• Sobre ATT&CK: Como a metodologia do MITRE para encontrar ameaças e contramedidas pode funcionar em sua organização (3/30/2020) - Texto traduzido e adaptado de “UNDER ATT&CK: HOW MITRE’S METHODOLOGY TO FIND THREATS AND EMBED COUNTER-MEASURES MIGHT WORK IN YOUR ORGANIZATION“ A modelagem de ameaças está ganhando ainda mais atenção com o ambiente dinâmico de ameaças de hoje.  A sofisticação dos atores e o desenvolvimento de táticas, técnicas e procedimentos avançados (TTPs) evidenciam a necessidade… Read More
• [Artigo] Guia da Elastic para Threat Hunting (3/24/2020) - Enquanto a maioria das tecnologias e processos relacionados à segurança atuam de forma passiva, ou seja, geram uma determinada resposta conforme o desencadeamento de eventos, Threat Hunting (“Caça à ameaças Cibernéticas”, em português) procura atuar de maneira mais ativa na proteção de dados. Trata-se da elaboração de hipóteses sobre os possíveis comportamentos de um invasor… Read More
• [Artigo] NIST republica Guia de Segurança para o Teletrabalho Corporativo – saiba como trabalhar de forma segura remotamente (3/19/2020) - O NIST, National Institute of Standards and Technology, escreveu um documento em 2016, que se tornou relevante em tempos de COVID-19, já que grande parte das empresas estão aderindo ao teletrabalho, de nome “Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security”. Neste artigo, iremos abordar as informações mais importantes para… Read More
• MITRE propõe metodologia para modelar e prevenir ameaças de segurança da informação (3/3/2020) - Texto traduzido e adaptado de “UNDER ATT&CK: HOW MITRE’S METHODOLOGY TO FIND THREATS AND EMBED COUNTER-MEASURES MIGHT WORK IN YOUR ORGANIZATION“ A modelagem de ameaças está ganhando cada vez mais atenção conforme a dinamicidade do atual cenário tecnológico. O surgimento e a sofisticação dos diversos vetores de ataques oferecem um destaque para o processo de… Read More
• [Artigo] Como Ficar em Compliance com Legislações de Proteções de Dados utilizando a Elastic Stack (2/4/2020) - A Elastic, empresa por trás da solução Elastic Stack, que abrange Elasticsearch, Kibana, Beats e Logstash, acabou de liberar o artigo de nome “GDPR Compliance & The Elastic Stack”. O artigo aborda conceitos dessa regulamentação européia, oferecendo, sugestões de como usuários Elastic podem utilizar os recursos da Elastic Stack para ajudá-los no processo de conformidade… Read More
• MS-ISAC lança comunicado sobre vulnerabilidade no PHP (10/3/2019) - O órgão responsável pela melhoria da postura dos governos com relação à segurança cibernética, MS-ISAC (Multi-State Information Sharing & Analysis Center), publicou no último dia 27 de setembro, de 2019, um aviso sobre uma vulnerabilidade presente no PHP. Através dela, um invasor pode explorar e controlar um sistema afetado. O PHP é uma linguagem de… Read More
• GSI elege Estratégia Nacional de Segurança Cibernética como módulo inicial para proteção da informação (9/18/2019) - O Gabinete de Segurança Institucional da Presidência da República (GSI/PR), órgão do governo brasileiro responsável pelo assessoramento do presidente sobre assuntos militares e/ou de segurança, considerou a área de proteção cibernética como sendo a mais crítica e atual a ser tratada. Então, em janeiro de 2019, foi eleita a Estratégia Nacional de Segurança Cibernética (ou… Read More
• Blog post da Gartner questiona a separação entre SOC e o CSIRT (7/3/2018) - No último dia 27 de Junho, a empresa Gartner divulgou um blog post questionando a separação entre Security Operations Center (SOC) e Computer Security Incident Response Team (CSIRT) dentro das organizações.  No post, são apontados motivos pela existência de SOCs que agregam a função de CSIRT no mesmo grupo, mas, também, motivos para manter os… Read More
• Livros de Simulados Preparatórios para Certificações patrocinados pela Clavis estão presentes no Top 20 da Amazon Brasil (4/24/2018) - Como todos já sabem, o investimento para cultivar as melhores práticas de segurança da informação é importante para a Clavis. O mundo da cibersegurança fica cada vez mais sofisticado e a Clavis vê que um de seus papeis é acompanhar as mudanças. O conteúdo é vasto e a preparação é necessária para lidar com os… Read More
• 6 livros da Clavis estão no Top 20 mais vendidos do Brasil em Segurança da Informação (4/17/2018) - Em agosto de 2017 publicamos um post onde falamos a respeito da literatura específica em Segurança da Informação. Nesse post, falaremos sobre 6 livros da Clavis que nessa primeira quinzena de abril/2018 estão no top 20 do Brasil de livros mais vendidos em Segurança da Informação. Esse resultado é fruto do esforço de profissionais da área de segurança… Read More
• ISO 27001, PCI-DSS e GDPR: sopa de letrinhas dos padrões de segurança é destaque no 13o. SegInfo (4/16/2018) - Por André Machado Combater ameaças e proteger de maneira contínua e em tempo real os ambientes corporativos num universo crescente de dados digitais, a grande maioria online, é fundamental para manter uma economia saudável, tanto virtual como fisicamente. Mas outra parte essencial desse processo é obedecer às normas e padrões internacionais de segurança e compliance,… Read More
• Décima-terceira edição do SegInfo apresenta as últimas novidades e tendências de segurança nas empresas (4/2/2018) - Por André Machado A 13ª edição do workshop SegInfo, capitaneada pela Clavis Segurança da Informação no último dia 21 de março, trouxe valiosas informações sobre o setor de segurança de TI em concorridas palestras ao longo do dia, num salão exclusivo na churrascaria Fogo de Chão, em Botafogo, no Rio. O workshop recebeu mais de… Read More
• [Artigo 3/3] Atualização do OWASP TOP 10 2017 – BENEFÍCIOS do uso do OWASP TOP 10 PARA VOCÊ e sua organização (1/28/2018) - Já demos uma olhada na nova lista OWASP Top 10 e analisamos como prevenir e tratar as vulnerabilidades nas nossas aplicações web, mas, quais os benefícios de se fazer isso? O que o negócio (e você), ganha com esse esforço? Neste artigo analisaremos os benefícios do Top 10 sob a luz de Governança (sócio majoritário… Read More
• Artigo do SANS aborda o tema Ransomware (1/25/2018) - Embora o tema ransomware parece recente e seja um dos tópicos mais discutidos entre os profissionais da área de Segurança da Informação nos dias de hoje, o problema é enfrentado há algum tempo e foi alvo de um artigo publicado do SANS  no mês de agosto de 2016. O artigo apresenta um visão geral do… Read More
• Clavis & Elastic: Solução X-Pack (12/21/2017) -   A Clavis, em parceria com a Elastic, iniciou a oferta da da solução X-Pack. Essa solução trata-se de uma extensão única que provê recursos de segurança, alertas, monitoramento, relatórios, gráficos e Machine Learning ao Elastic Stack. O X-Pack é a evolução dos plugins Shield, Watcher, Marvel, Reporting e Graph, que anteriormente eram mantidos separadamente… Read More
• Técnicas e soluções para tratar as 10 principais vulnerabilidades em aplicações web – Atualização do OWASP TOP 10 (12/17/2017) - No primeiro artigo desta série apresentamos as novidades na lista OWASP Top 10. Neste, apresentaremos ações, técnicas e ferramentas de prevenção e tratamento das vulnerabilidades, em especial a A10: Registro e Monitoração Ineficientes. Desenvolvimento seguro (Projeto) – Não construa o avião com ele voando! De verdade! Entenda a necessidade do negócio, faça o AS IS… Read More
• Atualização do OWASP TOP 10 – Conheça os 10 atuais e principais riscos de segurança em aplicações web (12/12/2017) - Owasp Top 10! Um padrão respeitado a mais de 10 anos e sempre atento às mudanças tecnológicas e comerciais da internet. As novidades da nova versão incluem riscos sobre Entidades Externas XML, Desserialização Insegura e Monitoração e registro ineficientes de Logs. Também traz mais do que uma visão técnica e estatística das aplicações web. Ao… Read More
• Utilização de matriz de classificação de conta e priorização para gestão de acesso privilegiado (8/23/2017) - A  forma de gerenciamento de contas e acessos privilegiados por parte das empresas pode variar de acordo com diversos fatores, como a política de tratamento de credenciais e a ferramenta utilizada para o gerenciamento das identidades. Normalmente é utilizada uma abordagem que considera as credenciais de forma igualitária, sem nivelamento ou atribuição de criticidade, o… Read More
• Ransomware – Por Carlos Caetano (8/10/2017) -   Carlos Caetano, Associate Regional Director – Brazil do PCI Security Standards Council Com o ransomware afetando tantos negócios em todo o mundo, é fundamental que as organizações olhem seriamente para essa crescente ameaça e entendam como se defenderem contra ela. Aqui, destacamos três fatos sobre o ransomware que todos os negócios devem saber. O… Read More
• PCI Security Standard Council disponibiliza Guia de Proteção contra Ransomware em Português (8/9/2017) - Ransomware é o tipo de malware que mais avança em todo o mundo. Com o intuito de auxiliar na conscientização da comunidade técnica e dos usuários sobre essa ameaça, o PCI Security Standards Council (PCI SSC) disponibilizou um Guia de Proteção contra Ransomware, no qual conceitua o risco deste malware, define os tipos de ataque… Read More