Métricas Temporal e Environmental no CVSS 3

Vimos um resumo do entendimento do cálculo Base do CVSS 3.0. Após este cálculo, a pontuação pode ser refinada com a pontuação das métricas Temporal e Environmental para refletir com mais precisão o risco representado por uma vulnerabilidade no ambiente de um usuário. No entanto, elas não são obrigatórias. (mais…)

Padronizando a pontuação das vulnerabilidades com CVSS 3.0

O Common Vulnerability Scoring System (CVSS) é uma forma identificar as principais características de uma vulnerabilidade e calcular uma pontuação numérica que reflita sua gravidade, bem como uma representação textual dessa pontuação. A partir da pontuação numérica, podemos traduzir em uma representação qualitativa (como baixa, média, alta e crítica) para ajudar as organizações a avaliar e priorizar adequadamente seus processos de gerenciamento de vulnerabilidades. (mais…)

Sugestões de livros para a certificação EC-Council CEH

Recentemente consegui obter a certificação CEH da EC-Council no modelo Self-study e muitas pessoas me pediram sugestões de livros para a preparação, então seguem abaixo algumas sugestões: (mais…)

Aplicativos e sites que se destacam na segurança

Os riscos na internet são eminentes para quem navega por sites desconhecidos. Se num simples clique ou visualização você pode ser prejudicado, realizar transações financeiras, confiar seus dados e mandar mensagens pessoais precisam ser feitas sob a certeza de que o aplicativo e site que está usando é confiável e seguro.

Para isso, separamos em alguns segmentos importantes da internet os sites e aplicativos que você pode confiar para realizar tarefas essenciais da rotina.

Mensagens — O brasileiro passa boa parte do tempo nas redes sociais, principalmente em aplicativos de mensagens como Whatsapp, Signal ou Telegram. Todos os três são altamente confiáveis, mas há um que se destaca mais. (mais…)

Loterias: existe segurança?

Muita gente costuma dizer que não joga em loterias porque, no caso brasileiro, não há segurança de que o resultado seja idôneo. Com o estado de coisas pelo qual o país atravessa, não é algo que chegue a surpreender. As instituições estão abaladas, é difícil acreditar na idoneidade de tudo, ainda mais em algo que envolva grandes quantias de dinheiro.

A primeira coisa a se saber é que todos os sorteios são aferidos por instituições internacionais de muita confiabilidade. No caso de uma fraude sob anuência destas empresas, dificilmente alguma delas conseguiria voltar a trabalhar, seja em qualquer setor. A credibilidade é única coisa que mantêm estas empresas trabalhando.

Os sorteios são realizados ao vivo, com a presença de inúmeros espectadores, em cidades diferentes, outro fator que diminui a possibilidade de fraude. Seria difícil conseguir controlar a informação de tantas pessoas, ainda mais em tempos de smartphones e internet livre. Uma simples desconfiança cairia na rede imediatamente. (mais…)

Testando a segurança na nuvem

Então, como você testar a segurança na nuvem? Muitas opções estão disponíveis, tanto as ferramentas manuais, como automatizadas, que você pode usar com aplicações da Web, mas existem outras opções também.

As ferramentas listadas aqui são discutidas em SearchSecurity.com e são uma pequena amostra de ferramentas normais para testes em nuvem:

SOASTA CloudTest Esta suite pode permitir quatro tipos de testes em uma única plataforma web: Testes funcionais e de desempenho móveis e testes funcionais e de desempenho baseados na web. Ele pode simular milhões de usuários concorrentes geograficamente dispersos visitando um site para testar o aplicativo sob cargas enormes. (mais…)

Controles para a segurança na nuvem

Ao trabalhar com a nuvem, você pode implementar muitos controles em resposta às várias ameaças a um ambiente de nuvem: (mais…)

Ataques de computação em nuvem

No mundo da computação em nuvem, vários ataques podem ser empregados contra um alvo. Muitos deles são variações ou são os mesmos que você já viu, mas existem alguns com uma roupagem nova. Muitos dos ataques que exploraremos aqui podem ser executados contra qualquer um dos modelos de serviço em nuvem mencionados anteriormente sem qualquer variação. (mais…)

Ameaças à segurança na nuvem

Os ambientes de nuvem não significam menos problemas relacionados à segurança. Muitas das mesmas questões de ambientes tradicionalmente hospedados existem na nuvem. A segurança na nuvem deve ser tratada com muita seriedade, tão seriamente quanto em qualquer outra situação em que você tenha serviços de críticos, dados importantes e processos de negócios dos quais você depende para manter as coisas em movimento. Para entender os tipos de ameaças que existem na nuvem e como eles podem afetar seu ambiente, veremos uma lista de problemas de segurança que são universalmente reconhecidos como sendo os maiores, mas não os únicos enfrentados pelos ambientes na nuvem: (mais…)

Os diferentes métodos de autenticação de dispositivos

Em um mundo onde as pessoas ficam a maior parte do tempo online, a segurança da informação tem se tornado um assunto cada vez mais presente no dia a dia. Estar seguro enquanto se navega pela internet é a prioridade para muitos. E, mais ainda, para aqueles que trabalham conectados quase que 24 horas por dia, trocando dezenas de e-mails, acessando contas de bancos online, informações confidenciais de projetos e até dados de clientes.

Para manter toda essa informação em sigilo, as empresas têm desenvolvido tecnologias cada vez mais avançadas, como criptografia de senhas. Entretanto, é aí que mora um outro problema da vida digital: com as senhas ficando cada vez mais complexas e com todo o stress diário, memorizar todas essas informações fica quase impossível.

É aí que muita gente opta por anotar as senhas em agendas ou arquivos digitais, abrindo uma brecha enorme na segurança da informação. Conforme as tecnologias avançam, o conhecimento e a audácia também crescem proporcionalmente. Um dos meios mais simples e eficazes de se conseguir uma senha é através da engenharia social, onde alguém tenta obtê-la por meio de uma conversa (muitas vezes se passando por outra pessoa) ou verificando arquivos descartados pelas empresas – em muitos casos, até revirando lixo – a fim de encontrar qualquer pedaço de papel que possa conter dados relevantes.  (mais…)