Categoria: Segurança Informática (IT Security)

Com a crescente adoção pelas organizações, da utilização dos serviços na nuvem (cloud), é importante perceber quais as responsabilidades em termos de segurança informática, de cada uma das partes.

Nas organizações tradicionais, em que todos os sistemas informáticos, se encontram nos seus centros de dados; ou seja, em organizações que executam apenas hardware e software localmente (On-Premises Datacenter), a organização é 100% responsável pela implementação de segurança e a conformidade dos seus sistemas informáticos.

Com os serviços baseados na nuvem (cloud), a responsabilidade é partilhada entre o cliente e o fornecedor de serviços da nuvem (por exemplo, Amazon, Google, Microsoft ou outros). O modelo de responsabilidade partilhada, pretende identificar quais as tarefas de segurança que são tratadas pelo fornecedor de serviços da nuvem e quais as tarefas de segurança que são realizadas pelo cliente.

O modelo de responsabilidade partilhada, torna as responsabilidades claras; quando as organizações movem dados para a nuvem (cloud), algumas responsabilidades são transferidas para o fornecedor de serviços da nuvem e outras permanecem na organização do cliente.

As responsabilidades da cada uma das partes varia, dependendo de onde a carga de trabalho (workload) está hospedada:

● Software como Serviço (SaaS – Software as a Service)
● Plataforma como Serviço (PaaS – Platform as a Service)
● Infraestrutura como Serviço (IaaS – Infrastructure as a Service)
● Centro de Dados Local (On-Prem – On-Premises Datacenter)

A figura acima (para o caso Microsoft, como fornecedor de serviços da nuvem), ilustra as áreas de responsabilidade entre o cliente e o fornecedor de serviços da nuvem.

Centro de Dados Local (On-Prem – On-Premises Datacenter) – Para um centro de dados local, você (cliente) é responsável por tudo, desde a segurança física (acesso físico, ao centro de dados), até à encriptação dos dados sensíveis (segurança dos dados) (pode ver mais, no nosso artigo Modelo de Camadas, para a Segurança Informática).

Infraestrutura como Serviço (IaaS – Infrastructure as a Service) – De todos os serviços de nuvem (cloud), o IaaS é o que requer mais gestão por parte do cliente; com IaaS, você está usando a infraestrutura física de computação do fornecedor de serviços na nuvem e as outras responsabilidades permanecem na organização do cliente. O cliente da nuvem (cloud) não é responsável pela parte física (hardware e localização), como os computadores e a rede que o suportam, ou a segurança física do centro de dados. No entanto, o cliente da nuvem (cloud) ainda é responsável pelos componentes de software, como os sistemas operativos, o controlo da rede, aplicações e a proteção dos dados (entre outras responsabilidades). As Máquinas Virtuais na nuvem (cloud), encontram-se entre os serviços IaaS – Infrastructure as a Service (pode consultar também What is IaaS?).

Plataforma como Serviço (PaaS – Platform as a Service) – A PaaS fornece um ambiente para criar, testar e implementar aplicações de software; o objetivo é ajudá-lo a criar uma aplicação rapidamente, sem ter se preocupar em gerir a infraestrutura subjacente. Com PaaS, o fornecedor de serviços da nuvem gere o hardware (e localização) e os sistemas operativos, o cliente é responsável pelas aplicações e dados, tendo responsabilidades partilhadas nalgumas áreas. Os App Services (para mais informação pode ver, em App Service), encontram-se entre os serviços PaaS – Platform as a Service (pode consultar também What is PaaS?).

Software como Serviço (SaaS – Software as a Service) – O SaaS é alojado e gerido pelo fornecedor de serviços da nuvem, para o cliente; geralmente é licenciado por meio de uma assinatura mensal, ou anual. O SaaS requer o mínimo de gestão por parte do cliente da nuvem, o fornecedor de serviços da nuvem é responsável por gerir praticamente tudo, exceto dados (informação), dispositivos, contas e identidades. O Microsoft 365, Skype e Dynamics 365 são exemplos de SaaS – Software as a Service (pode consultar também What is SaaS?).

Para qualquer questão adicional, sobre serviços na nuvem, contacte-nos; a Dataframe tem profissionais certificados, como Microsoft Certified: Azure Administrator Associate .

Data da última atualização: 28 de Novembro de 2022

Autor: Paulo Gameiro – Dataframe (General Manager)

Presentemente as questões de segurança informática, são cada vez mais variadas, existindo diferentes tipos de ameaças, algumas visam roubar dados, algumas visam roubar identidades, algumas pretendem interromper as operações normais, outras visam extorquir dinheiro; o presente tópico, pretende analisar de forma muito abreviada, algumas das ameaças informáticas mais comuns.

Data Breach (Violação de Dados) – Uma violação de dados ocorre quando os dados são roubados, isso inclui dados pessoais; dados pessoais significam qualquer informação relacionados com um indivíduo que podem ser usados para identificá-lo de forma direta, ou indireta.
As ameaças de segurança mais comuns que podem resultar em violação de dados pessoais incluem Phishing, Spear Phishing, golpes de suporte técnico (Tech Support Scams), injeção de SQL (SQL Injection) e Malware projetado para roubar senhas, ou dados bancários. Caso pretenda saber um pouco mais sobre este assunto, poderá consultar em breve, o nosso artigo futuro Ataques de Identidade mais Comuns.

Brute Force Attacks (Ataques de Força Bruta) – Um ataque de força bruta, é um tipo de ataque de identidade em que um hacker tenta roubar uma identidade, tentando um grande número de utilizadores e senhas (password´s) conhecidas; cada senha (password), é testada automaticamente em relação a um nome de utilizador conhecido.

Ransomware – O Malware é um programa \ aplicação (código executável) projetado para se infiltrar, interromper o uso normal dos dispositivos, ou mesmo danificar um dispositivo, sem o consentimento informado do proprietário. O Ransomware é um tipo de malware que encripta as pastas e arquivos, impedindo o acesso legitimo aos arquivos; podendo também dar acesso não autorizado aos invasores, ou podendo permitir que eles usem os recursos do sistema, bloquear e impedir o seu acesso. O Ransomware muitas vezes tenta também extorquir dinheiro das vítimas, geralmente na forma de cripto moedas, em troca da chave de desencriptação. Caso pretenda saber um pouco mais sobre este assunto, poderá consultar o nosso artigo Ransomware como serviço: Como funciona e o que significa para os defensores.

Disruptive Attacks (Ataques Disruptivos) – O objetivo de um ataque de negação de serviço distribuído (DDoS – Distributed Denial of Service Attacks), é sobrecarregar os recursos das aplicações e servidores, tornando-os sem resposta, ou lentos para os utilizadores legítimos; um ataque DDoS geralmente terá como alvo qualquer ponto final (endpoint) público que possa ser acedido pela Internet (ou seja, tenha um IP público). Caso pretenda saber um pouco mais sobre este assunto, poderá consultar o nosso artigo DDoS – Distributed Denial of Service Attacks (Ataques Distribuídos de Negação de Serviço) .

Outras ameaças mais comuns incluem, por exemplo, Rootkits, Trojans, Worms e Exploits; caso pretenda saber um pouco mais sobre estes tópicos, poderá consultar o nosso artigo O que é um Vírus/Malware? .

Rootkits pretende intercetar e alterar os processos padrão, dos sistemas operativos; depois de um rootkit infetar um dispositivo, não podemos confiar em qualquer informação que o dispositivo relata sobre si mesmo.

Trojans são um tipo comum de malware que não se pode espalhar e replicar por conta própria; isso significa que eles têm que ser descarregados e instalados manualmente, ou outro malware precisa instalá-los. Os cavalos de Tróia (Trojans) costumam usar os mesmos nomes dos arquivos das aplicações originais e legítimas, por isso é fácil descarregar instalar acidentalmente um trojan pensando que ele é legítimo.

Worm é um tipo de malware que se pode copiar a si mesmo e geralmente se espalha por uma rede, explorando vulnerabilidades de segurança; ele pode-se espalhar através de anexos de e-mail, mensagens de texto, programas de partilha de arquivos, sites de redes sociais, partilhas de rede (share´s), unidades amovíveis e vulnerabilidades de software.

Exploits aproveitam as vulnerabilidades do software; uma vulnerabilidade, é uma fraqueza, ou uma falha, do seu software que o malware usa para entrar no seu dispositivo. O malware explora essas vulnerabilidades, para contornar os mecanismos de segurança normais do seu dispositivo e infetar o seu dispositivo.

Data da última atualização: 14 de Novembro de 2022

Autor: Paulo Gameiro – Dataframe (General Manager)

Em primeiro lugar, para as máquinas que se pretende que sejam acedidas na rede local (ou para as que acedem), as mesmas deverão garantir que têm as condições de segurança mínimas para serem acedidas, para isso pode ler o nosso artigo, como garantir Microsoft Windows Security (Princípios Básicos de Segurança).*Caso sejam clientes tipo Microsoft Windows 10 (para servidores, ver artigo a publicar em breve).

As máquinas com acesso remoto, deverão ter obrigatoriamente todas as atualizações do sistema operativo instaladas (atualizações do software).

As máquinas com acesso remoto, deverão ter obrigatoriamente todas as atualizações do fabricante instaladas (atualizações de hardware).

As máquinas com acesso remoto, deverão ter obrigatoriamente um software de segurança instalado, como por exemplo, o Trend Micro Worry-Free, com firewall ativado.

As máquinas (com acesso remoto), sempre que não sejam necessárias, para acesso remoto, devem ser desligadas e depois realizar o “Wake on LAN” para as “acordar” e permitir-nos o acesso remoto.

As máquinas com acesso remoto, podem ter instalado, um software de proteção para o acesso RDP (Remote Desktop Protocol), poderá consultar o nosso artigo O que é o RDP (Remote Desktop Protocol)?. Para proteger o acesso por RDP, podemos usar por exemplo, o RDS-Knight, usando para clientes o RDS-Knight Security Essentials e para servidores o RDS-Knight Ultimate Protection.

No caso das máquinas que não sejam acedidas remotamente, verificar que o acesso RDP (Remote Desktop Protocol), se encontra desativado (ou seja, a porta TCP 3389, não se encontra acessível na máquina).

O acesso por RDP (Remote Desktop Protocol), não deve ser exposto diretamente para o exterior, o acesso deve somente ser realizado depois de estabelecer uma VPN, usando protocolos com encriptação, como por exemplo IKEv2 (IPSec), ou SSL; poderá também consultar o nosso artigo O que é uma VPN (Virtual Private Network)?.

Nas máquinas Microsoft Windows que são acedidas (sejam clientes, ou servidores), podemos colocar alertas no “Event Viewer“, nos eventos de “Security”, para o evento ID 4625 (Failed Login). Por exemplo enviando um SMS quando existe um evento falhado de login no computador (como fazemos utilizando o nosso utilitário SMS.EXE, da Dataframe; para mais detalhes consultar O que é a Gateway SMS, da Dataframe e como se utiliza?).

Nas máquinas Microsoft Windows podemos colocar alertas de Logon\Logoff (sejam clientes, ou servidores), por e-mail, ou por SMS (utilizando o nosso utilitário SMS.EXE, da Dataframe), cada vez que existe um acesso a essa máquina.

Os utilizadores locais das máquinas (com privilégios de administração, vulgo Administrator), deverão usar password´s bastante “robustas” (normalmente não são mudadas com frequência), para isso aconselha-se a verificar:

– Mínimo de 20 caracteres (o ideal, com 30 caracteres).

– Verificar e reduzir a um (1) utilizador local, com privilégios de administração (vulgo Administrator).

As máquinas que usam soluções cliente\agente, para os acessos remotos, como por exemplo, as soluções TeamViewer, LogMeIn, AnyDesk, ou outras, devem ser verificadas e em todas as máquinas, onde não sejam necessárias, devem ser removidas.

Em caso de dúvida, sobre as ligações estabelecidas para uma máquina, podem sempre aceder à máquina, executar a ferramenta gratuita Microsoft TCP View e verificar todas as ligações que se encontram estabelecidas, com essa máquina.

Data da última atualização: 17 de Outubro de 2022

Autor: Paulo Gameiro – Dataframe (General Manager)

Um dos assuntos mais menosprezados em informática seguramente que será o das cópias de segurança dos sistemas informáticos (vulgo backups) e da informação que as mesmas contém, isto porque supostamente todos temos conhecimento da necessidade da sua existência, mas a grande questão que se coloca é, se quando são necessárias, existem e estão válidas (ou seja, a informação \ dados que pretendemos são recuperáveis)?

No fundo as cópias de segurança dos sistemas informáticos, pretendem dar resposta a uma questão simples que é, em caso de corrupção do sistema (acidental, ou danosa), se podemos recuperar o sistema em causa para antes da ocorrência desse acidente, isto caso não tenhamos como alternativa a reparação e nos reste como alterativa repor o sistema, como se encontrava antes do acidente.

Em primeiro lugar, podemos ter causas acidentais, por exemplo a avaria do hardware, onde está contida a informação (dados); ou por outro lado, causas danosas, por exemplo com um incidente de segurança envolvendo Ransomware que nos impossibilitem o acesso ao sistema \ informação nele contida (dados).

Em segundo lugar, será importante perceber se queremos recuperar o sistema como um todo (incluindo o computador e sistema operativo respetivo), ou somente os dados relevantes que se encontravam dentro do mesmo sistema (ficheiros, e-mail, bases de dados, etc).

Uma certeza devemos ter, devem sempre existir cópias de segurança dos sistemas informáticos (vulgo backups), isto se queremos garantir que em caso de acidente, poderemos ter novamente acesso à informação que tínhamos armazenada nesses computadores \ dispositivos.

Contudo o facto de termos cópias de segurança dos sistemas informáticos (vulgo backups), não quer dizer que tenhamos capacidade de recuperar a informação pretendida, entre outras razões porque essas cópias podem não ser facilmente recuperáveis, ou não ser recuperáveis de todo.

A existência de cópias de segurança dos sistemas informáticos (vulgo backups), requer testes de recuperação de dados, o mais realísticos possível, de forma a garantir que a informação a recuperar se encontra efetivamente guardada, é recuperável e a recuperação decorre em tempo útil.

De forma muito resumida, temos então algumas questões importantes a considerar quando pretendemos ter um sistema de cópias de segurança dos sistemas informáticos (vulgo backups), robusto e funcional:
• Qual a informação a salvaguardar – O que pretendemos salvaguardar, todo o sistema, os dados que se encontram nesse sistema, ou simplesmente recuperar um ficheiro (ou um conjunto de ficheiros)?
• Qual a frequências das cópias – Devemos garantir que as realizamos com frequência e periodicidade adequada ao tipo de recuperação que pretendemos; ou seja, determinar qual a frequência das cópias da informação a salvaguardar.
• Que testes de recuperação (restore) – Devem ser realizados testes de recuperação, das cópias de segurança dos sistemas informáticos (vulgo backups), com periodicidade e verificar a integridade da informação recuperada (e se a mesma é recuperável).
• Duração do processo de salvaguarda e recuperação – A recuperação da informação decorre num intervalo de tempo aceitável (janela de tempo de recuperação da informação), para a paragem do negócio? O processo de salvaguarda realiza-se em tempo adequado e mantém a integridade da informação?
• Localização das cópias de segurança – As cópias de segurança dos sistemas informáticos (vulgo backups), existem somente sob uma forma, ou num sistema, ou existem de forma redundante em diferentes formas \ formatos e diferentes sistemas? As cópias só existem na localização física dos sistemas informáticos, ou existem em diferentes localizações físicas?
• Segurança da informação – Os dados devem estar protegidos, de forma a garantir a segurança do acesso aos mesmos, por exemplo encriptando (codificando) a informação a salvaguardar ? O acesso às cópias de segurança deve ter restrições de acesso e de que tipo?
• Identificação das cópias de segurança – As cópias de segurança dos sistemas informáticos (vulgo backups), são facilmente localizáveis e identificáveis (de que data, de que sistema\dados, de que tipo (totais, incrementais, diferenciais, etc)?

Data da última atualização: 10 de Outubro de 2022

Autor: Paulo Gameiro – Dataframe (General Manager)