Posts que nunca foram escritos

Putz, todo ano eu quero escrever um post sobre o relatório do Fórum Econômico Mundial, mas perco o timing:

• Global Cybersecurity Outlook 2024
• AI and cybersecurity: How to navigate the risks and opportunities

Olha que interessante: a página de métricas do site CVE.org apresenta o total de CVEs publicados desde 1999 até os dias de hoje ("Published CVE Records").

• Published CVE Records
• Essa lista da CISA eu acho muito útil, pois indica as vulnerabilidades que foram exploradas: Known Exploited Vulnerabilities Catalog

O portal do FIRST.org tem vários documentos que são uma ótima referência e vale a pena dar uma olhada:

• FIRST Best Practice Guide Library (BPGL)
• FIRST Security Reference Index
• FIRST Standards
• Publications - centenas de artigos e apresentações publicados desde 1997
• esse doc explica tudo sobre os principais conceitos relacionados ao PGP: An Introduction to PGP/GnuPG

A RFC 2350 oferece uma maneira fácil e padronizada para as Equipes de Resposta a Incidentes de Segurança em Computadores (CSIRT) documentarem sua missão, serviços, políticas e procedimentos.

• RFC 2350 - Expectations for Computer Security Incident Response, June 1998
• Introduction to RFC 2350

What Is the Data, Information, Knowledge, Wisdom (DIKW) Pyramid?

Um estudo recente, “Psychology of Human Error”, pode ajudar as empresas a entender como melhor conscientizar seus usuários e se proteger de ataques cibernéticos.

• “Psychology of Human Error” Could Help Businesses Prevent Security Breaches
• Estudo: Psychology of Human Error

O impacto psicológico nas vítimas de fraude:

• O relatório da AXUR sobre Atividade Criminosa Online no Brasil em 2021, em um determinado momento, traz uma informação interessante: "de acordo com um estudo realizado pela NortonLifeLock, 52% dos consumidores sentem raiva ao serem alvos de fraudes, com essa raiva ligada não ao fraudador, mas sim à marca pelo qual o cibercriminoso se passou. A sensação é de que a culpa é da empresa e não do cibercrime. Ao mesmo tempo, 46% se sentem estressados e 41%, vulneráveis."

A Verizon tem um framework que eles batizaram de VERIS e utilizam para descrever e categorizar os incidentes de segurança. Esse framework é utilizado como base para o bom e velho “Data Breach Incident Report” (DBIR) da Verizon.

• Eles disponibilizaram online toda a informação sobre o framework no site http://veriscommunity.net e também no Github https://github.com/vz-risk/veris
• Lá tem outros documentos interessantes, tais como:
• Mapping to att&ck: https://github.com/vz-risk/veris/blob/master/bin/vcaf-rev2020-v1_0_3.csv
• How to use technical data from their security tools for strategic insights (CIS controls mapping) for understanding what mitigations apply to what strategic actions: https://github.com/vz-risk/veris/blob/master/bin/cis_csc_veris_map-rev2020-v1_0.xlsx

Vídeo: "Former Federal CISO Advocates Zero-Trust Security"

Artigos relacionados ao conceito de "Reasonable” Security":

• California Consumer Privacy Act: The Challenge Ahead – The CCPA’s “Reasonable” Security Requirement
• What is "state of the art" in IT security?

O comércio de ferramentas de ataque e dados para realização de fraudes é algo muito comum no ciber crime, e acontece livremente nos fóruns da Dark Web, mas também às claras, em anúncios e perfis em redes sociais, grupos no telegram e, inclusive, através de posts no pastebin.. Isto acontece porque há ciber criminosos especializados em realizar atividades específicas dentro da sequência de ações necessárias para efetivar uma fraude: há a pessoa especializada em criar códigos maliciosos, há o especializado em criar sites de phishing, assim como também existe o pessoal especializado em realizar a fraude (ou seja, acessar uma conta bancária e fazer uma transferência para uma conta de laranja, ou alguém especializado em fazer compras online com dados de cartões de terceiros).

• Dark Web Price Index 2021
• Preços de dados roubados na dark web vão de US$ 25 a US$ 6 mil
• Mastercard clonado a $25: Veja quanto custa dados roubados por criminosos na dark web
• Já que você leu até aqui, pode valer a pena dar uma olhadinha nesse artigo: The state of the dark web: Insights from the underground

Uma referência muito boa é o guia do NIST "Digital Identity Guidelines Authentication and Lifecycle Management": ele descreve quais tecnologias de autenticação são as mais recomendadas de acordo com o nível de criticidade da aplicação, além de detalhar quais padrões de autenticação existem como deve ser o ciclo de vida deles. Ele também discute as principais ameaças, suas estratégias de mitigação, além de questões de privacidade e usabilidade dessas tecnologias de autenticação.

• Market Guide for User Authentication (Gartner)
• NIST - Digital Identity Guidelines Authentication and Lifecycle Management (Special Publication 800-63B)