agosto 31, 2024

Posts que nunca foram escritos

Putz, todo ano eu quero escrever um post sobre o relatório do Fórum Econômico Mundial, mas perco o timing:


Olha que interessante: a página de métricas do site CVE.org apresenta o total de CVEs publicados desde 1999 até os dias de hoje ("Published CVE Records").


O portal do FIRST.org tem vários documentos que são uma ótima referência e vale a pena dar uma olhada:


A RFC 2350 oferece uma maneira fácil e padronizada para as Equipes de Resposta a Incidentes de Segurança em Computadores (CSIRT) documentarem sua missão, serviços, políticas e procedimentos.



Um estudo recente, “Psychology of Human Error”, pode ajudar as empresas a entender como melhor conscientizar seus usuários e se proteger de ataques cibernéticos.


O impacto psicológico nas vítimas de fraude:
  • O relatório da AXUR sobre Atividade Criminosa Online no Brasil em 2021, em um determinado momento, traz uma informação interessante: "de acordo com um estudo realizado pela NortonLifeLock, 52% dos consumidores sentem raiva ao serem alvos de fraudes, com essa raiva ligada não ao fraudador, mas sim à marca pelo qual o cibercriminoso se passou. A sensação é de que a culpa é da empresa e não do cibercrime. Ao mesmo tempo, 46% se sentem estressados e 41%, vulneráveis."

A Verizon tem um framework que eles batizaram de VERIS e utilizam para descrever e categorizar os incidentes de segurança. Esse framework é utilizado como base para o bom e velho “Data Breach Incident Report” (DBIR) da Verizon.


Artigos relacionados ao conceito de "Reasonable” Security":
O comércio de ferramentas de ataque e dados para realização de fraudes é algo muito comum no ciber crime, e acontece livremente nos fóruns da Dark Web, mas também às claras, em anúncios e perfis em redes sociais, grupos no telegram e, inclusive, através de posts no pastebin.. Isto acontece porque há ciber criminosos especializados em realizar atividades específicas dentro da sequência de ações necessárias para efetivar uma fraude: há a pessoa especializada em criar códigos maliciosos, há o especializado em criar sites de phishing, assim como também existe o pessoal especializado em realizar a fraude (ou seja, acessar uma conta bancária e fazer uma transferência para uma conta de laranja, ou alguém especializado em fazer compras online com dados de cartões de terceiros).


Uma referência muito boa é o guia do NIST "Digital Identity Guidelines Authentication and Lifecycle Management": ele descreve quais tecnologias de autenticação são as mais recomendadas de acordo com o nível de criticidade da aplicação, além de detalhar quais padrões de autenticação existem como deve ser o ciclo de vida deles. Ele também discute as principais ameaças, suas estratégias de mitigação, além de questões de privacidade e usabilidade dessas tecnologias de autenticação.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.