Ataques a softwares de código aberto devem crescer 20% em 2017

SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

castle-1909889_640

A proliferação de novos dispositivos – wearables, IoT, automação residencial entre outras categorias residenciais e comerciais – está trazendo um aumento no uso de softwares de código aberto, que deve ser acompanhado de um crescimento de 20% nos ataques cibernéticos que fazem uso de vulnerabilidades presentes nesse tipo de software durante o ano de 2017.

O número faz parte de um estudo da Black Duck Software, empresa especializada em segurança de software de código aberto.

O estudo mostra que o percentual de projetos comerciais envolvendo 50% ou mais de software gratuito e de código aberto subiu de 3% em 2011 para 33% em 2016 e que aplicações comerciais usam, em média, mais de 100 componentes de código aberto. Estima-se que  duas a cada três aplicações comerciais possua código com alguma vulnerabilidade conhecida.

Para o Vice Presidente de segurança da Black Duck, Mike Pittenger, o cenário é preocupante, especialmente…

Ver o post original 89 mais palavras

82% dos Centros de Operações de Segurança (SOCs) estão operando abaixo dos níveis de maturidade, segundo a HP

SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

space-center-693251_1280

A HP Enterprise, divisão da Hewllet-Packard, publicou a última versão de um relatório anual que traz um panorama do desempenho dos Centros de Operações de Segurança (SOCs) nas corporações. Segundo os parâmetros da HPE, um SOC que é “bem estabelecido, avaliado e flexível é recomendado para efetivamente monitorar ameaças existentes e emergentes”, critério que não foi atingido por 82% dos 140 SOCs avaliados com base no HPE Security Operations Maturity Model (SOMM).

Alguns pontos-chave do relatório:

Automação completa é uma estratégia pouco realista. Apesar da falta de talentos levar à busca por automação a detecção, investigação e avaliação de ameaças avançadas ainda dependem de ações humanas.

Foco e objetivos bem definidos são mais importantes do que o tamanho da empresa para atingir maturidade. Não há relação entre o tamanho da corporação e a maturidade do SOC. Organizações que usam segurança como diferencial competitivo ou como fator de alinhamento com a…

Ver o post original 62 mais palavras

Vulnerabilidade no WhatsApp permite interceptação de mensagens encriptadas

SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

whatsapp-892926_640

Uma matéria publicada pelo jornal britânico The Guardian traz evidências de uma vulnerabilidade no WhatsApp – mencionada inicialmente em março de 2016 pelo pesquisador Rolf Weber – que permitiria ao Facebook (proprietário do serviço) ou “outros atores” interceptar e ler mensagens criptografadas.

Segundo o jornal, “o WhatsApp tem a habilidade de forçar a geração de novas chaves criptográficas para usuários que estão offline sem o conhecimento do remetente ou do destinatário das mensagens e de criptografar novamente as mensagens do remetente (que ainda não foram marcadas como entregues) com novas chaves”.

O destinatário não é avisado dessa mudança nas chaves; o remetente é notificado apenas caso ele tenha habilitado os avisos relacionados à criptografia nas configurações do aplicativo, e isso acontece apenas quando a mensagem é enviada uma segunda vez. “Esse processo de ‘reencriptar’ e reenvio efetivamente permite que a empresa intercepte e leia as mensagens do usuário”.

Segundo o…

Ver o post original 89 mais palavras

Mercado de consultoria em segurança da informação deve crescer 10% até 2021

SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

charts-925810_640

Um relatório produzido pela empresa de pesquisa MarketsandMarkets trouxe dados relativos ao mercado de consultoria em segurança da informação nos próximos quatro anos. O estudo estima um salto no faturamento de pouco mais de US$ 16,1 bi em 2016 para US$ 26 bi até 2021, o que representa crescimento de pouco mais de 10% neste mercado no período.

O crescimento será impulsionado, entre outros motivos, pelo aumento nas demandas ligadas à área da segurança especialmente no que se relaciona a dispositivos IoT, às práticas de BYOD (Bring Your Own Device) adotadas pelas companhias e à adoção de aplicações e serviços em nuvem.

O estudo segmenta o mercado de consultoria em segurança em uma série de verticais e, dentre os nichos avaliados, os autores consideram que os setores de serviços financeiros e de seguros, governo e serviços públicos, TI e telecomunicações, aeroespacial e de defesa e bancário serão os mais propensos…

Ver o post original 26 mais palavras

Ransomworm: ameaça derivada do ransomware deve crescer em 2017, sugere especialista

SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

security-1202344_1280

Entre as diversas ameaças enfrentadas por profissionais de TI e de segurança da informação em 2016, talvez uma das maiores tenha sido o ransomware. No ano que passou, quase metade das organizações mundiais foram alvo desse tipo de ataque. Durante o segundo trimestre, 7 em cada 10 e-mails com conteúdo malicioso traziam como anexo o Locky – uma das variantes mais comuns desse tipo de malware – e quase dois terços dos kits de exploit continham ransomware. Nos EUA, números divulgados pelo FBI mostram perdas de mais de US$ 200 milhões sofridas por empresas do país, entre as quais estão hospitais e até um dos serviços de transporte da cidade de São Francisco, na Califórnia .

Esses são apenas alguns dados que mostram o impacto desse tipo de ameaça, que está longe de ser extinta. Na verdade o ransomware não só está em alta como está em vias de…

Ver o post original 175 mais palavras

(ISC)² libera kit gratuito de preparação para a certificação CISSP

SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

person-984236_1280

Profissionais interessados em obter a certificação Certified Information Systems Security Professional (CISSP) da (ISC)² agora contam com um kit de planejamento de estudosdesenvolvido pela própria associação e distribuído gratuitamente.

O kit contém:

Visão Geral – com um panorama dos tópicos abordados

Plano de Estudos – dicas de estudo e preparação para a prova de certificação

Dicas para manter a certificação – para garantir a manutenção da certificação após a aquisição

Dicas de educação continuada – com 22 atividades recomendadas

A certificação CISSP foi a primeira credencial na área da informação a atender aos rigorosos requisitos da Norma ISO/IEC 17024, e é considerada um padrão de conquista com reconhecimento mundial.  Um certificado CISSP é um profissional de Segurança da Informação que define a arquitetura, design, gestão e/ou controles que garantem a segurança de ambientes corporativos. A credencial demonstra um nível reconhecido globalmente de competência que cobre tópicos críticos em segurança…

Ver o post original 61 mais palavras

Depois de um ano terrível para a cibersegurança, o que esperar de 2017

SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

entrepreneur-1340649_640

O ano de 2016 foi repleto de desafios para profissionais de TI e de segurança da informação. Às velhas ameaças como o vazamento de dados que neste ano vitimaram grandes empresas como o Yahoo, LinkedIn, Cisco, Verizon e até mesmo o Partido Democrata dos EUA. Novidades como o uso de dispositivos IoT (como câmeras de vigilância) em botnets responsáveis por alguns dos maiores ataques DDoS já vistos na história. E não nos esqueçamos do crescimento exponencial do ramsomware – ameaça que cresceu mais do que qualquer outra e não poupou nem mesmo hospitais – do aumento no número de malwares móveis, aplicativos falsos, phishing…

Diante dessa conjuntura, o que esperar do ano que se inicia?

Em um artigo para o site HelpNet Security o CEO da EiQ Networks, Vijay Basani, faz algumas previsões sobre os principais desafios a serem enfrentados pela cibersegurança em 2017. Infelizmente o cenário não é dos…

Ver o post original 184 mais palavras

Certificações da Academia Clavis estão entre as 10 principais de 2017 na área de segurança da informação

SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

matrix-434034_640

O blog da empresa Firebrand listou as 10 principais certificações para “preparar melhor os profissionais de TI” em 2017; na lista constam três cursos oferecidos pela Academia Clavis: (ISC)2 CISSP, EC-Council Certified Ethical Hacker e CompTIA Security+. Veja a seguir o que o blog destaca sobre cada um deles. Para mais informações sobre os cursos e próximas turmas disponíveis na Clavis basta clicar nos link abaixo.

(ISC)2 CISSP: um relatório recente da empresa de recrutamento britânica Robert Hall mostra que 77% dos CIOs do Reino Unido acreditam que irão enfrentar mais ciberameaças graças à “falta de talentos na área de segurança”. A certificação CISSP é, segundo o blog, “o padrão para profissionais em funções de alto nível gerencial e técnico” e ajuda a desenvolver as técnicas, experiência e credibilidade necessárias para projetar, implementar e gerenciar programas de segurança da informação.

EC-Council Certified Ethical Hacker (CEH): curso que prepara profissionais…

Ver o post original 103 mais palavras