Radar

A REVISTA DA
CIBERSEGURANÇA DE EVERIS
NUMERO 53 | ABRIL 2021
O Poder da Senha
Damos as boas-vindas ao mês de abril com aquelas histórias que nos levam a
lembrar como consideramos a conformidade de alguns controles de segurança
como um dado adquirido, apenas investindo milhões em diferentes tecnologias.

Mas não é bem assim, outros fatores podem fazer com que estas tecnologias
falhem. Falamos sobre senhas e a importância de monitorar este fator de
autenticação dentro das organizações.

Foram revelados pouco a pouco os detalhes da investigação sobre o que

aconteceu no ataque sofrido pela empresa SolarWinds; o que foi descoberto é
que o maior ataque de 2020 foi muito possivelmente gerado pelo uso de uma
senha de acesso insegura que não cumpria com os controles estabelecidos;
esta senha era “solarwinds123” e quem a utilizava era um estagiário.Dentro das
atividades que são realizadas em uma organização para a segurança, devem
estar as conversas e atividades de conscientização aos usuários que geram as
senhas utilizadas nos sistemas das organizações.

As senhas são um dos fatores que a maioria dos cibercriminoso utilizam para
acessar uma organização, gerando uma série de atividades maliciosas visando
expor essas credenciais. Entre esta série de atividades maliciosas encontramos o
phishing, que até agora, em 2021, cresceu mais de 30%, devido ao que aconteceu
na pandemia e às decisões que tiveram que ser tomadas em organizações como
o trabalho à distância.

A psicologia utilizada pelos cibercriminosos para realizar ataques corporativos

continua baseada em questões que são de relevância atual. Um exemplo
claro disso é o uso de pretextos como a vacinação contra a COVID-19, para
enviar e-mails fraudulentos (Phishing) para organizações e esperar que alguns
desavisados confiem em seu conteúdo, seja para infectá-lo com malware ou
simplesmente obter suas credenciais.

Mas nem tudo está relacionado ao mundo corporativo, essas fraquezas também
são exploradas para atacar o aluno que está se adaptando ao mundo virtual,
crianças para obter informações de cartão de crédito, até mesmo o uso de
chantagem, onde apenas o pagamento com moedas criptográficas dará uma
falsa sensação de tranquilidade para as crianças. Aqui surge a grande questão,
Será que já transferimos essa segurança, tão prometida nas empresas, para
nossas casas?

Dia após dia, os cibercriminosos estão procurando novas formas de entrar nos
sistemas. Nós continuamos informando, por meio da RADAR, o que existe de
novo e como se proteger.

Leonardo Venegas
Cybersecurity Consuntant na everis Colombia
2
 CIBERCRÓNICA
Começamos nossa Cibercrônica comentando sobre a assistente virtual da
Amazon, a Alexa. Começamos nossa Cibercrônica comentando sobre o
assistente pessoal do Google, Alexa. Nos últimos anos, 2019 e 2020, foram
detectadas diferentes vulnerabilidades na Alexa, vulnerabilidades que já foram
mitigadas.

Entretanto, no final de fevereiro, um grupo de pesquisadores da Ruhr-

Universität Bochum e da Universidade Estadual da Carolina do Norte voltou
a expor novas vulnerabilidades na conferência do Network and Distributed
System Security Symposium (NDSS).

Uma das possíveis vantagens da Alexa é que os desenvolvedores externos

podem criar funcionalidades adicionais para ela. No entanto, isto oferece
amplas possibilidades para os invasores. Por um lado, foram detectadas
falhas nas invocações internas para estas funcionalidades.

“Boas estratégias de cibersegurança

serão capazes de alavancar a
estabilidade dos países e fazer
a diferença entre vencedores e
perdedores”
Falhas que podem ser exploradas, por outro lado, foi detectada a possibilidade
de utilizar o controle de versões de aplicativos, aproveitando que um usuário
aceita as condições iniciais de um aplicativo transferido da loja on-line que, por
não possuir software malicioso, o software fornecido em versões posteriores
do aplicativo e que pode conter backdoors ou malware permitindo que um
cibercriminoso aproveite e execute ações contra um usuário e até mesmo
aproveite o modelo de permissões, que é vulnerável e, assim, obtenha
informações confidenciais do usuário, como número de telefone, detalhes do
Amazon Pay, entre outras informações sensíveis.

A CISCO Systems também precisou, recentemente, corrigir várias falhas

críticas em seu ACI Multi-Site Orchestrator (ACI MSO). Estas falhas poderiam
permitir que um invasor contornasse a autenticação. O problema foi que, no
componente acima mencionado, ele fez uma validação simbólica incorreta
em um dos APIs.

Uma exploração bem sucedida permitiria a obtenção de um token com privilégios de administrador, que poderia ser
usado para autenticar com sucesso ao ACI MSO API afetado, a partir daí, afetar outros dispositivos. A falha é a CVE-
2021-1388. A empresa já disponibilizou patches de segurança para corrigir esta vulnerabilidade.

Outra empresa de segurança que sofreu recentemente um ataque é a Qualys. Seu servidor Accellion File Transfer
Appliance (FTA) sofreu uma violação de dados após vulnerabilidades de Dia Zero serem exploradas. Os cibercriminosos
responsáveis pelo ataque, para provar o fato, divulgaram capturas de tela de documentos sensíveis em um site de
violação de dados acessível ao público, e operado pela quadrilha de ransomware do CLOP.

3
O diretor de segurança da informação, Ben Carr, confirmou o incidente, detalhando que aquele servidor está em uma
zona DMZ e separado da rede interna.

Em algumas edições recentes da RADAR apresentamos artigos sobre a importância da cibersegurança no setor
de energia elétrica. Agora, acaba de ser revelada uma campanha de ciberataques contra a infraestrutura crítica da
Índia, incluindo a rede elétrica do país, por grupos patrocinados pelo governo chinês. Os ataques coincidiram com o
impasse entre os dois países em maio de 2020, e visaram 12 organizações, 10 das quais estão no setor de geração
e transmissão de energia elétrica.

Ataques como este nos fazem refletir sobre o papel que a cibersegurança e os ciberataques desempenharão nas
guerras do futuro. Boas estratégias de cibersegurança serão capazes de alavancar a estabilidade dos países e fazer
a diferença entre “vencedores” e “perdedores”.

Estas são apenas algumas das notícias sobre incidentes cibernéticos que ocorreram nas últimas semanas, mas
é possível notar que alvos não faltam: usuários finais por meio de assistentes virtuais, empresas de segurança e
infraestrutura e empresas relacionadas a serviços críticos. Portanto, continue tomando precauções.

4
Malware Blizzard (Parte 2)
By: everis cibersegurança

Em nosso último artigo, discutimos como um grupo avançado

de ameaças comprometeu o servidor de compilação da cadeia
de integração contínua da plataforma SolarWinds Orion. A seguir,
analisaremos como o SolarWinds respondeu ao ataque e que
medidas poderiam ser implementadas para mitigar o ataque.
Depois da tempestade vem a bonança
Após ser notificado de duas importantes vulnerabilidades em um de seus principais
produtos, o SolarWinds começou a trabalhar.
A primeira medida adotada foi o lançamento de versões atualizadas do software
afetado, livre do backdoor SUNBURST e da vulnerabilidade explorada pela
SUPERNOVA. Junto com os instaladores atualizados, o SolarWinds também
disponibilizou a seus clientes um patch para remover as vulnerabilidades das
instalações que não puderam ser atualizadas imediatamente e um roteiro de
mitigação da vulnerabilidade CVE-2020-10148 para aqueles clientes sem um
contrato de suporte ativo.
Embora não haja evidência de que os invasores obtiveram acesso às chaves
privadas dos certificados de assinatura do software (lembre-se que o malware foi
injetado no produto durante a compilação e assinado seguindo o fluxo habitual de
integração contínua), o risco de agentes maliciosos com a capacidade de assinar
código com um certificado considerado confiável é muito alto.
Portanto, todos os novos instaladores e binários de produtos que, antes do
ataque, eram assinados com o mesmo certificado e chave privada utilizada para
os objetos da plataforma Orion, agora são distribuídos assinados com um novo
certificado. O SolarWinds está atualmente em processo de lançamento de novas
versões dos instaladores para versões anteriores do software afetado com a
assinatura digital atualizada, após removê-los de seus repositórios de software
assim que foram informados das mudanças, para interromper a distribuição dos
instaladores adulterados o mais rápido possível.
Os clientes da SolarWinds tinham até 8 de março de 2021, quando o antigo
certificado foi revogado, para substituir os produtos instalados. Caso alguma das
organizações afetadas não conseguisse reinstalar toda a plataforma Orion até
então, a SolarWinds forneceu a seus clientes soluções e alternativas de trabalho
para manter a instalação funcionando provisoriamente de forma segura.
Finalmente, Sudhakar Ramakrishna assegurou no blog oficial da organização,
orangematter, que eles estavam tomando medidas adicionais para evitar ataques
deste tipo. Embora ele não entre em detalhes em sua publicação, as diretrizes
gerais implementadas incluem a adição de mecanismos adicionais de detecção
de ameaças, uma limpeza completa de todas as credenciais da organização,
especialmente de contas privilegiadas, e a consolidação da autenticação multifator.
Com relação às mudanças em seu ambiente de desenvolvimento, a SolarWinds
expressou sua intenção de começar do zero, reinventando todo seu ambiente
de construção de software, com um controle de acesso muito mais rigoroso e a
capacidade de construir múltiplos escopos para o mesmo produto em diferentes
pipelines, forçando um potencial invasor a comprometer todos eles para manipular
com sucesso o software.

5
Porto Seguro
Os ciberataques denominados de Supply Chain Attack
ou Ataques a Cadeia de Suprimentos concentram-se na
exploração das entidades associadas ao objetivo como um
vetor de entrada. Neste tipo de ataque, a maturidade da
postura de segurança da organização é irrelevante, pois os
grupos de ameaça se aproveitam da confiança que o alvo
depositou em seus fornecedores, sabendo que cada um
deles é uma oportunidade de encontrar uma brecha.
Além disso, como vimos claramente no caso da SolarWinds,
um ataque desse tipo coloca toda a mídia em destaque
no fornecedor que foi o vetor de entrada, resultando em
significativos danos econômicos e de imagem para o
fornecedor, assim como um benefício indireto para o objetivo
final que pode tirar proveito da oportunidade de desviar o
impacto da mídia.
Felizmente, o mundo da segurança no ciclo de vida do
desenvolvimento de software (Sofware Development
Lifecycle, ou SDLC, por sua sigla em inglês) avançou muito
nos últimos anos, dando origem a áreas como o SecDevOps,
nas quais a segurança é integrada holisticamente durante
todo o processo de desenvolvimento, distribuição e operação
de software, aproveitando ao máximo a elasticidade e
flexibilidade da computação em nuvem.
Alguns dos princípios centrais inerentes aos ambientes
SecDevOps ressoam fortemente com as mudanças
anunciadas pela SolarWinds: integração com autenticação
multifator, o suporte cada vez mais difundido do controle de
acesso baseado em atributos e a criação flexível de ambientes
invioláveis através do uso de contêineres imutáveis.
Esta última pode ter sido uma das principais defesas contra o
ataque particular ao SolarWinds. Usando o que é conhecido
como Infraestrutura como Código (IaC), o que permite
aos ambientes utilizados para os diferentes processos de
desenvolvimento serem criados de forma efêmera a partir
de um modelo reproduzível, seria possível implementar
instâncias de máquinas virtuais extremamente resistentes à
manipulação, já que para modificá-las seria necessário alterar
o script de definição de ativos, não sendo uma tarefa fácil
se houver um processo de validação adequado utilizando
assinaturas digitais e sistemas de controle de acesso.
Além disso, a natureza das implantações em nuvens torna
viável a aplicação de iniciativas como a mencionada pela
SolarWinds e a implementação de múltiplos pipelines
independentes para a geração paralela de escopos, de forma
robusta e econômica. Isto pode até mesmo ser realizado
em vários fornecedores, locais e modelos de serviço,
proporcionando resiliência e redundância ao que é, em
última análise, o ativo mais importante de uma organização
dedicada a fornecer soluções de software.
Finalmente, é imprescindível que os fornecedores de
software tenham sempre em mente que eles são mais um
elo na cadeia de fornecimento. No complexo ecossistema
de desenvolvimento atual, é comum usar bibliotecas e
ferramentas de terceiros em um produto, e manter um
controle rigoroso de quais elementos de terceiros estão
em uso permitirá reagir rapidamente quando qualquer um
deles estiver comprometido ou emitir um alerta de uma
vulnerabilidade descoberta. Para ajudar nesta tarefa há um
software especializado chamado Open Source Analysis
(OSA), que facilita o inventário dos componentes do software
desenvolvido e fornece uma visão detalhada da postura de
segurança de cada um.
Frentes de confronto
Para muitas organizações, um dos principais elementos
que retardam a mudança para soluções de nuvem é a
cibersegurança. Não é um medo exagerado, pois no final das
contas trata-se de confiar no fornecedor para poder realizar
todas as operações-chave necessárias para o negócio, de
forma segura e confiável.
Mas para aqueles que migram para a nuvem, isso cria uma
situação interessante. De repente, a organização se vê com
dois domínios com praticamente os mesmos controles,
riscos e ameaças de segurança, com a única diferença de
que os ativos no local são totalmente confiáveis, enquanto
os ativos em nuvem são supostos estarem sujeitos à intrusão
a qualquer momento.
O princípio do Zero Trust, do qual já falamos antes, é uma
abordagem semelhante ao conceito de design for failure
(modo de falha de projeto) tão comum no planejamento da
continuidade dos negócios: assume breach (assumir uma
violação).
Uma vez que uma organização começa a ver todos os seus
ativos comprometidos, as medidas de segurança a serem
implementadas para deter a propagação de um invasor que
obteve acesso à rede aparecem de forma lógica e natural.
Por exemplo, ao pensar que todo o software que temos
instalado em nossa organização pode se tornar, com uma
simples atualização, um backdoor para a rede, é muito mais
fácil definir políticas para evitar conexões de entrada e saída,
estabelecer que tipo de permissões queremos fornecer
a esses processos e monitorar comportamentos que vão
além do que foi acordado com o provedor, exigindo maior
transparência nas atividades do software em nossa rede.
Este é o exemplo da Microsoft, que compartilhou que
tomou consciência de ter sido vítima do ataque quando
detectou atividade incomum com várias contas internas,
uma das quais foi usada para visualizar o código fonte de
algumas de suas aplicações. Entretanto, a Microsoft alega
que a conta comprometida só tinha permissão de leitura,
6
portanto seu código de aplicação não foi comprometido, e
comenta como sua abordagem de Zero Trust e sua cultura
de não basear sua segurança na privacidade do código
tem desempenhado um papel importante para minimizar o
impacto deste ataque em seus sistemas.
Embora este processo possa ser tedioso no início, se houver
demanda suficiente, os fornecedores de software e serviços
começarão a disponibilizar proativamente estas informações,
como aconteceu com os fornecedores de nuvens públicas,
que disponibilizam a seus clientes todas as informações
relativas às auditorias de segurança e conformidade que
receberam.
Finalmente, o melhor aliado de uma organização quando se
trata de avaliar, testar e atualizar sua implementação de Zero
Trust são, sem dúvida, os exercícios do Red Team, onde
uma equipe de especialistas em cibersegurança (também
conhecidos como Ethical Hackers) simulam as técnicas e
táticas comumente usadas por grupos de ameaça, bem
como os exercícios do Purple Team, em que a mesma
equipe colabora lado a lado com o Blue Team da organização
para descobrir e explorar vetores de ataque desprotegidos,
protegendo-os o máximo possível contra futuros ataques.
Sol de inverno
Embora a SolarWinds tenha voltado ao normal após o
ataque, todos os especialistas concordam que levará muito
tempo e trabalho para que a empresa do sudoeste de Austin
recupere a confiança de seus clientes.
Ainda assim, o caso da SolarWinds demonstra que quando
tudo falha, uma abordagem honesta e transparente
permite que o resto da comunidade se beneficie das lições
aprendidas e, no mínimo, transforma um dos maiores e
mais divulgados ataques do ano em uma lenda para todas
as outras organizações, lembrando-nos do altíssimo nível de
sofisticação que os cibercriminosos podem demonstrar e a
necessidade de estar um passo à frente deles.

7
Tendências
Repensar a Formação do Programa de
Conformidade: Novas abordagens após uma crise
Em meados de março de 2018, Chen e Soltes, abriam seu artigo (Why Compliance
Programs Fail —and How to Fix Them) à Harvard Business Review, comentando
sobre uma tríade de casos que demonstram a importância dos programas de
compliance: as fraudes milionárias nas contas de uma gigante Estadunidense do
setor financeiro, por ausência de procedimentos acertados; o engano sistêmico de
uma das maiores montadoras do mundo sobre os níveis de emissão de poluentes
de seus veículos e o suborno generalizado na maior estatal brasileira que prejudicou
tanto o governo quanto a economia do Brasil. Todos os casos possuem uma
similaridade, ainda que sejam setores, grupos e países distintos: a onipresença da
conduta corporativa em desconformidade às leis vigentes, nacionais e internacionais,
às regulamentações específicas e aos próprios regulamentos e políticas internas
das companhias.
Parte do comportamento desalinhado deve-se, necessariamente, à ausência de
um programa de treinamento eficiente em compliance, e a questão agrava-se,
pois há uma transformação socioeconômica ocorrendo motivada pela pandemia
global do COVID19. Tal é o nível de transformação, que a Organização Mundial da
Saúde se referiu à questão como: “From the ‘new normal’ to a ‘new future”. Nesta
transformação, aparte há muitos aspectos que mudam para o resto do mundo, há
uma transformação corporativa forçosa: o teletrabalho, a globalização de produtos
e serviços para desafogamento do mercado local, a descentralização das manchas
de calor de funcionários – inclusive de caráter internacional, e, naturalmente, estas
questões impactam o modo que o programa de treinamento em Compliance deve
ser estruturado, executado e gerido.
As etapas de medição da eficácia de um programa de compliance, podem ser
resumidas, em primeiro momento, à: a) comprometimento da alta e média diretoria;
b) autonomia e recursos disponíveis; c) políticas e procedimentos; d) risk assessment;
e) treinamento e comunicação; f) elaboração de relatórios e denúncias confidenciais
e sua investigação; g) sanções, medidas disciplinares e incentivo ao cumprimento;
h) melhoria contínua e revisão periódica; i) gestão de terceiros.
Sendo certo que cada uma destas etapas é afetada pelo “novo normal”, trazido
com a descentralização do trabalho e a expansão global das grandes empresas e
merece um estudo aprofundado só para si, focaremos no conteúdo “e) treinamento
e comunicação”. E neste ponto, podemos resumir os três maiores focos
de atenção, nesta nova rotina de crise e pós-crise: novo conteúdo
programático, operacionalização da apresentação do conteúdo e medição
do enraizamento e maturidade do conteúdo apresentado.

8
1. NOVO CONTEÚDO PROGRAMÁTICO
DOS PROGRAMAS DE TREINAMENTO EM
COMPLIANCE
A transformação do conteúdo programático de compliance
pós-crise pandêmica refere-se principalmente a três situações:
1. conhecimento das mudanças das companhias em
relação à crise pandêmica e “novo normal”,
2. senso de responsabilização ética e legal pela ausência de
monitoração física dentro da jornada laboral e
3. alinhamento cultural entre as filiais e/ou entre os países
onde há funcionários contratados em rotina integral de
teletrabalho.
Em primeiro momento, é importante destacarmos a
individualização dos programas de treinamento por categorias
e/ou funções, que já deveria ocorrer antes mesmo da crise
pandêmica e da transformação “novo normal Dentro dessa
segregação de treinamento é altamente importante garantir
que os conteúdos programáticos estejam alinhados às funções
desempenhadas.
Um ponto importante na transformação do conteúdo
programático apresentado é considerar como as demais
áreas do conhecimento de compliance foram impactadas e
quais mensagens devem ser passadas aos colaboradores.
Em cenários de crise, os programas de compliance costumam
ganhar força e se enraizar mais, pois é este tipo de iniciativa
que permite que a companhia tenha raízes profundas e resista
a ventos de mudanças, e é neste momento que os diretores
devem repisar a importância do programa de compliance com
suas palavras e ações. As rotinas de treinamento são um ótimo
momento para que isto ocorra, e é absolutamente necessário
que isto seja considerado na hora de rever o conteúdo
programático disponibilizado.
Por sua vez quanto aos recursos disponíveis isto vai em
contrapartida com os benefícios e a importância do programa
de compliance em momentos de crise ou pós-crise. Um binômio
contraditório se configura: os programas de compliance são
cada vez mais necessários, porém, costumam sofrer perda de
recursos por cortes naturais nos orçamentos das empresas,
devido à perda de mercados e crises financeiras generalizadas.
Assim sendo, os programas precisam ser mais eficientes, com
menos recursos. Há saídas para estes momentos de crise que
exigem muito preparo profissional e um pouco de criatividade,
uma dessas é a aplicação da metodologia Lean, surgida dentro
da indústria automotiva e que traz eficiência e qualidade. Sendo
claro que este é somente um dos recursos que permitirão
aos programas de treinamento se mostrarem eficientes com
otimização de recursos.
2. OPERACIONALIZAÇÃO DA APRESENTAÇÃO DO
CONTEÚDO
Este ponto pode ser aberto citando a obra do filósofo
canadense Marshall McLuhan, “Os Meios de Comunicação
como Extensão do Homem”, com a expressão: o meio
é a mensagem, pois o meio é um elemento importante da
comunicação e não somente um canal de passagem ou um
veículo de transmissão. É certo que cada “meio de difusão
tem as suas características próprias, e por conseguinte, os
seus efeitos específicos. Qualquer transformação do meio
é mais determinante do que uma alteração no conteúdo”.
Posto de lado o juízo de valor da precisão das palavras do
filosofo é importante considerar: os meios de comunicação
dos programas de compliance durante e pós-crise
COVID19 foram amplamente – para não dizer totalmente –
transformados. O contato pessoal se tornou escasso e as
ferramentas de comunicação virtual foram transformadas, do
antes dominante e-mail para as mensagerias instantâneas
corporativas e reuniões virtuais com recursos próprios.
É vital que os programas de treinamento em compliance
considerem essa alteração dentro dos recursos disponíveis,
pois a retenção deste conteúdo programático está diretamente
associada com o meio pelo qual ele é disponibilizado, e as
opções são diversas: mensageria corporativa instantânea,
e-mail, reuniões on line, disponibilização de conteúdo
gravado, disponibilização de conteúdo gravado e interativo,
textos e tantos outros.
3. OPERACIONALIZAÇÃO DA APRESENTAÇÃO DO
CONTEÚDO
O treinamento em compliance (ou treinamento de
conformidade), tem como objetivo central, precaver má
conduta e desalinhamento com o exposto anteriormente,
auxiliando todos os colaboradores a internalizar políticas,
processos, procedimentos internos, bem como regulamentos
e legislações de fontes externas.
Para isso, claramente, é necessário avaliar o quão bem os
colaboradores compreenderam e reterão o que se espera
deles, após a conclusão do treinamento. Todavia, esta métrica
é, por si só, insuficiente para determinar qual foi a eficácia
estabelecida da rotina de treinamento. Um alto grau de
compreensão pode refletir o efeito positivo que o treinamento
teve na empresa, porém pode, também, simplesmente refletir
que os colaboradores treinados e avaliados possuem alto
conhecimento sobre o tema ou uma facilidade de retenção
muito grande por serem um time de excelência, mas sem
garantir, necessariamente, que os funcionários perceberam
a importância do conteúdo e o internalizaram como suas
obrigações funcionais.
9
Portanto, a companhia deve avaliar o que os funcionários Uma vez que isto tenha sido realizado, os programas de
sabem antes e depois do treinamento. Se há poucas treinamento podem vir a ter caráter de maturação de uma
mudanças, o treinamento pode ser desnecessário ou pode cultura adequada e aceitável em compliance, sempre
precisar ser refinado para envolver as pessoas e fazer melhor considerando os pontos necessários anteriormente
uso de seu tempo. levantados de melhora contínua.
É importante destacar que os treinamentos não são só uma
ferramenta para ensinar novos conhecimentos, mas também
podem ser uma ferramenta de perpetuação do conhecimento
já adquirido e repise da importância. Podem ainda, ser um
meio da alta-diretoria demonstrar seu comprometimento
com as questões abordadas, e em última análise, criar um
modelo de testes forçado para avaliação de um ambiente
pré-determinado, verificando se o volume de desvios se altera
imediatamente após o treinamento ser ministrado, um tempo
depois, ou se não há alteração, permitindo que o treinamento
seja refinado e retrabalhado.
Tal enraizamento só é possível sabendo-se o quão distante
nos encontramos dele, pois é assim que podemos trabalhar
em um gap analysis, que só pode ser operacionalizado
com informações. Métricas pré-estabelecidas de onde
estamos e para onde desejamos caminhar. Assim, é certo
que o primeiro ponto a ser observado é a conexão das
iniciativas do treinamento (conteúdo programático e meio de
disponibilização) aos objetivos a se atingir com mensuração
de métricas e indicadores.
Em um cenário normal onde buscamos: prevenir as má-
condutas e desconformidades, detectar as que já estão
acontecendo e alinhar políticas corporativas com leis, regras
e regulamentos. O programa de treinamento pode ajudar a
fixar as novas transformações em 02 de 03 pontos, deixando
somente às métricas de detecção a cargo de outras áreas.
Em novas iniciativas, como é o caso discutido neste artigo,
o programa de treinamento é fundamental para atingir o
alinhamento com as novas políticas, regras e regulamentos.
Assim, o trabalho de métrica de retenção do conteúdo e
enraizamento da intenção se inicia, principalmente por:
• compreender o conhecimento prévio dos colaboradores
treinados,
• estabelecer os objetivos de atingimento de retenção de
conhecimento e maturidade cultural dos programas de
compliance,
• realizar um gap analysis,
• alinhar o conteúdo programático entre objetivo
(transformação do entendimento pelo novo normal) e
conhecimento atual e mensurar de maneira orgânica,
procedimental e sistêmica qual foi a retenção, trabalhando
um novo plano de ação para se atingir o objetivo de
retenção.

10
 Vulnerabilidades
Exchange
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065
Data: 02/03/2021

Descrição. Vulnerabilidades críticas no Exchange A Microsoft publicou

no início deste mês um novo boletim onde revelou quatro vulnerabilidades
críticas associadas ao Exchange, com um exploit e que atualmente estão
sendo utilizadas por invasores como o grupo HAFNIUM. Os detalhes das
vulnerabilidades são:
• Vulnerabilidade SSRF que permitiria a um invasor enviar solicitações
HTTP arbitrárias para autenticação no servidor do Exchange.
• A desserialização insegura no serviço unificado de mensagens. A
exploração desta vulnerabilidade permitiria que códigos como o
SYSTEM fossem executados no servidor do Exchange.
• Duas vulnerabilidades relacionadas à gravação de arquivos que
permitiriam a um atacante autenticado modificar arquivos em
qualquer local do servidor.
Link: https://www.microsoft.com/security/blog/2021/03/02/hafnium-
targeting-exchange-servers/
Productos afetados.
Microsoft Exchange Server
Solução: Executar as ações publicadas pela Microsoft no seguinte link:
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-
vulnerabilities-mitigations-march-2021

BIG-IP e BIG-IQ
CVE-2021-22987, CVE-2021-22986, CVE-2021-22991,CVE-2021, 22992,
CVE-2021-22988, 2021-22989 e CVE-CVE-2021-22990.
Data: 11/03/2021
Descrição. A empresa F5 publicou um total de sete vulnerabilidades
descobertas por sua própria equipe de segurança em seus produtos
BIG-IP e BIG-IQ. Quatro das sete vulnerabilidades são críticas, embora
atualmente não existam exploits conhecidos capazes de explorar essas
falhas de segurança. A exploração dessas vulnerabilidades poderia
permitir a execução de comandos arbitrários, criação ou exclusão de
arquivos, desativação de serviços, negação de serviços ou contornar
controles de acesso.
Link: https://support.f5.com/csp/article/K02566623
Productos afetados.
LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DHRD, DNS, FPS,
GTM, Link Controller, PEM e SSLO nas versões 16.0.0 - 16.0.1, 15.1.0 -.
15.1.2, 14.1 0 - 14.1.3, 13.1.0 - 13.1.3, 12.1.0 - 12.1.5 e 11.6.1 - 11.6.5
Gerenciamento centralizado da BIG-IQ nas versões 7.0.0 - 7.0.1 e 6.0.0
- 6.1.0
Solução: Atualizar os produtos para suas versões correspondentes
mais recentes.

11
Parches
Chrome
Data: 02-03-2021
Descrição. Uma nova atualização de segurança foi lançada no
Google Chrome que aplica um total de quarenta e sete patches de
segurança, a maioria relacionada a um problema no ciclo de vida
dos objetos de áudio. A empresa reconheceu que existe atualmente
um exploit para estas vulnerabilidades, embora não tenha fornecido
mais informações. A everis CERT recomenda a atualização imediata
da versão do navegador.

Link: https://chromereleases.googleblog.com/2021/03/stable-channel-
update-for-desktop.html

Productos afetados.
Google Chrome, versões anteriores a 89.0.4389.72

Solução: Instalar a versão mais recente do software.

Aruba Instant
Data: 09-03-2021

Descrição. Devido às últimas vulnerabilidades identificadas, a

Aruba divulgou atualizações de segurança para o Aruba Instant. Um
total de dezenove falhas de segurança foram corrigidas, das quais
três são críticas, oito são altas e oito são médias. A exploração das
vulnerabilidades, causadas pelo estouro de buffer devido ao envio
de pacotes especialmente trabalhados, poderia levar à execução
remota de comandos, à gravação de arquivos arbitrários, à omissão
de autenticação, à divulgação de informações e/ou negações de
serviço, entre outros.

Link: https://www.arubanetworks.com/assets/alert/ARUBA-
PSA-2021-007.txt

Productos afetados: Versões do Aruba Instant: 6.4.4.8-4.2.4.19

e anteriores, 6.5.4.18 e anteriores, 8.3.0.14 e anteriores, 8.4.0.5 e
anteriores, 8.5.0.11 e anteriores, 8.6.0.7 e anteriores, 8.7.1.1 e anteriores.

Solução: Instalar a versão mais recente do software..

12
Eventos
Cyber Security & Data Privacy
Confex Middle East 2021
6 de abril | Online
Evento virtual que reunirá mais de 500 especialistas
nos mais diversos assuntos em torno da privacidade
de dados pessoais.
Link: https://www.globallegalconfex.com/
glc2021me-csdp
EBCvirtual 2021
12 - 16 de abril | Barcelona, Espanha, Online
O evento será o ponto de encontro da indústria de
Blockchain na Europa, realizado com o objetivo de
acelerar o ecossistema de Blockchain. Durante o
evento de uma semana você poderá conhecer e
discutir com mais de 2000 líderes tecnológicos,
reguladores, investidores, corporações,
desenvolvedores e empreendedores da indústria de
Blockchain.
Link: https://eblockchainconvention.com/
SecureWorld Southeast 2021
22 de abril | online
Importante evento de cibersegurança que promove
conteúdo e treinamento e possibilita o trabalho em
rede entre profissionais do setor.
Link: https://events.secureworldexpo.com/
details/southeast-2021/
EAI International Conference on
Safety and Security in Internet of
Things
25 de abril | Online
Conferência que aborda como lidar com a
segurança e a privacidade em dispositivos IoT
e nas diferentes utilizações atribuídas a esses
dispositivos.
Link: https://securityiot.eai-conferences.
org/2021/?ref=infosec-conferences.com

Devopsday
16 de abril | Tóquio

O evento Devopsday faz parte de uma série de

conferências técnicas que abordam diversos temas
de desenvolvimento de software, infraestrutura
de TI e a relação entre ambos. Dentre os temas
que serão apresentados nas conferências estarão
ações de automação, testes, segurança e cultura
organizacional.

Link: https://devopsdays.org/events/2021-tokyo/
welcome/

13
Recursos
Cloud control Matrix v4
A Cloud Security Alliance publicou uma nova matriz de controles de segurança
em nuvem, estruturada em 17 domínios e contendo 197 controles. Pode ser
utilizada para validação de segurança de uma infraestrutura de nuvem e como
guia para seu aprimoramento.

Link: https://cloudsecurityalliance.org/research/cloud-controls-matrix/

Segurança sem senhas

Através da web https://www.cybersecurity-insiders.com/ nos dá diferentes
conteúdos de interesse. Gostaríamos de destacar o relatório publicado sobre a
evolução da autenticação sem o uso de senhas.

Link: https://www.cybersecurity-insiders.com/portfolio/2021-passwordless-
security-report-hypr/

Cibersegurança para todos

Incibe (Instituto Nacional de Cibersegurança da Espanha) oferece recursos e
ferramentas para complementar nossa proteção. Gostaríamos de destacar
especialmente o kit de política de cibersegurança para as PMEs.

Link: https://www.incibe.es/protege-tu-empresa/herramientas/politicas

Projecto SOTER
Gostaríamos de apresentar o projeto SOTER (Cybersecurity Optimization and
Training for Enhanced Resilience in Finance), um projeto europeu para aumentar
a resiliência no setor financeiro. Mais informação em www.soterproject.eu.

Em especial, convidamos você a ler o documento “Mapping of human behaviour

related threats and mitigation measures (I)”, link disponível em inglês.

Link: https://soterproject.eu/wp-content/uploads/2020/12/SOTER_-D2.1_
Mapping_of_human_behaviour_related_threats_and_mitigation_measures.pdf

Cursos gratuitos disponíveis

Para aqueles que estão curiosos em saber mais sobre cibersegurança e ainda
não decidiram investir, deixamos uma página que contém links para plataformas
com cursos gratuitos.

Link: https://www.techradar.com/best/best-online-cyber-security-
courses#free-online-cybersecurity-courses

14
powered by the
cybersecurity everis team

everis.com