Gbitten

terça-feira, outubro 30, 2007

 

Mapeamento de Processos

Um artigo (em duas parte) sobre mapeamento de processos:
por Sandra Rosas

Marcadores:


sábado, outubro 27, 2007

 

A organização da Família ISO 27000

standard
document, established by consensus and approved by a recognized body,
that provides, for common and repeated use, rules, guidelines or
characteristics for activities or their results, aimed at the
achievement of the optimum degree of order in a given context
ISO/IEC Guide 2:2004
As normas da série 2700x tem funções diferentes, conceitualmente pode-se organizar as normas dos sistemas de gestão em 4 tipos:

Marcadores:


sábado, outubro 20, 2007

 

ROI e IPS

Desconfio que se um dia conseguirem fazer um ROI imparcial de um IPS, o resultado será negativo, ou seja o investimento em um IPS não se justificaria. Por isso, me espantei quando li este paper com o seguinte resultado:

Annual Return on Investment
Cost of Investment             $200,000
Savings                        $3,876,084
ROI                            19.38:1

Uma economia anual de quase 4 milhões de dólares, retornando mais de 19 dolares por dolar investido! Com um resultado tão bom é preciso analisar o cálculo deste ROI. O paper utiliza o incidente de proliferação do worm Slammer para calcular o ROI.

IT Cost Avoidance — The average cost of the Slammer
virus in IT time alone amounted to $240,000. In 2003
there were four similar outbreaks
Annual cost = $1 million

240 mil dolares em pessoal de TI para resolver o incidente do Virus Slammer? Com essa quantia é possivel contratar um Security Analyst (U$ 74.874,00), um Database Administrator (U$ 81.301,00) e um Systems Administrator (U$ 63.698,00) por UM ANO.

Protected Revenue Stream — E-Commerce is relatively
small with an average of 16,000 orders per hour. The
downtime amounted to $60,000 an hour. Some companies
were down for up to sixty hours, with an average of
ten hours per major outbreak in 2003, where there were
four similar outbreaks
Annual cost = $2.4 million

Eu me lembro muito bem do Slammer. Na época eu era responsável por um site de e-gov com características muito próxima do exemplo descrito no paper, mas com uma pequena diferença, ao invés de 10 horas de indisponibilidade, o sistema permaneceu o tempo todo funcionando. E sem nenhum IPS para protege-lo.

Cost of Ownership — Prior to using McAfee IntruShield,®
there were six dedicated IDS analysts. By installing
IntruShield Appliances this resource was reduced to two
and four were redeployed to proactive roles
Annual cost = $400,000

400 mil dolares de custo anual para o IPS e dois Analistas full time para resolver o problema do Slammer. Não seria mais barato aplicar os patches de segurança no site em questão, já que a correção da vulnerabilidades utilizada pelo worm foi publicada seis meses antes do ataque? Foi o que fizemos na época, e com certeza não nos custou U$ 400.000,00 manter o ambiente de produção atualizado.

A maioria dos cálculos de ROI que eu observo são peças de marketing que não resistem a uma análise profunda. Ao menos, tenho que reconher uma vantagem do ROI, com um pouco de esforço é fácil identificar se um cálculo que foi realizado de forma imparcial.

Marcadores: ,


sexta-feira, outubro 19, 2007

 

Tech-Ed 2007 - Desenvolvimento Seguro

Do blog do Weber Ress:
INSCRIÇÕES abertas para o Tech-ED 2007 em São Paulo. Para quem nunca ouviu falar o Tech-Ed é a maior conferência da Microsoft realizada no Brasil. ... Estarei palestrando nesse evento. Minha palestra será Desenvolvimento Código Seguro para o Windows Vista. Após a palestra, estarei no Community Lounge e no Ask the Experts a disposição de todos para perguntas, dúvidas, suporte e um bom bate papo.

Marcadores:


quarta-feira, outubro 17, 2007

 

Dois add-ons do Firefox

Tamper Data é um quase substituto para o Paros. Esta extenção permite interceptar e alterar as requisições HTTP do Firefox. Bastante útil para white and black hats PWO ou Plain Old Webserver é um servidor web. Isso mesmo, é possivel instalar um servidor web no Firefox que permite inclusive conteúdos dinâmicos.

Marcadores:


 

Browser Rootkits

Estou um pouco cansado para escrever hoje, mas este conceito elaborado por Petko D. Petkov vale uma nota.

Marcadores:


terça-feira, outubro 16, 2007

 

Top 10 Tangible Measures for Effective Security Risk Management

O início do whitepaper "Top 10 Tangible Measures for Effective Security Risk Management", de David Lacey, é muito promissor. Porem, do meio para final é decepicionante. Somente duas das "Top 10 Measures for Effective Risk Management" propostas no paper levam em consideração os impactos causados por incidentes.

Marcadores: ,


 

Artigos

Duas notas interessantes da blogesfera nacional: Li rapidamente tanto o artigo do Michael Howard, quanto o documento do Departament of Homeland Security, e ambos me pareceram excelentes.

Marcadores: ,


 

Linus, métricas e segurança

Linus Torvalds escreveu recentemente sobre schedulers e segurança na lista linux-kernel:

SCHEDULERS can be objectively tested. There's this thing called "performance", that can generally be quantified on a load basis. Yes, you can have crazy ideas in both schedulers and security. Yes, you can simplify both for a particular load. Yes, you can make mistakes in both. But the *discussion* on security seems to never get down to real numbers. So the difference between them is simple: one is "hard science". The other one is "people wanking around with their opinions".

Em seguida ele completa:

ANOTHER difference is that when it comes to schedulers, I feel like I actually can make an informed decision. Which means that I'm perfectly happy to just make that decision, and take the flak that I get for it. And I do (both decide, and get flak). That's my job. In contrast, when it comes to security, I see people making IDIOTIC arguments, and I absolutely *know* that those arguments are pure and utter crap, and at the same time, I see that those people are supposed to be "experts".

Não poderia ser melhor dito. Infelizmente a métrica mais usada em segurança é o "achômetro". Basta ver o que os "especialistas em segurança" recomendam para políticas de senha: validade máxima para a senha, regras de construção de alta complexidade, validade mínima para a senha, tamanho mínimo de senha, bloqueio após n falhas, não reutilização de senhas, não compartilhamento de senhas, não escrever senhas em papel. Todas esta recomendações são colocadas de forma genérica, sem discriminação de caso, sem verificação de impacto (seja positivo ou negativo) e principalmente sem métricas palpáveis para validar o controle. Como eu disse em um "post" anterior, nossa área vive de lendas, dogmas e disputas quase religiosas. Parabéns ao Linus por apontar nossos defeitos.

Fonte original do artigo: Perilocity

Marcadores: , ,


segunda-feira, outubro 15, 2007

 

Gerador de Políticas Aleatórias

Scott Adams é um visionário. Seu Gerador de Políticas Aleatórias é utilizado em inúmeras políticas de segurança corporativas. UPDATE: Parece que a idade começou a afetar minha memória :)

Marcadores: ,


domingo, outubro 14, 2007

 

SOA e Segurança II

At this point, security is the primary limiting factor inhibiting SOA's growth
Esta afirmação de Peter Schooff me parece tão absurda. Em verdade, não me recordo de nenhuma tecnologia que tenha sua disseminação inibida por questões de segurança. Na maioria da vezes temos que correr atrás do prejuízo de uma tecnologia imatura e insegura.
Fonte: Rational Security

Marcadores:


 

SOA e Segurança

Alguns enlaces sobre Service Oriented Architecture (SOA) para leitura futura:

Marcadores:


sábado, outubro 13, 2007

 

"Packin' The K!"

Simplesmente hilário.

Marcadores:


 

ISO 3103

Foto de David Wilmot
ISO 3103:1980
THE method consists in extracting of soluble substances in dried tea leaf, containing in a porcelain or earthenware pot, by means of freshly boiling water, pouring of the liquor into a white porcelain or earthenware bowl, examination of the organoleptic properties of the infused leaf, and of the liquor with or without milk or both.
Finalmente um padrão que serve para alguma coisa.

Marcadores: ,


quinta-feira, outubro 11, 2007

 

Intagibilidade da Segurança da Informação

A segurança não é percepitível pela sua presença, mas sim pela sua falta. A percepção da falta de segurança vêm da percepção de uma ameaça, da sua inevitabilidade e da privação que ela acarreta. Essa percepção é motivada por um dos instintos mais básicos do ser humano, o medo. Como racionalizar sobre algo que se percebe apenas quando está ausente e que é causa_e_ou_motivo para um dos sentimentos mais irracionais do ser humano?

A informação, por sua vez, não pode ser manipulada diretamente. Para manipular é necessário representá-la de alguma forma, seja através da escrita, da fala, da pintura, de bits e bytes, etc. Proteger a informação é como proteger um reflexo, deve-se tomar conta do espelho porque não é possível conter a luz. Da mesma forma, tratamos de proteger nossos dados (bit e bytes), por que a informação propriamente dita depende basicamente de que a possui.

Não é a toa que uma combinação duas palavras tão intangíveis como Segurança e Informação, seja povoada por lendas, dogmas e disputas quase religiosas.

Marcadores:


quarta-feira, outubro 10, 2007

 

Projeto de lei, gerentes de fralda & analogia

Leituras interessantes:

Marcadores: ,


segunda-feira, outubro 08, 2007

 

Novo visual

Este blog inaugura um novo visual (ainda inacabado) e um novo domínio:

Marcadores:


domingo, outubro 07, 2007

 

yStS v.1.0

VOCÊ não pediu... mas mesmo assim nós fizemos! yStS v.1.0 YOU sh0t the sheriff um novo conceito em conferências de segurança dia 24 de outubro de 2007 em algum lugar da cidade de São Paulo fale com os nossos patrocinadores para garantir seu convite (é a única maneira de ir ao evento)
Enlace

Marcadores:


quinta-feira, outubro 04, 2007

 

Definição de Falso positivo

Tentava eu criar uma boa definição para o termo "falso positivo", quando o Google não só resolveu meu problema, como também me mostrou um sinônimo perfeito e muito intuitivo:

Marcadores:


Arquivos

Janeiro 2000   Fevereiro 2000   Março 2000   Julho 2005   Agosto 2005   Setembro 2005   Outubro 2005   Novembro 2005   Dezembro 2005   Janeiro 2006   Março 2006   Abril 2006   Maio 2006   Junho 2006   Julho 2006   Agosto 2006   Setembro 2006   Outubro 2006   Novembro 2006   Dezembro 2006   Janeiro 2007   Fevereiro 2007   Abril 2007   Maio 2007   Junho 2007   Julho 2007   Agosto 2007   Setembro 2007   Outubro 2007   Novembro 2007   Janeiro 2008   Fevereiro 2008   Março 2008   Junho 2008   Setembro 2008   Novembro 2008   Dezembro 2008   Junho 2009   Julho 2009   Agosto 2009   Setembro 2009   Outubro 2009   Dezembro 2009   Fevereiro 2010  

This page is powered by Blogger. Isn't yours?

Assinar Postagens [Atom]