Geral

Os 7 hábitos altamente eficazes de cibersegurança

No comments

Hoje, na atuação da internet e tecnologias, sempre há novas ameaças em evolução. As organizações que perdem o foco, tornando-se negligentes na aplicação diária de hábitos corretos, isso as torna possíveis vítimas de invasores e violações de dados.

Gerenciar a segurança de forma eficaz exige os hábitos certos, praticados regularmente. Confira os 7 hábitos altamente eficazes de cibersegurança: 

Seja proativo, preparado e paranóico: Aja ou seja atacado, para isso treine funcionários continuamente, construa e mantenha proativamente uma rede de suporte, preparada regularmente. Evolua constantemente sua estratégia de resposta a incidentes, sendo paranóico, assuma que os invasores já estão em sua rede e detém acesso a seus sistemas e assuma que os cibercriminosos já sabem senhas de funcionários e podem fazer login em suas contas, isso constrói um bom esquema de monitoramento.

Seja centrado na missão organizacional: A segurança precisa ser avaliada do ponto de vista de como ela pode ajudar a apoiar a missão da sua organização, independentemente de ser uma organização sem fins lucrativos, uma agência governamental ou um negócio em rápido crescimento. O foco na integração está no fato de que segurança não é um tempo gasto, e sim um cumprimento de obrigações, que ao ser incrementada na narrativa e ao branding, pode criar um diferencial competitivo. 

Crie segurança e privacidade de dentro: O primeiro passo é estabelecer uma cultura de segurança na organização. Em um nível mais profundo,  a segurança e a privacidade precisam ser incorporadas na área de desenvolvimento de produtos, aplicações e prestação de serviços. Mantenha a simplicidade, a complexidade é inimiga da segurança. Valorize o privilégio mínimo, cada usuário deve ser limitado às suas funções.   

Concentre-se primeiro na segurança, o compliance é consequência: O foco na detecção de ameaças, controles preditivos, controles preventivos e controles de detecção fornecerão defesas de alta qualidade que permitem que o compliance seja um subproduto das boas práticas de segurança. Por isso, não fixe-se em  tradicionalismo e atente-se a inovação e resultado efetivo. 

Avalie a segurança: Meça a suscetibilidade de phishing, através de testes com funcionários, meça a detecção de malware, prestando atenção na porcentagem de malware desconhecido que é possível encontrar, e controle as vulnerabilidades de software, através do pensamento estratégico, corrija sempre com prioridade vulnerabilidades críticas e exploráveis.

Automatize tudo: A capacidade humana não pode ser dimensionada rapidamente para atender aos desafios de segurança em grandes ambientes, já prevenção, detecção e contenção automatizadas conseguem escalar conforme as necessidades organizacionais, principalmente em ambientes complexos. Por isso, automatize o possível.

Comprometa-se com a melhoria contínua: Qualquer organização pode melhorar através de pequenas práticas diárias e pequenos projetos incorporados ao longo do tempo, com consistência, o resultado após um ano é gigantesco. 

Com bons hábitos uma organização pode minimizar continuamente as probabilidades de ataques. Não deixa sua organização à merce das ameaças cibernéticas.

ORAEXOs 7 hábitos altamente eficazes de cibersegurança
Read More

Ataques Cibernéticos: Renner e Fast Shop

No comments

Ameaças virtuais e ciberataques agora precisam ser uma questão central para os negócios. Os riscos de perda são gigantescos e, com o contínuo acréscimo tecnológico, crescem as brechas e as modalidades de risco.

No dia 19 de Agosto de 2021, as Lojas Renner foram vítimas de um Ransomware, um malware que criptografa arquivos importantes no armazenamento local e de rede, exigindo um resgate para descriptografar os arquivos. A retomada completa das aplicações da empresa só aconteceu no dia 22 de de agosto.

No dia 23 de Junho de 2022, a Fast Shop encontrou suas aplicações e serviços indisponíveis. Além disso, teve seu Twitter invadido, em que foi anunciado atraso nas entregas e ataque por uma organização hacker. Contudo, no mesmo dia os serviços foram restabelecidos e as mídias retomadas. Em nota oficial, a empresa divulgou a tentativa de acesso e estabeleceu que os dados dos clientes não estavam danificados e expostos.

Esses eventos demonstram a importância de uma estrutura e estratégia de segurança eficazes para prevenir violações e atuar rapidamente com medidas quando elas acontecerem. O comprometimento de dados pode gerar perdas financeiras irreparáveis.

Além disso, a imagem e credibilidade da organização está diretamente ligada a seu posicionamento quanto à vigilância, em que o tempo de resposta para a retomada do serviço é fundamental. #VEMSERORAEX

ORAEXAtaques Cibernéticos: Renner e Fast Shop
Read More

A Violação de Dados da Rede Marriott

No comments

A violação da Rede Marriott em 2018 teve 383 milhões de dados roubados, com mais de 5 milhões de números de passaporte. Os dados roubados incluíam nomes, datas de nascimento, informações de cartão de crédito e endereços residenciais.

Na época de sua violação em 2018, a Marriott era a maior empresa hoteleira do mundo, operando em mais de 130 países. Por meio de propriedades próprias e franqueadas, a Marriott ofertava cerca de 1,3 milhões de quartos de hotel. Os dados dos clientes, como reservas, local de hospedagem, quantidade de dinheiro gasto, itens comprados no hotel eram dados críticos para a estratégia de negócio. Para manter seu grande número de quartos de hotel ocupados, a Marriott investia em campanhas de marketing orientadas por dados, e a continuidade nesse aspecto a levou a comprar a Starwood, que além de incrementar sua rede de hotéis, contribuia com uma grande base de dados.

Em setembro de 2018, quase três anos após a assinatura da aquisição, começaria a detecção da mega violação de centenas de milhões de registros e milhões de números de passaporte.

A detecção começou quando o IBM Guardium, uma ferramenta de segurança que detecta consultas anônimas em bancos de dados, identificou que foi emitida uma consulta para um banco de dados que continha dados sensíveis. Uma equipe de segurança terceirizada foi contratada para averiguar. A equipe constatou que os invasores já haviam roubado muitos dados antes mesmo da consulta que resultou no alerta do Guardium.

Assim que os arquivos roubados foram identificados, a Marriott iniciou o processo de notificar mais de 300 milhões de clientes sobre a violação. A violação anunciada em 2018 não havia sido percebida por quatro anos, ocorrendo antes da assinatura da aquisição e da vistoria que a Marriott realizou nos sistemas da Starwood para comprá-la.

A importância de uma cultura de segurança rígida, com investimento bem feito, pode prevenir que perdas grandes como a da Marriott aconteçam, que prejudicam não só o capital da empresa, mas também a sua marca. Por isso, a segurança precisa ser tratada como uma prioridade do negócio. Entre em contato conosco e proteja sua empresa. #VEMSERORAEX

ORAEXA Violação de Dados da Rede Marriott
Read More

A Violação de Dados da Capital One

No comments

A história da Capital One é um marco para a segurança em nuvem. Ocorrida em 2019, mais de 100 milhões de inscrições de cartões de crédito foram roubadas por Paige A. Thompson, ex-colaboradora da Amazon. O Banco de Dados das inscrições de cartões continha 80 mil números de contas bancárias. O custo estimado da violação poderia ser de mais de 300 milhões de dólares, mas a organização foi multada em 80 milhões de dólares em 2020.

Como isso aconteceu?

Erro de configuração: uma configuração equivocada de identidade e política de acesso em que o acesso a partição do armazenamento que continha dados sensíveis era ampla demais. 

Software vulnerável: uma vulnerabilidade para falsificação de solicitações do lado servidor em que o atacante foi capaz de ter suas solicitações retransmitidas para o serviço de metadados da Amazon e receber respostas, incluindo credenciais de segurança.

A Amazon fornece um “Simple Storage Service” (S3) que permite que os programas armazenem e recuperem grandes quantidades de dados. O S3 permite que os programas armazenem dados em “buckets”.

Uma vez que um firewall de rede ou um grupo de segurança da AWS permite a comunicação com um servidor web, um WAF (web application firewall) pode ser usado para impor e manejar as comunicações com o servidor web e aplicativos web que o compõem.

Os buckets do S3 da Capital One eram privados e configurados para serem acessíveis a uma função do IAM (gerenciamento de identidade e acesso) que foi atribuída ao WAF. Embora os buckets S3 da Capital One não tenham sido configurados incorretamente para serem públicos, eles potencialmente foram configurados incorretamente para serem acessíveis ao WAF, em que o correto seria atribuir uma função mais restritiva, ao invés do WAF cujo trabalho era mediar solicitações da web vindas do mundo externo.

Assim, a violação foi possível por erro de configuração e exploração de uma vulnerabilidade do software. Tenha este case como um exemplo do perigo potencial que é deixar sua organização sem uma estrutura eficiente de cibersegurança. Conte conosco para proteger sua infraestrutura com tecnologias e profissionais especialistas. #VEMSERORAEX

ORAEXA Violação de Dados da Capital One
Read More

Causas-raiz da Violações de Dados

No comments

Há três causas-raíz “meta-nível” e seis causas-raiz técnicas para que violações de dados ocorram. As “meta-nível” são a falha em priorizar segurança, investir em segurança e executar iniciativas de segurança, é quase como um planejamento implícito para que uma violação ocorra e ela irá acontecer devido as seis causas técnicas, que são dados não criptografados, phishing, malware, comprometimento por terceiros, softwares vulneráveis e erros por descuido dos colaboradores. A maioria esmagadora das violações ocorre por essas três causas. Conheça elas:

 

Causas “Meta-Nível”: Falha na priorização, no investimento e na execução. 

Esse tipo de causa opera no nível estrutural da empresa. Por isso, a segurança precisa ser uma prioridade, e tratada como tal, ela deve ser levada em conta em todos os projetos e níveis da organização. Assim, é importante designar um executivo responsável pela segurança das informações e dados de uma organização. Dito isso, a necessidade de investimento é clara. Porém, apenas gastar mais não diminui os riscos, é preciso gastar nas áreas certas. Entender qual área gastar vem com a maturidade dos protocolos de segurança. A execução deve ser sempre multisetores e multifunções.

Causas Técnicas: seis causas técnicas são as maiores responsáveis pelas violações de segurança nas organizações:

1. Dados Não Criptografados: Eliminar todos os dados não criptografados é uma grande contra medida pois, mesmo se dados sensíveis forem roubados, não há perdas se a informação, por estar criptografada, é inútil.

2. Phishing: Phishing é uma técnica de engenharia social usada para enganar usuários e obter informações confidenciais, como nome de usuário, senha e detalhes do cartão de crédito. São comunicações falsificadas que parecem vir de uma fonte confiável. Mesmo sendo uma tática antiga, em 2022 ainda é um risco. Medidas anti-phishing como autenticação de dois fatores e tokens fazem a diferença.

3. Malware: Softwares maliciosos como vírus, worms, rootkits, keyloggers e ransomwares podem ser usados para roubar informações, impedir acessos e danificar os sistemas.  Conscientização, antivírus e proteção de endpoints são medidas interessantes, mas, em geral, é todo o protocolo de segurança que é eficaz nesses casos.

4. Comprometimento por terceiros: Às vezes, a organização pode ser comprometida não por um ataque direto, mas sim por terceiros como fornecedores, parceiros e clientes. Por isso, a segurança deve ser uma prioridade e levada em conta até nesse aspecto.

5. Softwares Vulneráveis: Softwares próprios ou de terceiros muitas vezes são indispensáveis para o funcionamento da sua instituição, é possível que erros em patches ou bugs sejam explorados para violar a segurança.

6. Erro por descuido dos colaboradores: Configurações erradas de sistemas, patches mal aplicados, usuários e senhas padrão, senhas fáceis de acertar, uso errado de e-mail, perda de dispositivos e  acesso a URLs maliciosas podem acontecer por descuido. Por isso, treinamentos de consciência das medidas de segurança e compliance é indispensável.

Quer saber mais sobre como investir e planejar adequadamente uma iniciativa de cibersegurança e impedir esses erros em sua organização? Entre em contato conosco. 

ORAEXCausas-raiz da Violações de Dados
Read More

O Futuro da IoT

No comments

A IoT está crescendo em um ritmo rápido, o mundo inteiro está adepto a esta tecnologia e ela já tem impacto nas nossas vidas cotidianas. Smart TVs, lâmpadas inteligentes e assistentes pessoais como a Alexa já participam do dia a dia da casa, mas a IoT também está nas grandes indústrias com o aceleramento da automação. Veja alguns tópicos para o futuro da Internet das Coisas:

Dispositivos Conectados: Em 2021 mais de 10 bilhões de dispositivos estavam conectados a IoT, segundo a Statista. Esse número tende a crescer cada vez mais conforme mais objetos adquirem conexão com a internet e comunicação entre dispositivos.

Cidades Inteligentes: É indiscutível que um dos grandes pólos da IoT são as Cidades Inteligentes. Investimentos públicos e privados que buscam combinar tecnologia com serviços de infraestrutura e cidadania estão crescendo cada vez mais, principalmente na região Asia-Pacifico. Com zonas de inovação, novas startups e empreendimentos encontram um mercado em ascensão.

Roteadores Seguros: Com cada vez mais dispositivos conectados, é importante investir na segurança da porta de entrada da internet: os roteadores. Dados criptografados, DNS Seguro e atualizações automáticas de segurança são tendências para evitar invasão e comprometimento da rede.

Uso de Produtos Inteligentes: Os consumidores irão começar a sentir mais os efeitos dos benefícios da IoT – Eficiência energética, segurança e proteção melhoradas e produtos de alta qualidade – aumentando a percepção da importância dos smart devices. 

Ecossistemas de Dispositivos Centrados em Aplicativos: Um novo tipo de dispositivo pode ser desenvolvido para aumentar o desejo dos consumidores. A ideia central é focar na criação de aplicações que funcionem para mais de um fornecedor, e que os fornecedores trabalhem na padronização, facilitando a interoperação de diferentes aplicativos. Assim, investimentos em hardware de IoT serão mais fáceis, pois os compradores não tem medo de seu produto cair no desuso, por depender de apenas um modelo sem integração com outros.

IoT para Negócios – Aumentar a produtividade, diminuir custos e trabalhar em parceria público-privada, são possibilidades do uso da IoT nos negócios. Seja em modelos industriais, no desenvolvimento de novas tecnologias ou no varejo.

Sensores de gás multi-aplicativos estão sendo desenvolvidos para reconhecer ameaças bioquímicas, além disso de serem capaz de reconhecer diferentes doenças apenas analisando sua respiração.

Semáforos inteligentes por monitoramento de vídeo conseguirão ajustar as luzes verde e vermelha de acordo com o tráfego. Os sistemas de estacionamento também poderão funcionar com sensores que emitem dados em tempo real. Assim, os congestionamentos irão diminuir e, consequentemente, diminuirá a poluição do ar até através da tecnologia. Quer saber mais sobre o futuro da IoT e como operá-lo a seu favor? Entre em contato conosco. 

ORAEXO Futuro da IoT
Read More

Internet das Coisas e suas Tecnologias

No comments

Você sabe como funciona a Internet das Coisas? Muito mais que um conceito, ela é habilitada por uma série de inovações tecnológicas. Confira algumas:

Identificação por radiofrequência (RFID): é uma tecnologia central para a comunicação dos dispositivos, que integra uma tag transmissora para comunicação sem fio. O RFID ajuda a identificar e localizar objetos. Pode ser passivo (sem bateria) ou ativo (com bateria), e transmite informações para leitores adequados que compartilham os dados para a análise.

Rede de Sensores Sem Fio (WSN):  o elemento central da rede WSN é o nó sensor que integra ainda capacidades de processamento e de comunicação sem fio. Tais sensores coletam a informação, depois a processam “standalone” ou coordenam com nós vizinhos e a transmitem em direção ao usuário ou para nós processadores (sink nodes).

Computação em Nuvem: poder acessar e compartilhar recursos de qualquer lugar a qualquer momento se tornou possível com o desenvolvimento da nuvem. Ela é uma interface e infraestrutura fundamental para a eficiência da IoT.

Armazenamento e Análise de Dados: interoperabilidade, integração e comunicação adaptativa são essenciais, por isso, IoT gera e analisa altas quantidades de dados, que precisam ser armazenados e analisados de forma inteligente e eficaz.

Visualização: a interação do usuário com o ambiente virtual é feita através dos  dispositivos que projetam visualmente sua integração. Seja em telas touchscreen ou pela ativação através de comando de voz, a essência das tecnologias de visualização é o acesso para o usuário.

O desenvolvimento da Internet das Coisas permite aos objetos serem identificados unicamente e adquirirem a habilidade de se comunicar com outros objetos em qualquer tempo e em qualquer lugar. Essa habilidade é alcançada através de três componentes: 

# Hardware: como sensores, chips embutidos e baterias. 

# Ponte: como tecnologias que fazem a comunicação entre os dispositivos físicos e aplicações necessárias. 

# Apresentação: o design dos objetos para que possam responder ao usuário de forma inteligente. 

Quando combinados, formam uma rede de IoT que proporciona fenômenos simples e complexos, seja para reproduzir um vídeo de um dispositivo para o outro, ligar a luz através de um comando de voz para uma assistente pessoal ou controlar rodovias em uma cidade inteligente. As possibilidades são imensas. 

Continue nos acompanhando nas redes sociais e fique por dentro dos conteúdos mais comentados do momento. #VEMSERORAEX 

ORAEXInternet das Coisas e suas Tecnologias
Read More

A História e o Presente com IoT

No comments

A Internet das coisas (IoT) é a interconexão via Internet de dispositivos computacionais integrados em objetos do dia a dia, os habilitando para envio e recebimento de dados.

Confira uma breve linha do tempo da sua história:

1969: Surgimento da Internet através da ARPANET.

1973: Primeira patente de etiquetas RFID (identificação por radiofrequência).

1974: Um sistema embarcado (ou sistema embutido) é um sistema microprocessado no qual o computador é completamente encapsulado ou dedicado ao dispositivo ou sistema que ele controla.

1984: Uma máquina de coca cola foi conectada a internet para reportar a disponibilidade e temperatura da bebida.

1990: Proliferação da internet em negócios, mas com uso limitado devido a baixa performance das conexões.

1991: Computação Ubíqua é proposta por Mark Weiser, que ajuda a tornar a interação entre humano e computador invisível, ou seja, integrar a informática com as ações e comportamentos naturais das pessoas.

1992-1998: Sensor nodes são desenvolvidos para receber dados de sistemas embarcados únicos e trocar informações, realizando a ideia básica da IoT.

1999: A comunicação “dispositivo para dispositivo” foi introduzida por Bill Joy e o termo Internet das Coisas foi usado pela primeira vez por Ashton.

2000 em diante: A digitalização aumenta e a conexão e presença na internet vira norma para as aplicações, negócios e produtos.

2010: Redução do custo do desenvolvimento das tecnologias, permitindo maior inserção no mercado.

2015: Dispositivos domiciliares já adquiriram a habilidade de receber localizações.

2020: Miniaturização e ganho de eficiência dos dispositivos.

O verdadeiro potencial da Internet das Coisas (IoT) está apenas começando. Essa tecnologia opera atrás das cortinas e responde dinamicamente ao nosso desejo de que as coisas sejam mais práticas e inteligentes.

A IoT, junto com Robótica, Inteligência Artificial, Nanotecnologia, Biotecnologia e Impressão 3D marca a Quarta Revolução Industrial. Em particular, IoT é um conceito que impacta nossa vida em todos os aspectos, inclusive na maneira em que trabalhamos. Pode melhorar drasticamente segurança, eficiência energética, educação, saúde e muitos outros aspectos do cotidiano dos consumidores, através de soluções inovadoras. Além de atuar ativamente em processos industriais, logísticas de distribuição, manufaturas, agricultura e demais setores. 

Quer saber mais sobre como esse conceito influencia e pode ser incrementado na sua área? Entre em contato conosco. #VEMSERORAEX

ORAEXA História e o Presente com IoT
Read More

Smart Grid: uma perspectiva de cidade inteligente com aprendizado de máquina e IoT

No comments

Smart Grids (Redes Inteligentes) são a parte crítica de sistemas de distribuição elétrica em Cidades Inteligentes. Redes de energia modernas, quando integradas com com machine learning e Internet das Coisas (IoT), adquirem domínio operacional para controlar, monitorar, analisar dados, prover serviços  de gerenciamento para os consumidores, serviços de emergência, gerenciamento de contas e taxas e muito mais. 

Para as próximas tecnologias de Smart Grid, é preciso relacionar cinco esferas: componentes, comunicação, informação, função e negócios. Assim, é possível entrelaçar tecnologias da informação, informática da energia e pontos de vista comerciais. 

Um framework leve e que preserve a privacidade pode ser construído com Q learning, um modelo de machine learning, em que o algoritmo funciona através do aprendizado por reforço, ou seja, mede o resultado de uma ação em um estado particular, e após várias tentativas, atinge a assertividade sobre qual ação tomar em determinado estado. Utilizando informações de consumo e contas de luz, o conjunto de dados pode ser provido para servidores cloud para uma criação de plano de energia baseado em Q learning. Futuramente, a apresentação dos planos é feita de modo a manter a confidencialidade. Assim, a distribuição e cobrança de energia podem ser feitas de forma eficiente, levando em consideração a necessidade de cada área/setor em diferentes períodos. 

Quer entender mais sobre o desenvolvimento de novas tecnologias para cidades inteligentes? Entre em contato conosco. 

ORAEXSmart Grid: uma perspectiva de cidade inteligente com aprendizado de máquina e IoT
Read More

Implementação de Cidades Inteligentes

No comments

As áreas urbanas estão sob pressão para aprimorarem seus planejamentos estratégicos, entregar cada vez mais e melhores operações e infraestrutura, e fazer isso a um custo acessível.  

A disponibilidade de dados reais na cidade é um elemento crítico para uma variedade de serviços e aplicações. Para indivíduos que usam transporte coletivos, dados de viagem em tempo real são relevantes, obtendo atualizações precisas do momento em que o ônibus ou trem irá passar. O ideal é promover um ecossistema em que as partes interessadas podem se engajar em uma gama de atividades online, como websites, serviços, empresas, turismo, que compartilham uma infraestrutura comum. 

Diversos setores do mercado de tecnologia estão identificando, planejando, implementando e distribuindo produtos específicos para programas de cidades inteligentes, que quando combinados podem ser geridos a favor da administração pública.  

Os produtos para cidades inteligentes devem ser simples de usar, eficazes, responder bem a mudanças, transparentes e ecologicamente corretos. As pessoas precisam que eles se integrem facilmente ao cotidiano, tornando o dia a dia melhor do que antes. As três áreas fundamentais que devem ser pensadas em suas interações: Dados, Informações e Infraestrutura. 

ORAEXImplementação de Cidades Inteligentes
Read More