A Identidade e a Segurança (Os Quatro Pilares da Identidade)

Identidade como o perímetro de segurança primário

A colaboração digital mudou, os funcionários, os parceiros e os clientes agora esperam poder colaborar e aceder aos recursos organizacionais de qualquer lugar, em qualquer dispositivo e sem afetar sua produtividade; além disso, houve uma aceleração do número de pessoas a trabalhar remotamente.

O modelo tradicional de segurança baseado no perímetro já não é suficiente, a identidade tornou-se o novo perímetro de segurança que permite que as organizações protejam seus ativos.

Mas o que entendemos por Identidade? Uma identidade é alguém, ou algo que pode ser verificado e autenticado, para ser quem diz que é; uma identidade pode ser associada a um utilizador, uma aplicação, um dispositivo, ou algo mais.

Os Quatro Pilares da Identidade

A identidade é um conceito que abrange todo um ambiente, portanto as organizações precisam pensar sobre identidade de forma ampla. De referir que existem quatro pilares fundamentais de identidade que as organizações precisam considerar, ao criar uma infraestrutura de identidade, que é a coleção de processos, tecnologias e políticas para gerir identidades digitais e controlar como as identidades podem ser usadas para aceder a recursos.

Administração. A administração é sobre a criação e gestão de identidades para utilizadores, dispositivos e serviços; como administrador, você gere como e em que circunstâncias as características das identidades podem mudar (ser criadas, atualizadas ou apagadas).

Autenticação. O pilar de autenticação conta a história de que garantia para uma determinada identidade é suficiente; por outras palavras, o que um sistema de TI necessita de saber sobre uma identidade, para ter provas suficientes de que eles realmente são quem dizem que são? No fundo envolve o ato de desafiar uma parte, para utilizar credenciais legítimas. A autenticação às vezes é encurtada para AuthN.

Autorização. O pilar de autorização trata do processamento dos dados de identidade recebidos, para determinar o nível de acesso que uma pessoa, ou serviço autenticado tem dentro do aplicação/serviço que deseja aceder. A autorização às vezes é abreviada para AuthZ.

Auditoria. O pilar de auditoria trata de rastrear quem faz o quê, quando, onde e como; a auditoria inclui relatórios detalhados, alertas e governança de identidades.

O Microsoft Azure Active Directory é um exemplo de Cloud Identity Provider, outros exemplos incluem Twitter, Google, Amazon, LinkedIn, ou o GitHub.

Data da última atualização: 25 de Agosto de 2022

Autor: Paulo Gameiro – Dataframe (General Manager)

DDoS – Distributed Denial of Service Attacks (Ataques Distribuídos de Negação de Serviço)

O objetivo de um ataque de negação de serviço distribuído (DDoS – Distributed Denial of Service Attacks) é sobrecarregar os recursos das aplicações e servidores, tornando-os sem resposta, ou lentos para os utilizadores genuínos; um ataque DDoS geralmente terá como alvo qualquer ponto final (endpoint) público que possa ser acedido pela Internet (ou seja, tenha um IP público).

Os três (3) tipos mais populares de ataque de negação de serviço distribuído (DDoS) são:

Ataques Volumétricos (Volumetric Attacks): Os ataques volumétricos são ataques baseados em volume que inundam a rede com tráfego, sobrecarregando a largura de banda disponível e o tráfego legítimo não consegue passar; esse tipo de ataques são medidos em bits por segundo.

Ataques de Protocolo (Protocol Attacks): Os ataques de protocolo tornam um alvo inacessível esgotando os recursos do servidor com solicitações de protocolo falsas que exploram pontos fracos nos protocolos da camada 3 do modelo OSI (Rede – Network) e da camada 4 (Transporte – Transport); esse tipo de ataques geralmente são medidos em pacotes por segundo.

Ataques à Camada de Recursos Aplicacionais (Resource Application Layer Attacks): Os ataques visam pacotes de aplicações da Web, para interromper a transmissão de dados entre os anfitriões (hosts).

A proteção contra DDoS pode ser realizada utilizando uma, ou várias firewall de rede (em casos de redes On-Premises \ Private Cloud), ou no caso de recursos num Cloud Provider, utilizando os mecanismos adequados, como no caso do Microsoft Azure, utilizando o Azure DDoS Protection.

A Dataframe para proteção em casos de redes On-Premises \ Private Cloud, utiliza firewall de rede da Cisco ASA 55xx, ou os Draytek Vigor Firewall Router & VPN Concentrator.

No caso Microsoft Azure (Cloud Provider), pode usar o Azure DDoS Protection para permitir que você proteja seus dispositivos e aplicações (recursos), analisando o tráfego na sua rede e tomando as medidas apropriadas, em caso de tráfego suspeito. A proteção contra DDoS do Microsoft Azure possui dois (2) níveis:

Básico: O nível de serviço básico é habilitado automaticamente, para cada propriedade no Azure, sem custo extra; como parte da plataforma Azure. A monitorização de tráfego está sempre ativa e a mitigação em tempo real de ataques mais comuns, fornecem as mesmas defesas que os serviços online da Microsoft.

Padrão: O nível de serviço padrão oferece recursos extras de mitigação que são ajustados especificamente para recursos de rede virtual do Microsoft Azure; o DDoS Protection Standard é simples de habilitar e não requer alterações das aplicações. As políticas de proteção são ajustadas por meio de monitoramento de tráfego dedicado e algoritmos de aprendizagem (IA – Inteligência Artificial) de máquina. As políticas são aplicadas a endereços IP públicos, que estão associados a recursos implantados em redes virtuais, como Azure Load Balancer e o Application Gateway.

Data da última atualização: 24 de Agosto de 2022

Autor: Paulo Gameiro – Dataframe (General Manager)

Microsoft Windows Security (Princípios Básicos de Segurança)

As condições de segurança das máquinas, com o sistema operativo Microsoft Windows, podem ser melhoradas drasticamente, com um conjunto de pequenas ações, bastante simples, como por exemplo:

  1. Atualizações do Software – As máquinas devem estar totalmente atualizadas e suportados, ao nível do sistema operativo Microsoft Windows (utilizando o Windows Update), devendo ser verificadas as corretas atualizações das máquinas periodicamente (aconselha-se no mínimo mensalmente).
    De referir que a versão Microsoft Windows 7, já foi descontinuada e não tem suporte (desde 14 de Janeiro de 2020) e a versão Microsoft Windows 8.1, vai ser descontinuada em 10 de Janeiro de 2023 (Windows 8.1 support will end on January 10, 2023). Para saber as últimas atualizações disponíveis, para o Microsoft Windows 10, poderá consultar Microsoft Windows 10 Version.

  2. Palavras-Passe – As palavras-passe (passwords) devem ser seguras e atualizadas com frequência, assim como serem diferentes entre si (ou seja caso possua várias) e somente de acesso da própria pessoa, sugere-se ainda:
    – Nunca usar palavras-passe (passwords) pessoais (por exemplo, das redes sociais), em sistemas empresariais.
    – Mudar as palavras-passe (passwords) de 3 em 3 meses (mínimo de 6 em 6 meses).
    – Mínimo de 15 caracteres (o ideal de 20 caracteres).*Incluindo letras maiúsculas, minúsculas, números e pelo menos dois ou três caracteres especiais)
    – Se possível usar sistemas sem password (como o Windows Hello, com por exemplo impressão digital)

  3. Software de Segurança – As máquinas deverão estar protegidas, por um software integrado de segurança, com uma consola centralizada e um sistema de alertas, instalado em todas as máquinas (como o Trend Micro Worry-Free Business Security, ou a versão cloud Worry-Free Services). O software deve incluir um conjunto de módulos que permitam no mínimo, verificação em tempo real Vírus \ Malware, verificação de E-mail, Firewall, Web Reputation, URL Filtering, proteção de Ransomware melhorada.

  4. Atualizações do Hardware – As máquinas devem estar totalmente atualizadas e suportados, ao nível do software pelo fabricante do hardware, em especial no que diz respeito ao firmware de BIOS, drivers de chipset e de placas de rede; utilizando por exemplo, utilitários como o HPE Support Assistant.

De notar que a existência das políticas acima aplicadas a cada máquina, não dispensa a existência de mecanismos de segurança de rede que permitam aumentar bastante o nível de segurança global, dos sistemas informáticos como um todo.

Data da última atualização: 23 de Agosto de 2022

Autor: Paulo Gameiro – Dataframe (General Manager)

Ransomware como serviço: Como funciona e o que significa para os defensores

O Ransomware é um tipo de malware que encripta as pastas e arquivos, impedindo o acesso legitimo aos arquivos; podendo também dar acesso não autorizado aos invasores, ou podendo permitir que eles usem os recursos do sistema, bloquear e impedir o seu acesso.

O ransomware como serviço (RaaS – Ransomware as a Service), não é apenas uma ameaça, é toda uma economia; com ele, invasores de baixa qualificação, obtêm acesso a ferramentas sofisticadas, aumentando o número de operadores que podem executar com sucesso um ataque de ransomware.

Para saber mais sobre essa ameaça crescente, leia o relatório da Microsoft em Ransomware as a Service: The New Face of Industrialized Cybercrime.

Descarregando o relatório da Microsoft acima, poderá ter acesso a mais informação, como por exemplo:

• Aprender como os agentes mal-intencionados rentabilizam as redes e credenciais comprometidas.
• Descobrir como o ransomware operado por humanos, contorna os centros de operação de segurança informática.
• Obter estratégias que podem ajudar a reduzir a sua superfície de ataque (attack surface) e ultrapassar a fadiga dos alertas.

A maior parte do software de segurança, já incorpora mecanismos para combater o ransomware de forma eficiente e eficaz, por exemplo o Trend Micro Worry-Free Business Security (ou a versão cloud Worry-Free Services do mesmo), têm mecanismos de proteção bastante eficientes e eficazes, para mais detalhes poderá ver o seguinte link Worry-Free Business Security – Enabling Ransomware Protection.

A Dataframe é Bronze Partner, da Trend Micro, estando habilitada a comercializar e a implementar a mais recentes soluções de segurança informática, com as referidas acima.

De referir que embora podendo aumentar-se o nível de segurança, com produtos adequados de segurança informática, convém nunca descurar os princípios básicos de segurança, para mais detalhes, ver artigo sobre o assunto neste blog, ou entre em contacto connosco Dataframe – Contactos.

Data da última atualização: 18 de Agosto de 2022

Autor: Paulo Gameiro – Dataframe (General Manager)

O que é um Vírus/Malware?

Um Vírus/Malware é um programa (um pedaço de código executável) que tem a capacidade de se replicar; os vírus/malware podem-se anexar-se praticamente a qualquer tipo de arquivo executável e são distribuídos como arquivos que são copiados e enviados de indivíduo para indivíduo.

Para além da replicação, alguns vírus/malware partilham outro ponto em comum: uma rotina de danos que são as ações executadas pelo vírus/malware; embora algumas ações possam exibir apenas mensagens ou imagens, algumas também podem destruir arquivos, reformatar o disco rígido, ou causar outros danos nos dispositivos.

Malware: O Malware é um programa (código executável) projetado para se infiltrar, ou danificar um dispositivo, sem o consentimento informado do proprietário. O Ransomware é um tipo de malware que encripta as pastas e arquivos, impedindo o acesso legitimo aos arquivos; podendo também dar acesso não autorizado aos invasores, ou podendo permitir que eles usem os recursos do sistema, bloquear e impedir o seu acesso.

Trojans: Um Trojan é um programa malicioso que se disfarça como uma aplicação inofensiva; ao contrário do vírus/malware, os Cavalos de Troia (Trojans) não se replicam, mas podem ser igualmente destrutivos. Uma aplicação que afirma livrar o seu dispositivo de vírus/malware quando na verdade introduz vírus/malware em seu dispositivo, é um exemplo de um Trojan.

Worms: Um worm é um programa independente (ou um conjunto de programas) capaz de espalhar cópias funcionais de si mesmo, ou dos seus segmentos, para outros dispositivos. A propagação geralmente ocorre por meio de conexões de rede, ou anexos de e-mail; ao contrário dos vírus/malwares, os worms não precisam se anexar a programas (código executável).

Backdoors: Uma backdoor é um método de contornar a autenticação normal, permitindo o acesso remoto, a um dispositivo e/ou obter acesso a informações, enquanto tenta permanecer indetetável.

Rootkit: Um rootkit é um conjunto de programas, projetados para corromper o controle legítimo de um sistema operativo, pelos seus utilizadores; normalmente, um rootkit ocultará sua instalação e tentará impedir a sua remoção, por meio de uma subversão da segurança padrão do sistema onde foi instalado.

Vírus de Macro: Os vírus de macro são específicos de determinadas aplicações (com capacidade de macro) e residem nos arquivos das aplicações, como o Microsoft Word (.doc), Microsoft Excel (.xls) e Microsoft PowerPoint (.ppt). Os vírus de macro viajam entre os arquivos de dados das aplicações e podem eventualmente infetar centenas de arquivos, de forma implacável.

Data da última atualização: 18 de Agosto de 2022