SegInfocast #33 – Livro “Segurança de Automação Industrial e SCADA”

SegInfocast #33 – Livro “Segurança de Automação Industrial e SCADA”

Faça o download aqui(28:41 min, 19,8 MB)

Paulo Sant’anna recebe pela primeira vez Marcelo Branquinho, fundador e CEO da TI Safe Segurança da Informação, para uma conversa sobre SCADA e automação industrial.

Qual o significado do termo SCADA? 

SCADA é o acrônimo para Supervisory Control and Data Acquisition, ou seja, sistemas de controle e supervisão e aquisição de dados, que embora não estejam visíveis ao grande publico são utilizados  na gerência de infraestruturas críticas muito importantes para as cidades como energia elétrica, purificação de água, sinalização de trânsito, tráfego aéreo e outros.

Qual a importância da preocupação com segurança em sistemas SCADA?

Esses sistemas controlam serviços fundamentais e muitos deles são antigos, criados nos anos 90, sem a preocupação com segurança lógica, somente com a física. Porém com o advento da internet, os riscos de ataques se tornaram mais visíveis, aumentando a preocupação com a segurança. Há um outro agravante: aqueles que deveriam ser os sistemas mais protegidos, são os mais negligenciados, colocando em risco a vida de milhares de pessoas, em caso de comprometimento. Alguns exemplos reais de ataque dados por Marcelo Branquinho: o incidente em uma usina de energia, que deixou milhares de pessoas sem luz na Ucrânia durante seis horas e o envenenamento de água de uma cidade norte-americana através da invasão do sistema de distribuição.

Seguranca-de-Automacao-Industrial-e-SCADA

Quais foram as motivações para escrever o livro “Segurança de Automação Industrial e SCADA”?

Branquinho diz que o livro procura descrever o que são esses sistemas de automação e a sua importância para a sociedade. Hoje, os sistemas SCADA são vitais para o funcionamento das grandes cidades, porém o nível de segurança ainda precisa melhorar, especialmente em tempos de guerra cibernética – que já foi tema do episódio 21 do SegInfocast, através do livro “Guerra Cibernética – A próxima ameaça à segurança e o que fazer a respeito“.

Quem deveria ler esse livro?

Security Officers, profissionais de TI, Segurança da Informação e de Tecnologia de Automação são o público alvo do livro.

Marcelo Branquinho é Engenheiro Eletricista com especialização em sistemas de computação e MBA em Gestão de Negócios. É fundador e CEO da TI Safe Segurança da Informação, além de ser especialista em sistemas SCADA com mais de 15 anos de experiência no ramo de infraestruturas críticas. É também o coordenador da formação em segurança em automação industrial. Membro sênior da ISSA Internacional.

SegInfocast #32 – A importância de desenvolver sistemas seguros, do projeto à produção

SegInfocast #32 – A importância de desenvolver sistemas seguros, do projeto à produção

Faça o download aqui(12:18 min, 8,5 MB)

Paulo Sant’anna recebe novamente Davidson Boccardo, instrutor da Academia Clavis Segurança da Informação, para uma conversa sobre Desenvolvimento Seguro.

Qual a importância do desenvolvimento seguro desde a concepção dos sistemas?

Atualmente, nota-se uma mudança no pensamento por parte das empresas e governos sobre o tema segurança de software. Antes visto como um acréscimo durante o desenvolvimento do software, hoje é visto como uma estratégia para maximizar o retorno sobre o investimento. Neste podcast Davidson evidencia as vulnerabilidades mais exploradas nos dias de hoje e enfatiza a importância do treinamento e conscientização em práticas de codificação segura de software como forma de mitigá-las.

Como os conceitos básicos de desenvolvimento seguro podem ser aplicados na vida real?

Davidson cita um exemplo de comércio eletrônico, onde graças a adequada implementação de controles de Segurança da Informação, informações pessoais de clientes não são revelados,  valores de produtos não são alterados e o site permanece disponível a qualquer hora que o cliente queira acessá-lo, mesmo em períodos de grande quantidade de acessos.

Quais as vulnerabilidades mais predominantes no momento?

O entrevistado enfatiza a importância da conscientização e treinamento mencionando e explicando cada um dos tópicos abordados no curso Secure Programming Foundation da EXIN.

Se você ficou interessado sobre o tema, veja também o Webinar #28 – Exploração de Vulnerabilidades em Softwares InSeguros (Parceria EXIN e Clavis).

Para inscrição no curso oficial à distância da EXIN Secure Programming Foundation, com voucher para a prova, acesse o link.

Davidson Boccardo é Doutor em Engenharia Elétrica pela faculdade de Engenharia de Ilha Solteiro com período na Universidade de Louisiana e especialista em análise de código malicioso. Atualmente é docente permanente da pós graduação de metrologia e qualidade do Instituto Nacional de Metrologia, Qualidade e Tecnologia. Possui certificado CHFI pela EC-Council e Secure Programming pela EXIN. É instrutor da Clavis Security na trilha de forense computacional e do curso Secure Programming Foundation.

SegInfocast #31 – Octopus – Security Information and Event Management

SegInfocast #31 – Octopus – Security Information and Event Management

Faça o download aqui(30:11 min, 20,8 MB)

Paulo Sant’anna reencontra o especialista em Segurança da Informação Rodrigo Montoro (@spookerlabs), da área de Pesquisa, Desenvolvimento e Inovação da Clavis, para uma conversa sobre o Octopus.

Quais foram as motivações para a criação do Octopus?

Rodrigo comenta que uma situação comum em muitas empresas é o orçamento limitado para compra de soluções de segurança, estas com valores altamente elevados. Paralelo aos orçamentos apertados, os produtos de SIEM foram muitas vezes vendidos como “caixas mágicas”, no qual você plugaria ela na sua rede e teria relatórios alertandos para seus problemas de segurança, fraudes e atividades maliciosas, fazendo com que projetos onde foram investidos milhões sem resultado esperado. E para finalizar, sempre temos que pensar que conhecimento e experiência trarão resultados e não o produto em si.

Octopus-Clavis-SIEM

É mais um produto SIEM tradicional de mercado?

O Octopus não é um produto de prateleira tradicional, mas sim uma solução que visa entregar inteligência na correlação de eventos e análise de ameaças. A empresa adquire o expertise da Clavis. A solução utiliza várias ferramentas open-source, como o ELK, tema do SegInfocast #25, o que torna possível até um entusiasta montar um Octopus próprio, se desejar.

Quais as funcionalidades?

O Octopus é um serviço, totalmente escalável e customizável. Ele também consegue extrair informações de diversas fontes para correlação de eventos sem cobrança adicional de conectores.

E os benefícios?

Trata-se de um serviço contínuo (24×7) e se beneficia da proteção ativa contra novas ameaças com a combinação de fontes diversas e proporciona aos clientes, visibilidade do ambiente através de dashboards.

Se você quer saber mais detalhes sobre a solução, visite o site da Clavis!

Rodrigo “Sp0oKeR” Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em Open Source. Atualmente trabalha como pesquisador na Clavis. Anteriormente trabalhou na Sucuri Security e Spiderlabs. Já palestrou em inúmeros eventos no Brasil (FISL, CONISLI, Latinoware, H2HC, BSides), EUA (Source Boston / Seattle, Toorcon, Bsides Las Vegas) e Canadá (SecTor). Possui 2 patentes na detecção de Malwares (PDF e cabeçalhos HTTP), resultados de suas pesquisas. Fundador e evangelista da comunidade Snort no Brasil desde 2003. Nas horas vagas faz triathlon e corrida em trilhas.

Páginas relacionadas: 

SegInfocast #30 – Contas, senhas e privilégios: onde atacarão e como se proteger

SegInfocast #30 – Contas, senhas e privilégios: onde atacarão e como se proteger

Faça o download aqui(34:14 min, 23,6 MB)

É com muita satisfação que comemoramos o terceiro ano do SegInfocast.

Neste episódio, Paulo Sant’anna recebe Geraldo Bravo, engenheiro de pre-vendas da Cyberark para uma conversa sobre contas, senhas e privilégios, dando continuidade aos assuntos abordados por Carolina Bozza no SegInfocast #27

Qual a diferença entre gestão de identidade e contas privilegiadas?

Geraldo explica que a gestão de identidade é uma atividade –  tradicionalmente de implementação em longo prazo – que procura dar conta do gerenciamento e proteção dos mais variados tipos contas, desde aquelas usadas por pessoas com baixo nível de privilégio a sistemas, até as contas privilegiadas que possuem acesso a um número maior de componentes críticos. De acordo com ele, quando se foca no controle dessas contas há um retorno do investimento em menos tempo.

Quais são os riscos e ataques envolvendo contas privilegiadas?

As contas administrativas que são criadas por padrão em vários sistemas operacionais contribuem para tornar muito ampla a superfície de ataque. O uso da senha padrão, a reutilização de senhas em vários dispositivos ou programas, senhas embutidas em códigos e sistemas legados também facilitam e muito a vida de um atacante .

Exemplos de ataques e técnicas de invasão

O pass-the-hash (descoberta e uso indevido de um hash de senha) é um ataque muito usado para escalonamento de privilégios. Ameaças internas de um funcionário ou um terceiro também não devem ser ignoradas. Outro exemplo é o chamado golden ticket, que consiste em forjar um ticket Kerberos, que possui uma validade bem extensa, para obter credenciais administrativas.

Quais as novas tendências de proteção contra esses ataques?

Automatização da gestão de privilégios, controle de senhas, e monitoramento de comandos são algumas das mais novas tendências que podem proteger as empresas contra esses ataques.

Geraldo Bravo é engenheiro de pré-vendas da Cyberak com experiência de mais de 10 anos na área de redes e segurança da informação. Atuou em outras áreas como Gestão de Projetos e Gestão de Equipes e possui diversas certificações de segurança da informação.

SegInfocast #29 – YSTS (You Sh0t The Sheriff) 10ª Edição

SegInfocast #29 – YSTS (You Sh0t The Sheriff) 10ª Edição

Faça o download aqui(17:46 min, 12,3 MB)

Paulo Sant’anna recebe Willian Caprino, da área de Desenvolvimento de Novos Projetos na Clavis  para uma conversa sobre a 10ª edição do evento YSTS (You Shot The Sheriff). Os temas abordados foram:

O que é o YSTS (You Sh0t The Sheriff)?

Willian explica a história do evento, como surgiu o seu formato descontraído diferente dos demais eventos de segurança, curiosidades, palestrantes nacionais e internacionais, e muito mais.

O que esperar da edição de 2016?

O evento será realizado em 13 de junho deste ano, uma segunda-feira. Nosso convidado informa que a quantidade de palestras este ano será menor que os outros anos visando facilitar o networking entre os convidados. O CFP (Call For Papers) está aberto e o prazo final para submissões é o dia 01 de março.

Patrocinadores confirmados

Várias empresas já manifestaram interesse em patrocinar o evento, porém até o momento somente a Clavis está confirmada. Quem tiver interesse em patrocinar deve entrar em contato pelo email info[at]stsproducoes.com.br.

Willian Caprino tem experiência de mais de 20 anos na área de TI. É co-fundador da ioPublishing, empresa de produção de conteúdo para a Internet, organizou o livro “Trilhas em Segurança da Informação – Caminhos e Ideias para a Proteção de Dados” e também é um dos organizadores dos eventos de segurança da informação: You Shot The Sheriff e Silver Bullet.

SegInfocast #28 – EXIN ISFS ISO 27002 Foundation – Segurança da Informação – Conceitos e fundamentos baseados na ISO 27002

SegInfocast #28 – EXIN ISFS ISO 27002 Foundation – Segurança da Informação – Conceitos e fundamentos baseados na ISO 27002

Faça o download aqui(27:16 min, 18,8 MB)

Paulo Sant’anna recebe Fernando Fonseca, instrutor na Clavis  Segurança da Informação, profissional com mais de 30 anos de experiência no mercado de TI, para uma conversa sobre a norma ISO 27002 e a certificação da EXIN ISFS ISO 27002 Foundation. Leia os assuntos abordados nesse podcast:

O que é a ISO 27002?

Nosso convidado explica a história da norma ISO 27002, quais os objetivos, das 15 categorias de controles que vão desde a segurança física até questões de criptografia, controle de acesso e outras.

A EXIN e a certificação ISFS ISO 27002 Foundation

Fernando comenta que a EXIN é conhecida no Brasil principalmente pela certificação ITIL. A certificação ISFS Foundation trata dos fundamentos da Segurança da Informação, e é recomendada tanto para profissionais de TI que querem seguir na carreira de Segurança quanto para aqueles que somente querem conhecer os conceitos, como auditores, desenvolvedores, DBA e até mesmo quem não é da área de TI, agregando mais valor as empresas.

A ementa do curso

São citados alguns pontos que serão abordados no curso como organização de Segurança, ameaças (hacking, engenharia social) e as proteções relacionadas, e muito mais. O curso também é direcionado para as pessoas não-técnicas.

Certificações em Segurança da Informação

Em 2013, Paulo e Fernando gravaram o SegInfocast #4, que tratava sobre carreira e certificações em Segurança da Informação. As certificações atestam que o profissional tem um conhecimento sobre o assunto e é um ponto favorável na hora de uma seleção de um emprego. A EXIN ISFS é considerada a porta de entrada para a carreira de Segurança da Informação.

Curso Oficial EXIN ISFS ISO 27002

Fernando será o instrutor do curso oficial da EXIN ISFS ISO 27002 à distância que será lançado no segundo semestre de 2016 pela Clavis. Todo aluno deste curso receberá um voucher para fazer o exame online, de qualquer lugar através da modalidade “EXIN Anywhere”

Livro

Também no segundo semestre, será lançado o livro oficial da certificação, homologado pela EXIN que servirá como um livro para estudo próprio.

Fernando Fonseca tem mais de 30 anos de experiência em TI. É diretor de ensino da Antebellum Capacitação Profissional e instrutor na Clavis Segurança da Informação. É certificado e habilitado para ministrar cursos oficiais da Microsoft, Exin, EC-Council, ISACA e PCI-DSS.

SegInfocast #27 – Cofre de Senhas e Gerenciamento de Identidades

SegInfocast #27 – Cofre de Senhas e Gerenciamento de Identidades

Faça o download aqui(21:46 min, 15 MB)

Paulo Sant’anna recebe Carolina Bozza, Country Manager da CyberArk, profissional com mais de 10 anos de experiência no mercado de TI, para uma conversa sobre Cofre de Senhas e Gerenciamento de Identidades. Dentre os vários assuntos, podemos destacar:

O que é um cofre de senhas?

Nossa convidada explica o que é um cofre de senhas, suas características, diferentes versões e objetivos.

Desafios e principais problemas de senhas e gerenciamento de identidades

Quais os principais (e comuns) problemas enfrentados pelas empresas brasileiras no dia a dia? Carolina cita casos reais onde a falta do gerenciamento adequado de senhas traz a tona problemas muitas vezes inesperados.

Implementação de um Cofre de Senhas

Carolina comenta sobre os principais desafios na implementação de um cofre de senhas, e cita as principais dicas para que o projeto seja bem sucedido.

E os Benefícios?

Além da melhor gestão da identidade, a implementação traz outros benefícios como auditoria, gerenciamento de contas privilegiadas, entre outros.

Carolina Bozza tem mais de 10 anos de experiência em TI. Atualmente trabalha como Country Manager da CyberArk. Foi coautora da publicação: “Guia de Segurança para e-Commerce”. Já palestrou em vários eventos no Brasil como SecureBrasil, Roadsec, MindTheSec, SecurityDay, BHack entre outros.

SegInfocast #26 – Advanced Persistent Threats

SegInfocast #26 – Advanced Persistent Threats

Faça o download aqui(29:52 min, 20,6 MB)

Paulo Sant’anna recebe Nycholas Szucko, Country Manager da FireEye, profissional com vasta experiência no mercado, para uma conversa sobre APT (Advanced Persistent Threats), entre outras questões relevantes para a atualidade.

O que é um APT (Advanced Persistent Threats)

O nosso convidado explica o que é um APT, que no português seria algo como Ameaça Avançada Persistente. Falando também sobre características do problema, e claro, citando soluções para detectar os ataques.

O Brasil é o país mais visado por criminosos cibernéticos na América Latina

O profissional fala sobre um recente relatório sobre ataques cibernéticos na América Latina, no qual o Brasil está nas primeiras posições de maiores alvos de criminosos, além de citar também os setores mais afetados pelos invasores.

Exploit Zero-Day ou ZETA

O especialista faz um comentário aprofundado sobre a exploração de brechas por parte dos atacantes. Orientando as indústrias mais visíveis para se prepararem contra Exploits Zero-Day, que podem partir tanto de grupos pequenos, como até mesmo de espiões de outros governos.

Quem está por trás dos APTs?

Entenda qual é o perfil dos atacantes. Nycholas detalha as características dos invasores, que na grande maioria das vezes são pessoas experientes, e muito bem preparadas e financiadas para causar determinado dano ou furto de informações sigilosas.

SegInfocast #25 – Análise de Logs com ELK

SegInfocast #25 – Análise de Logs com ELK

Faça o download aqui(33:34 min, 23,8 MB)

Paulo Sant’anna recebe o especialista em Segurança da Informação Rodrigo Montoro (@spookerlabs), da área de Pesquisa, Desenvolvimento e Inovação da Clavis, para bater um papo sobre análise de logs.

Problemas no mercado brasileiro ligados à análise de logs

O profissional da Clavis fala sobre as dificuldades encontradas no mercado atual como a alta do dólar, orçamentos limitados e falta de conhecimento em relação ao assunto (logs).

Conselhos importantes para especialistas da área de TI ou gestores de um negócio

Montoro (conhecido como “Sp0oKeR”) oferece dicas de extrema relevância para quem deseja alavancar seus negócios, com gastos enxugados e com melhor eficiência frente a má utilização das ferramentas disponíveis no mercado atual.

Parada obrigatória para estudantes

Ele ainda, com sua vasta experiência, comenta sobre as ferramentas “open source“, que muitas vezes não são aproveitadas por falta de conhecimento dos profissionais.

Utilizando a pilha ELK

Nesse podcast conversamos também sobre análise de logs utilizando a pilha ELK (Elasticsearch, Logstash, Kibana), com dicas de como escolher fontes de dados e o funcionamento do ELK.

Rodrigo “Sp0oKeR” Montoro é certificado LPI, RHCE e SnortCP com 15 anos de experiência em Open Source. Atualmente trabalha como pesquisador na Clavis. Anteriormente trabalhou na Sucuri Security e Spiderlabs. Já palestrou em inúmeros eventos no Brasil (FISL, CONISLI, Latinoware, H2HC, BSides), EUA (Source Boston / Seattle, Toorcon, Bsides Las Vegas) e Canadá (SecTor). Possui 2 patentes na detecção de Malwares (PDF e cabeçalhos HTTP), resultados de suas pesquisas. Fundador e evangelista da comunidade Snort no Brasil desde 2003. Nas horas vagas faz triathlon e corrida em trilhas.

SegInfocast #24 – Os efeitos de degradação e indisponibilidade em suas redes, sistemas e aplicações

SegInfocast #24 – Os efeitos de degradação e indisponibilidade em suas redes, sistemas e aplicações

Faça o download aqui(31:11 min,  21,5 MB)

Paulo Sant’anna recebe Raphael Machado, da área de Pesquisa, Desenvolvimento e Inovação da Clavis, para uma conversa sobre o serviço de Teste de Desempenho, desenvolvido pela Clavis, e que ajuda empresas e organizações a avaliarem os efeitos de degradação e indisponibilidade em suas redes, sistemas e aplicações em decorrência de cenários de sobrecarga.

Segundo o Raphael, “qualquer organização que dependa de recursos computacionais para executar suas atividades é um potencial interessado em um Teste de Desempenho”. O entrevistado identifica, ainda, “dois tipos de organização que valorizam demais estes testes de desempenho, que são os bancos — na verdade, instituições do sistema financeiro, em geral — e as empresas de varejo — ou seja, as empresas que atuam no comercio eletrônico, atendendo ao grande público”, explicando, ainda, por que estas organizações valorizam tanto estes testes.

Outro aspecto interessante, discutido na entrevista, é a diferença entre os cenários de sobrecarga ditos “legítimos”, causados por usuários de um serviço ou recurso computacional, e os cenários de sobrecarga “maliciosos”, decorrentes de um cenário de ataque. Raphael explica, ainda, os desafios particulares envolvidos na reprodução de cada um dos tipos de cenários de sobrecarga, durante a execução de um Teste de Desempenho. Segundo o entrevistado, “os cenários legítimos de sobrecarga, por serem causados por humanos, possuem padrões complexos e imprevisíveis”, o que representa um enorme desafio na modelagem dos “robôs” que reproduzem estes cenários, inclusive, com demandando uma interação entre a equipe que realiza o Teste de Desempenho e a equipe de desenvolvimento da aplicação testada. Já os cenários “maliciosos” baseiam-se na reprodução de “padrões simples e conhecidos”, mas em uma escala tão elevada que demanda uma enorme infraestrutura, o que traz enormes desafios em termos de monitoramento e gerenciamento dos testes.

Raphael conclui a entrevista falando um pouco sobre o mercado, sobre a relativa falta de oferta de serviços qualificados de testes de segurança, e sobre o caminho trilhado pela Clavis para oferecer estes serviços, com forte ênfase em pesquisa, inclusive contando com o apoio decisivo de órgãos de fomento como a Finep e o CNPq.