Oracle corrige 299 vulnerabilidades em seus produtos

A Oracle bateu seu próprio recorde e lançou uma mega-atualização de seus produtos, corrigindo nada menos que 299 vulnerabilidades.
Entre as falhas de segurança está aquela que foi divulgada pelo coletivo hacker Shadow Brokers e supostamente teria sido usado pela NSA para espionar sistemas Solaris.
Para dar conta desse volume de atualizações, a Oracle publicou um único boletim de segurança,
com dados detalhados de todos os produtos afetados, incluindo Oracle Database Server,
Fusion Middleware, PeopleSoft Enterprise e, claro, o Java. Entretanto, um dos produtos com o maior número de vulnerabilidades corrigidas é o MySQL e o impacto destas falhas de segurança, se permanecerem sem serem atualizadas, é considerado crítico, permitindo que um agente externo hostil assuma o controle de sistemas.
Ao todo, foram corrigidas 39 vulnerabilidades do MySQL, 39 do Oracle Retail e 47 falhas de segurança do Financial Services. O Java, em comparação, teve apenas 8 brechas fechadas pela Oracle nessa atualização. Das 299 correções publicadas pela Oracle, a empresa afirma que pelo menos 100 delas podem ser exploradas remotamente por um invasor.
Das duas falhas de seguranças no Solaris que teriam sido usadas pela NSA no passado, a de codinome EXTREMEPARR foi corrigida agora pela Oracle. A segunda vulnerabilidade, batizada de Ebbshave, não apresenta mais riscos, tendo sido corrigida em atualizações anteriores e não afetaria em hipótese alguma o Solaris 11.
http://codigofonte.uol.com.br/noticias/oracle-corrige-299-vulnerabilidades-em-seus-produtos

Resiliência é palavra-chave para o futuro da segurança da informação

Resiliência é a capacidade de voltar ao estado natural depois de ter sofrido alguma
ação crítica, a habilidade de se recuperar e de se adaptar às mudanças.
Recentemente, autores e estudiosos da área de tecnologia criaram o termo “resiliência
digital”, relacionado ao fato de como as empresas devem enfrentar o risco, sobreviver
às ameaças e reduzir ao máximo os prejuízos causados pelos ataques cibernéticos.
Há pouco tempo, o foco da segurança corporativa era evitar o risco a qualquer custo,
barrar as ameaças e bloquear os ataques antes que estes acontecessem. No entanto,
o cibercrime evoluiu tanto e as ameaças se expandiram de tal forma que não é mais
possível conter o risco. De uma forma ou de outra o ataque vai acontecer, cabe às
empresas e equipes de TI enfrentarem a situação e seguirem em frente com o menor
dano possível.
Atualmente, todas as empresas, grandes e pequenas, estão inseridas em uma grande
cadeia produtiva global e ao entrarem nessa cadeia já estão assumindo o risco. Mesmo
se fosse possível blindar uma empresa contra todas as ameaças, alguns de seus
dados, em algum momento, seriam compartilhados com parceiros, clientes,
fornecedores, instituições financeiras, funcionários terceirizados, entre outros, e todos
eles também estão sujeitos a ataques.
Uma corporação pode ter uma estratégia de segurança muito bem planejada, mas
pode ser amplamente afetada se um dos seus fornecedores, distribuidores ou
prestadores de serviço, independentemente do porte, sofrerem algum tipo de ataque,
pois todos estão conectados.
Um ataque cibernético pode realmente destruir uma empresa ao bloquear o acesso a
dados importantes, vazar informações estratégicas, corromper dados financeiros, etc.
Além de parar a operação, pode também afetar seriamente a credibilidade da
companhia. Com milhares de novas ameaças sendo criadas a cada dia, o mais
importante no cenário atual não é evitar o risco, mas estar preparado para a reagir aos
ataques.
Toda estratégia de segurança deve ser elaborada considerando tripé: pessoas,
processos e tecnologia. A tecnologia só entra quando os outros dois pontos já
estiverem funcionando. Sem processos definidos e sem pessoas conscientizadas e
bem treinadas, a tecnologia não faz efeito. Diversas formas de ataques complexos e
avançados ameaçam as empresas mas, na maioria das vezes, é ao clicar em um e-
mail fraudulento que abrimos a porta para os cibercriminosos. A educação e a
conscientização já produzem um efeito significativo e com pouco investimento.
Existe uma série de medidas capazes de reduzir os danos no caso de um ataque. A
primeira regra é manter um processo eficiente de classificação de dados: definir quais
são os dados mais críticos para o negócio e cuidar do que pode ou não pode ser
compartilhado, saber onde está cada informação e quem tem acesso a cada dado
crítico. Além da classificação é preciso conhecer o tráfego da informação, criptografar
os dados mais estratégicos, investir em tecnologias contra ameaças avançadas no
endpoint e também nunca abrir mão da filtragem da web.
Os fornecedores de segurança também estão se adaptando às mudanças, criando
componentes mais rígidos e mais resistentes para aguentar o tranco. Soluções
automatizadas, plataformas integradas e o aumento da colaboração no setor também
estão entre os pontos que devem ser considerados para aumentar a segurança e
tornar as empresas mais resilientes.
As necessidades da segurança estão mudando rapidamente. O foco não é apenas
gerenciar e sim conviver com o risco, o trabalho da segurança não mais é impedir o
risco, mas sim tratá-lo de maneira inteligente, avaliar muito bem quais são as
vulnerabilidades e evitar o comprometimento de dados catastróficos.
http://www.administradores.com.br/noticias/negocios/resiliencia-e-palavra-chave-para-
o-futuro-da-seguranca-da-informacao/118426/

Governo terá plataforma única para cruzamento de dados no Poder Executivo - CD

De olho no cruzamento de dados e em uma solução única para toda a administração federal, o Ministério do Planejamento baixou uma regra que proíbe os órgãos federais de contratarem ferramentas de Big Data ou Analytics. A vedação faz parte do mais recente guia de boas práticas que orienta contratações de tecnologia da informação no governo, este voltado para fábricas de software. E tem como objetivo centrar esforços na plataforma unificada para o Poder Executivo, a ser apresentada nos próximos dias.

Dessa forma, a orientação diz expressamente que “fica vedada a contratação de soluções de armazenamento massivo de dados, tipo Big Data, e de análise de dados, estruturados ou não, tipo Analytics, por órgãos e entidades integrantes do SISP”. E conclui que “solicitações de exceção ao disposto no caput deverão ser submetidas pelo órgão ou entidade interessado, com as devidas justificativas, à apreciação da STI”.

Como explica a Secretaria de Tecnologia da Informação e Comunicação (nova roupagem da STI), a proibição se deve à proposta de “um modelo de prestação da solução em um único serviço que seja utilizado, de forma transversal, para beneficiar os órgãos integrantes do Sisp, promovendo a racionalização dos recursos públicos e cabendo à Secretaria de Tecnologia da Informação e Comunicação (Setic) a governança da solução”.

“Vamos pegar as 30 bases de dados mais utilizadas, vamos colocar em ambiente restrito, com segurança, vamos colocar algumas ferramentas de cruzamento de dados, e oferecer gratuitamente para que os ministérios, os órgãos, possam fazer o cruzamento para fazer politica pública”, explica o secretario de tecnologia da informação e comunicação do Ministério do Planejamento, Marcelo Pagotti.

De fato, o comando sobre os processos de compartilhamento e cruzamento de dados no governo federal ficou com a nova Setic, a partir da nova reestruturação do Ministério do Planejamento. Vai daí que a secretaria explica estar “trabalhando na oferta de uma Plataforma de Análise de Dados (GovData) com o objetivo de simplificar o acesso e avaliação de gestores públicos a diferentes dados governamentais”.

“Como a Setic fornecerá o serviço aos órgãos e entidades do Sisp, promovendo a racionalização de recursos públicos, é essencial a suspensão de outras iniciativas e contratações cujos objetos sejam relacionados às tecnologias de Big Data, Analytics e afins. Solicitações de exceção à vedação podem submetidas pelo órgão ou entidade à secretaria com as devidas justificativas.” 

http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?

UserActiveTemplate=site&infoid=45030&sid=11

A grande ameaça à segurança cibernética pode ser você mesmo-Éder Elias Reinhart,

Um fator-chave na segurança cibernética é o comportamento de funcionários e colaboradores, o qual deve ser adequado por meio de regras e treinamentos
 Importante para qualquer tipo de empresa, a segurança cibernética é particularmente fundamental em companhias abertas. Sem que existam critérios e ferramentas que garantam a segurança de seus dados, esse tipo de corporação fica exposta a eventos dos mais variados tipos, desde a manipulação de seus dados financeiros ao vazamento de informações privilegiadas que podem afetar significativamente o desempenho de suas ações ou implicar em problemas legais e punições de órgãos reguladores.
A proteção necessária não é estabelecida apenas por meio da adoção de recursos tecnológicos. Um fator-chave na segurança cibernética é o comportamento de funcionários e colaboradores, o qual deve ser adequado por meio de regras e treinamentos. O mau uso da web, geralmente resultado de ingenuidade, é a principal via usada por criminosos que violam dados de empresas.
Principalmente em companhias abertas, os princípios de governança corporativa devem passar por todas as áreas. A de TI, além de fundamental para a execução de quaisquer atividades, é uma daquelas em que a adoção dessas regras se faz mais imprescindível. Se a tecnologia integra áreas essenciais à vida das sociedades modernas, uma fraude pode resultar num impacto igual ou até mais significativo que o seu benefício.
Os crimes cibernéticos mais comuns visam ganhos financeiros. Em geral, essas violações são realizadas por organizações criminosas que se tornam cada vez mais sofisticadas, tanto no que se refere aos crimes praticados quanto às formas que desenvolvem para não serem localizadas. A praga cibernética mais em voga atualmente é o sequestro de informações, também conhecido como ransomware. Sua execução parte de uma isca, como um e-mail ou um link em alguma página, o qual contém um cavalo de tróia, que, ao se instalar no PC, sequestra todos os dados que estão ao seu alcance, criptografando-os no próprio computador ou em toda a rede.
A partir daí, o usuário não consegue mais acessar suas informações e, no caso do ataque ter se proliferado por toda rede, ninguém conseguirá acessar coisa alguma. Para liberar as informações, os criminosos cobram valores em dinheiro, que, geralmente, devem ser pagos na moeda virtual bitcoin. Dessa forma, torna-se impossível rastrear o destino dos resgates pagos pelas vítimas ou mesmo localizar seus algozes.
Além da adoção de um backup externo, a defesa contra ataques cibernéticos demanda a adoção de boas práticas quanto aos acessos dos funcionários. Os softwares de antivírus não conseguem defender sozinhos o computador sem que as pessoas não o façam também. Embora cada vez mais sofisticados, os ataques buscam vulnerabilidades de ferramentas e, principalmente, brechas deixadas por usuários. Senhas baseadas em dados pessoais são um exemplo, já que, a partir de informações obtidas com o uso de robôs que vasculham redes sociais, como Facebook e Linkedin, hackers podem facilmente decifrá-las.
Além disso, nas redes sociais, pessoas expõem seus objetivos e, dessa forma, passam a receber spams relacionados, entre outros, às viagens que planejam fazer. Neles, chegam as iscas mais comuns, as quais direcionam para malwares, vírus, ransomware e outros. Há também o hábito comum de se usar a mesma senha para vários acessos. Basta que uma seja violada e a exposição será generalizada. Os funcionários precisam ser bem treinados e até se tornarem um pouco paranoicos neste sentido.
Outra prática temerária é transitar fora da empresa com dados – muitos deles importantes – levando-os em tablets, celulares ou notebook. Tais dispositivos requerem senhas fortes, com caracteres especiais, a fim de que impeçam seu uso após eventuais roubos ou furtos. Hoje, algumas empresas permitem que os colaboradores levem seu próprio dispositivo (computador, tablet, celular) para o trabalho, sistema conhecido como Bring Your Own Device (BYOD). Para se evitar riscos, além de contar com uma rede forte que detecte se há ameaças nestes dispositivos, todos devem ser orientados quanto à adoção de senhas sofisticadas e sobre a necessidade de substituí-las regularmente.
Os funcionários são o ponto mais fraco da segurança cibernética. Estar atento à forma como atuam é essencial para manter a reputação da companhia, seja junto ao mercado financeiro ou perante qualquer um de seus stakeholders.
Éder Elias Reinhart - Coordenador de TI da CIGAM Corporativa, empresa associada da Orchestra Soluções Empresariais que une prestadoras de serviços especializados e complementares focados na resolução de demandas de gestão.

http://securityreport.com.br/overview/mercado/grande-ameaca-seguranca-cibernetica-pode-ser-voce-mesmo/
 Redação,  17/04/2017 às 15h37 - Atualizado em 17/04/2017 às 15h37