Últimas notícias

Fique informado

No centro de ataques cibernéticos, falhas em programas de segurança de software desafiam organizações

15 de dezembro de 2020

Spotlight

Empresas priorizam a proteção de dados do cliente, mas continuam deixando-os expostos, revela o estudo global de tendências de criptografia de 2021 da Entrust

Realizado pelo Ponemon Institute, o 16º estudo anual destaca que metade das organizações finalmente alcançaram uma estratégia de criptografia consistente e outras tendências importantes em criptografia e cibersegurança.

14 de abril de 2021

Philip R. Zimmermann, one of the most important cryptografer, present a new webserie. Do not miss the 1st episode!

AET Security Topics | EP1: Post-Quantum Algorithms. Philip R. Zimmermann, um dos maiores criptógrafos, apresenta a nova webserie da AET Europe.

9 de abril de 2021

Viviane Bertol explica o que é AR Eletrônica e fala sobre os novos procedimentos de validação da ICP-Brasil

Drª Viviane Bertol, fala sobre os novos procedimentos da ICP-Brasil, panorama mundial de eIDs e sobre LGPD.

8 de abril de 2021

Kryptus fala sobre o Blockchain na estrutura de Carimbo do Tempo da ICP-Brasil

A ICP-Brasil abrigará o novo protocolo de carimbo do tempo com a adoção da tecnologia Blockchain e a Kryptus explica como.

31 de março de 2021

Indústria Financeira Registra Aumento de Ataques Phishing

Maioria das ameaças em phishing visa o roubo de dados sensíveis armazenados na rede

14 de dezembro de 2020

Os ataques cibernéticos aumentaram com a pandemia e no centro do problema estão os programas de segurança de software atuais, que não acompanham o ritmo das ameaças, do desenvolvimento e do home office

Por Ronald Glatz

Ronald Glatz – Administrador de redes e infraestrutura da Supero Tecnologia

Somente de janeiro a setembro deste ano, foram mais de 3,4 bilhões de tentativas no país, segundo a Fortinet, líder global em segurança cibernética.

No terceiro trimestre, a ameaça com mais investidas no Brasil – foram 284 milhões – se aproveitou do uso de softwares sem atualização pelas empresas. Esses impactos geram novas tendências, e as organizações precisam estar preparadas para que falhas de segurança não se repitam e 2021 não seja mais um ano de vulnerabilidades. 

Outro relatório recente sobre o tema, da empresa de pesquisas norte-americana Forrester Research, intitulado “The state of application security 2020” (“O estado da segurança de aplicativos 2020”, numa tradução livre), reforça a urgência de se tratar o tema. Quase metade dos entrevistados (42%) afirmou que os ataques externos experimentados por suas organizações exploraram as vulnerabilidades de um software. 

Na prática, isso se traduz em programas que se infiltram nos sistemas de forma ilícita para alterar ou roubar informações, chamados de malware; no uso de e-mails e outros tipos de mensagens eletrônicas em nome de instituições confiáveis na tentativa fraudulenta de obter informações confidenciais como nomes de usuário, senhas e detalhes de cartão de crédito, o phishing; e no bloqueio de sistemas cuja liberação é condicionada ao pagamento de resgate, sob ameaça de publicação ou até mesmo destruição de arquivos, o atualíssimo ransomware; só para citar os mais comuns. 

Os resultados mapeados pelas duas pesquisas estão longe de surpreender. Cada vez mais complexas, as aplicações exploradas nesses ataques se apoiam em elementos internos e de parceiros externos, além de serem constantemente ampliadas para suportar novas funcionalidades e operações, o que as fragiliza ao longo do tempo. 

Para piorar o quadro, a pesquisa da Forrester indica que só uma menor parte das organizações está respondendo a esses problemas: apenas 14% das empresas respondentes integram de fato a segurança em todo o ciclo de desenvolvimento de softwares, e as que estão começando a fazê-lo iniciam a integração normalmente pela fase de testes. 

O diagnóstico dessas análises é que, agindo assim, as organizações terão dificuldade de manter seguras suas aplicações. Sem o amplo uso de automação e ferramentas, bem como processos e pessoas engajadas, é inviável  construir e manter softwares antecipando falhas. Como se isso não fosse o bastante, 2020 trouxe uma variável a mais nessa equação: o home office e toda a cascata de vulnerabilidades que veio com ele.

Nesse contexto, é possível observar quais tendências em segurança de softwares devem se desenhar e ganhar tração junto às organizações no novo ano que se aproxima. A primeira delas é a implementação de testes de segurança mais cedo no ciclo de desenvolvimento. É preciso criar esforços redobrados para identificar e lidar com problemas de segurança em software precoce e facilmente, durante todo o desenvolvimento.

Essa abordagem está em estreita consonância com a adoção de práticas que aproximam os desenvolvedores de software (Devs) e os operadores do software/administradores do sistema (Ops). Ela ajudará o time de segurança a ganhar consciência de que nem todos os problemas serão resolvidos antes do desenvolvimento e a fazer com que desenvolvedores vejam a segurança como responsabilidade deles também.

A segunda tendência é automatizar os testes. Substituir a governança manual pela automação diminuirá vulnerabilidades e educará os desenvolvedores em tempo real, pois quanto mais testes e mais precoces eles forem, mais rapidamente as falhas são reparadas e por quem escreveu o código. 

Também já se percebem mais investimentos em SCA – Software Composition Analysis -, que não apenas identifica vulnerabilidades em softwares de código aberto, como recomenda maneiras de remediá-las, permitindo que desenvolvedores as implementem com apenas um clique.

Apesar de requerer alto nível de confiança na ferramenta, construí-la pode ser mais uma maneira de escalar o desenvolvimento com segurança. Mas, para isso, será fundamental fornecer aos desenvolvedores um guia sobre quando aceitar as recomendações da ferramenta ou quando buscar uma aprovação adicional.

Por último, é preciso ter na equipe desenvolvedores campeões em segurança. Eles serão os pontos de referência do time, oferecendo conselhos e ajuda na resolução de problemas, mas também fazendo a ponte de contato com a equipe de segurança.

No entanto, as empresas não devem ter a ilusão de encontrar esse profissional completamente pronto no mercado. Segurança é notoriamente um tema negligenciado nos cursos de graduação da área, sendo bem conhecido o gap em boas práticas de segurança em desenvolvimento.

Tudo indica que o cenário forçará as empresas a assumir parte da demanda por educação da força de trabalho e a desenvolver essas skills, priorizando treinamentos e capacitações dentro do plano de carreira. 

O próximo ano seguirá sendo sensível no que tange à cibersegurança, tendo em vista a possibilidade real de o home office ser mantido nas organizações – trabalhadores remotos se tornam alvos fáceis porque não há investimento em cibersegurança em casa, como na empresa.

Portanto, é preciso considerar esta área no planejamento do orçamento para 2021, a fim de não expor a organização a riscos desnecessários.

US Agencies and FireEye Were Hacked Using SolarWinds Software Backdoor

Atualizar softwares corporativos pode diminuir em 3/4 os prejuízos de um ciberataque, afirma Kaspersky

RansomEXX e Egregor: famílias de ransomware intensificam ataques

Content Syndication

Content syndication – distribuição de conteúdo é um método de republicar conteúdo desenvolvido por sua empresa em outros sites para atingir um público mais amplo e levar novos visitantes a seu site. Fale conosco sobre Content Syndication, contato@cryptoid.com.br | +55 11 3881 0019.

Surpreenda-se com a qualificação da nossa audiência! Mídia Kit.