de análise de endpoints Pathfinder para definir o perfil dos usuários e o comportamento do dispositivo. Como seus algoritmos de detecção são customizados pelos logs enviados pela plataforma Next-Generation Security , ele pode aplicar precisamente os recursos de machine learning e os algoritmos de detecção de ataques comparados à inspeção genérica de arquivos de logs. Como resultado, o Magnifier gera um número pequeno de alertas que são altamente precisos.

- Investigação automatizada: O Magnifier aumenta os esforços de busca ao interrogar automaticamente os endpoints suspeitos para determinar quais processos são responsáveis pelos comportamentos de ataques. Depois, ele analisa os processos, usando o serviço na nuvem Palo Alto Networks WildFire®, para determinar se eles são maliciosos. A análise de endpoints do Magnifier e os alertas detalhados com informações minuciosas permitem que os analistas de segurança revisem e respondam aos incidentes imediatamente.

- Escala, agilidade e facilidade de implementação: Os clientes da Palo Alto Networks podem implementar os novos recursos analíticos comportamentais simplesmente habilitando a aplicação Magnifier com o serviço baseado em nuvem Palo Alto Networks Logging, usando seus firewalls Palo Alto como sensores para coleta em telemetria de dados das suas redes, sem precisar comprar ou adicionar novos dispositivos à rede ou se conectar à outros servidores.

Disponibilidade

O Magnifier é um serviço baseado em assinatura, que estará disponível em todo o mundo a partir de Fevereiro de 2018.

Comentário (0) Hits: 2448

Vivo reforça segurança contra ameaças digitais

fraude_web.jpg19/10/2017 - Vivo se une a Fortinet para lançar solução completa de segurança que une tecnologia referência do mercado ao time de especialistas da Vivo - responsável pela manutenção e gerenciamento remoto 24 horas por dia, sem custo adicional

A Vivo Empresas – área voltada ao segmento B2B da Telefônica Brasil – lança o Managed Security Services (MSS) Avançado, solução que traz para as pequenas e médias empresas (PMEs), filiais e prefeituras, uma camada de segurança capaz de filtrar todo o tráfego entre a rede da empresa/instituição e a internet.

Além de proteger contra as principais ameaças online, o novo serviço da Vivo possibilita a troca de informações de forma segura com filiais e terceiros por meio de canais criptografados; controla a navegação web impedindo acesso a sites maliciosos; eleva o rendimento dos computadores ao identificar e bloquear vírus na rede e aumenta a qualidade da internet, uma vez que disponibiliza mais banda para sites e aplicações importantes para aumentar o desempenho.

O MSS Avançado é instalado, configurado e gerenciado por um time de especialistas em segurança - sempre atualizado com as últimas novidades do mercado para garantir a melhor proteção - a partir do Centro de Operações de Segurança da Telefônica, exclusivo para clientes B2B, sem nenhum custo adicional.

“Trouxemos o mesmo conceito de proteção utilizado pelas grandes empresas e governos para proteger ambientes de TI complexos para a realidade das pequenas e médias empresas, que muitas vezes se tornam alvos por não contar com nenhuma prevenção de segurança, seja pelo custo ou por falta de profissionais especializados”, explica o diretor de Produtos e Marketing B2B da Vivo Empresas, Ricardo Hobbs.

Com preços competitivos e acessíveis para todos os tipos de negócios, o MSS Avançado chega ao mercado em três versões, que variam de acordo com o tamanho da empresa e custam a partir de R$299 por mês. A instalação é feita por uma equipe especializada o que dá ao cliente a tranquilidade de ter o suporte da operadora fim a fim.

As duas empresas, Vivo e Fortinet, possuem uma parceria estratégica para o fornecimento de soluções tecnológicas avançadas em segurança da informação. A Vivo conta com a certificação Platinum em Managed Security Services no programa de parceria da Fortinet, através da sua unidade global de cyber segurança, a ElevenPaths, reforçando ainda mais o compromisso da empresa na adoção das melhores práticas de mercado.
 

Comentário (0) Hits: 3216

Novo vírus segue passos do WannaCry

cyber_intel2.jpg*Por Aamir Lakhani
28/06/2017 - Estamos rastreando uma nova variante do vírus ransomware que surgiu no mundo todo, conhecida como Petya. Este vírus está afetando vários setores e organizações, incluindo infraestrutura básica, como energia, bancos e sistemas de transporte.

Esta é uma nova geração de ransomware desenvolvida para tirar proveito de explorações recentes. Esta versão atual visa as mesmas vulnerabilidades que foram exploradas no recente ataque do vírus WannaCry em maio deste ano. O vírus do ataque de hoje, conhecido como Petya, é um ransomworm. Nesta variante, em vez de visar apenas uma organização, este vírus usa uma abordagem abrangente que ataca qualquer dispositivo que encontrar, cujo worm anexado ele puder explorar.

Acredita-se que este ataque começou com a distribuição de um documento do Excel que explora uma vulnerabilidade conhecida do Microsoft Office. Assim que um dispositivo for infectado desta forma, o vírus Petya usa a mesma vulnerabilidade usada pelo WannaCry para se espalhar e invadir outros dispositivos. Seu comportamento semelhante a um vírus é devido à sua sonda ativa para um servidor SMB. Parece estar se espalhando por meio do EternalBlue e WMIC.

Depois de atingir um dispositivo vulnerável, o vírus Petya parece prejudicar o Master Boot Record (MBR) durante o ciclo de infecção. Depois, exibe ao usuário uma notificação de resgate: “Seus arquivos não estão mais acessíveis porque foram criptografados”, e exige um resgate de aproximadamente $300 na moeda digital Bitcoin. Em seguida, especifica que, se o usuário desligar o computador, perderá todos os dados do sistema.

Este ataque possui uma tática diferente dos anteriores. Nas outras versões do ransomware, conforme pode-se perceber, havia o relógio em contagem regressiva ou uma remoção gradual de arquivos. Normalmente a maior perda eram os dados. No entanto, no caso do Petya, que altera o Master Boot Record, o risco é perder todo o sistema. Além disso, o sistema é reiniciado em um ciclo de uma hora, adicionando um outro elemento de negação de serviço ao ataque.

newsletter buton