K2 divulga solução para impedir a exploração de vulnerabilidades zero-day

zero-day-attack-1024x413

A K2 Cyber Security, empresa baseada nos Estados Unidos e que lida com segurança da informação, afirma ter desenvolvido uma tecnologia, capaz de impedir a exploração de falhas de segurança não divulgadas e ainda não corrigidas em aplicações, mais conhecidas como vulnerabilidades zero-day.

A solução utilizada pela empresa envolve o mapeamento do funcionamento da aplicação, através de uma única análise e, em seguida, realizar o monitoramento desta baseado no comportamento mapeado, o que alegadamente impediria a ocorrência de eventos falso positivos.

“Isso nunca foi feito antes”, afirmou Pravin Madhani, CEO e co-fundador da K2. “Por ser muito difícil de realizar. Somos capazes de criar um mapa de execução para cada aplicação em minutos, e depois monitorá-lo em tempo real. Não há falso positivos.”

A tecnologia empregada nesse tipo de situação é conhecida como Control Flow Integrity (CFI), cujo significado, em uma tradução livre, seria Controle de Integridade de Fluxo, o que atualmente é realizado através de abordagens tradicionais, identificando ações potencialmente maliciosas, que podem demandar a verificação de infinitas combinações de atividades, acarretando em erros nessa detecção gerados por falso positivos ou falso negativos. Esse tipo de abordagem também gera sobrecarga na performance dos sistemas, bem como podem demandar hardware adicional.

Com a melhoria promovida pela K2 no CFI, um mapa de execução da aplicação é criado, como se fosse um baseline de seu funcionamento, permitindo a partir daí que a mesma seja monitorada e interromper a sua operação caso sejam detectadas tentativas de alteração nesse fluxo. A otimização também é aplicável a microserviços utilizados em nuvens privadas e públicas.

A empresa submeteu sete patentes para a proteção da propriedade intelectual envolvida na melhoria promovida junto ao CFI, que é oferecida através de dois módulos distintos: um nomeado como Prevent, algo como Prevenção em uma tradução livre, que detecção em tempo real de ataques zero-day, e outro chamado Segment, que tem o sentido de segmentação, e que isola as cargas de trabalho na nuvem, atribuindo identidades criptográficas exclusivas para cada uma delas antes que estas possam se comunicar. Isso impede o movimento lateral de malwares em ambientes de TI.

Para acessar o artigo original, dirijam-se ao site ZDNet.

Anúncios

Medida provisória cria Autoridade Nacional em Proteção de Dados no Brasil

professionals

Um dia depois de instituir a Política Nacional de Segurança da informação através de Decreto, o atual Presidente da República, Michel Temer, publicou a Medida Provisória 869 no Diário Oficial em 27 de dezembro de 2018, visando alterar a Lei 13.709 de 14 de agosto do mesmo ano e, dentre outras modificações, cria a Autoridade Nacional de Proteção de Dados no Brasil.

Entre as competências da nova autoridade encontramos:

I – zelar pela proteção dos dados pessoais;

II – editar normas e procedimentos sobre a proteção de dados pessoais;

III – deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas competências e os casos omissos;

IV – requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;

V – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei;

VI – fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

VII – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;

VIII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei praticado por órgãos e entidades da administração pública federal;

IX – difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;

X – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores;

XI – elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;

XII – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;

XIII – realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;

XIV – realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica;

XV – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e

XVI – elaborar relatórios de gestão anuais acerca de suas atividades.

A Autoridade Nacional de Proteção de Dados – ANPD, será órgão da administração pública federal, integrante da Presidência da República, cuja autonomia técnica será assegurada, e cuja estrutura deverá ser composta por:

I – Conselho Diretor, órgão máximo de direção;

II – Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;

III – Corregedoria;

IV – Ouvidoria;

V – órgão de assessoramento jurídico próprio; e

VI – unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.

Embora os membros do Conselho Diretor devam ser indicados pelo Presidente da República, estes serão, de acordo com o Art.55-D, parágrafo 2º da referida medida,  “escolhidos dentre brasileiros, de reputação ilibada, com nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados”. Os membros do Conselho Diretor da ANPD serão nomeados pelo Presidente da República e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superior – DAS de nível 5.

O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por vinte e três representantes, titulares suplentes, dos seguintes órgãos:

I – seis do Poder Executivo federal;

II – um do Senado Federal;

III – um da Câmara dos Deputados;

IV – um do Conselho Nacional de Justiça;

V – um do Conselho Nacional do Ministério Público;

VI – um do Comitê Gestor da Internet no Brasil;

VII – quatro de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais;

VIII – quatro de instituições científicas, tecnológicas e de inovação; e

IX – quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.

Os representantes de que tratam os incisos I a VI, bem como seus suplentes, serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública.

Os demais serão indicados na forma de regulamento, terão mandato de dois anos, com permissão de uma recondução, e não poderão ser membros do Comitê Gestor da Internet no Brasil. A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, porém, será considerada prestação de serviço público relevante, não remunerada. Após as indicações, estes conselheiros serão designados pelo Presidente da República.

Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:

I – propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;

II – elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;

III – sugerir ações a serem realizadas pela ANPD;

IV – elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e

V – disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral.

Grade parte dos artigos de que tratam a MP já entram em vigor a partir do dia de hoje, 28 de dezembro de 2018, porém alguns apenas 24 meses após a publicação da mesma. Para maiores detalhes, acessem o conteúdo completo da Medida Provisória através deste link.

 

Exin lança certificação em proteção de dados e privacidade

exin_logotype_clr_pos

O instituto de certificação Exin, divulgou hoje o lançamento de mais uma certificação para compor o seu portfólio na área de segurança cibernética: a Exin Privacy and Data Protection. O conteúdo cobrado no exame de certificação está alinhado com a General Data Protection Regulation européia, que trata sobre as regras para a proteção de dados e privacidade, e que foi efetivada em maio deste ano. Uma versão em português pode ser consultada aqui.

Sob essa nova regulação, qualquer companhia ou indivíduo que processe dados que possam identificar uma pessoa, também será responsável pela proteção desses dados, e isto inclui terceiros, como provedores de serviços em nuvem.

A conformidade com a nova regulação tem seus benefícios, pois realizar negócios com países europeus será menos complicado e dispendioso pois todos os países seguem as mesmas regras. Isto também pode levar a uma maior satisfação dos clientes e atrair novos a partir do conhecimento de que determinada empresa respeita a privacidade de seus clientes.

O novo exame foi desenvolvido em conjunto com a Security Academy, um instituto de treinamento europeu com foco em segurança da informação, gerenciamento da continuidade de negócios e gerenciamento de segurança. A parceria já havia originado outras certificações, como a Ethical Hacking ou a Secure Programming, portanto podemos esperar mais novidades na área de certificações em segurança da informação e tópicos correlatos.