Arquivo da categoria: Segurança

OpenVas – Scanner de Vulnerabilidades

Olá pessoal

Este post usei como LAB:

Máquina Virtual Linux Ubuntu no Azure

OpenVaz última versão

Introdução

Um aspecto importante da segurança do servidor é ser proativo em relação à triagem de segurança. Se você expõe algum serviço à Internet, o teste de penetração é essencial para garantir que você não esteja vulnerável a ameaças conhecidas.

O Open Vulnerability Assessment System, mais comumente conhecido como OpenVAS , é um conjunto de ferramentas que funcionam juntas para executar testes em computadores clientes usando um banco de dados de explorações e fraquezas conhecidas. O objetivo é aprender como seus servidores são protegidos contra vetores de ataque conhecidos.

Neste guia, instalaremos o pacote OpenVAS em um Ubuntu. Podemos então usar este sistema para fazer a varredura de si mesmo e de outros servidores.

Adicione o OpenVAS PPA e instale o software

Embora existam alguns componentes OpenVAS nos repositórios padrão do Ubuntu, usaremos um PPA que mantém versões atualizadas dos pacotes.

Para começar, precisamos instalar o python-software-propertiespacote, o que nos permitirá trabalhar com PPAs facilmente.sudo apt-get update sudo apt-get install python-software-properties

Podemos então adicionar a versão estável mais recente ao nosso sistema:sudo add-apt-repository ppa:openvas/openvas6

Precisamos reconstruir o banco de dados apt para reunir informações sobre os pacotes disponíveis por meio de nosso novo PPA. Depois, podemos instalar o software necessário:

sudo apt-get update sudo apt-get install openvas-manager openvas-scanner openvas-administrator openvas-cli greenbone-security-assistant sqlite3 xsltproc texlive-latex-base texlive-latex-extra texlive-latex-recommended htmldoc alien rpm nsis fakeroot

Isso fará o download e instalará os componentes necessários para começar.

Configuração Inicial

Podemos criar certificados SSL para OpenVAS usando um utilitário wrapper incluído por padrão. Precisamos chamar isso com privilégios administrativos para que possa ser colocado em uma parte restrita do sistema de arquivos.

sudo openvas-mkcert

Serão feitas várias perguntas que o ajudarão a construir um arquivo de certificado para uso com este servidor.

Na maioria das perguntas, você pode simplesmente digitar ENTER para aceitar os valores padrão. Isso é principalmente para seu próprio uso, portanto, insira os valores que gostaria de usar.

A seguir, criaremos outro certificado. Desta vez, criaremos um certificado de cliente para um usuário chamado “om”, que significa OpenVAS Manager. Não precisamos de nenhuma informação específica para a parte do cliente, então vamos dizer a ele para configurar as coisas automaticamente e instalar os certificados nos locais necessários:

sudo openvas-mkcert-client -n om -i

Construir as informações do banco de dados

Agora que temos nossos certificados instalados, podemos começar a construir nosso banco de dados para que nossas ferramentas locais estejam cientes dos diferentes tipos de ameaças e vulnerabilidades.

Atualize o banco de dados de testes de vulnerabilidade da rede emitindo este comando:

sudo openvas-nvt-sync

Isso fará o download das definições mais recentes para sua máquina local.

Para continuar, precisaremos interromper o gerenciador e os aplicativos de scanner para que possamos chamar os comandos sem um conflito momentaneamente.

Pare ambos os serviços digitando:

sudo service openvas-manager stop sudo service openvas-scanner stop

Agora, podemos iniciar o aplicativo de scanner sem os parâmetros encontrados no arquivo init que normalmente são chamados. Durante a primeira execução, o OpenVAS precisará baixar e sincronizar muitos dados. Isso vai demorar um pouco:

sudo openvassd

Assim que terminar, você terá que reconstruir o banco de dados gerado pelo scanner digitando:

sudo openvasmd --rebuild

Em seguida, vamos baixar e atualizar nossos dados de protocolo de automação de conteúdo de segurança. Isso é conhecido como dados “SCAP”. Este é outro banco de dados que o OpenVAS verifica para nossos testes de segurança.

sudo openvas-scapdata-sync

Esta será outra longa espera. Ele baixa alguns arquivos gerais e os atualiza no banco de dados.

Em seguida, executaremos uma operação de sincronização semelhante para os dados do certificado:

sudo openvas-certdata-sync

Executando este comando pela primeira vez, você pode ver alguns erros. Eles podem ser parecidos com isto:

Error: no such table: meta

Isso ocorre porque o pacote Ubuntu está faltando alguns arquivos que estão empacotados em algumas outras versões.

Podemos obtê-los de um pacote RPM para o componente gerenciador. Digite para fazer o download em seu diretório inicial:

cd wget http://www6.atomicorp.com/channels/atomic/fedora/18/i386/RPMS/openvas-manager-4.0.2-11.fc18.art.i686.rpm

Agora que baixamos o arquivo, podemos extrair e expandir a estrutura de diretórios presente no RPM. Podemos fazer isso digitando:

rpm2cpio openvas* | cpio -div

Criaremos um diretório para nossos novos arquivos em um local onde o OpenVAS os encontrará. Em seguida, moveremos os arquivos para esse diretório:

sudo mkdir /usr/share/openvas/cert sudo cp ./usr/share/openvas/cert/* /usr/share/openvas/cert

Agora, podemos executar com segurança o comando cert syncing novamente, e ele deve ser concluído conforme o esperado desta vez:

sudo openvas-certdata-sync

Depois, podemos excluir os dados RPM extraídos e diretórios de nosso diretório inicial:

rm -rf ~/openvas* ~/usr ~/etc

Configurar usuário e portas OpenVAS

Para entrar em nosso serviço, precisaremos de um usuário. Podemos criar um com o componente de administrador do OpenVAS.

Aqui, criaremos um usuário chamado “admin” com a função de administrador. Você será solicitado a fornecer uma senha para usar na nova conta:

sudo openvasad -c add_user -n admin -r Admin

Você será informado de que o usuário tem acesso ilimitado.

Em seguida, precisamos alterar a maneira como um de nossos componentes é inicializado. O componente Greenbone Security Assistant é uma interface baseada na web para as ferramentas que instalamos.

Por padrão, a interface só pode ser acessada no computador local. Como estamos instalando o pacote OpenVAS em um servidor remoto, não poderemos acessar a interface da web com essas configurações. Precisamos torná-lo acessível a partir da Internet.

Abra o seguinte arquivo com privilégios de root em seu editor de texto preferido:

sudo nano /etc/default/greenbone-security-assistant

Próximo ao topo, você deve ver um parâmetro que especifica o endereço de escuta da interface da web. Precisamos alterar o valor de 127.0.0.1para o endereço IP público do seu VPS. Isso permitirá que ele ouça as conexões da Internet e poderemos conectar:

<pre>
GSA ADDRESS = <span class = “highlight”> endereço IP do seu servidor </span>
</pre>

Salve e feche o arquivo depois de fazer a modificação acima.

Inicie os serviços

Vamos agora iniciar os serviços que estamos configurando. A maioria deles já está funcionando com alguma capacidade, mas teremos que reiniciá-los para ter certeza de que usam as novas informações que temos coletado.

Comece eliminando todos os processos do scanner OpenVAS em execução:

sudo killall openvassd

Pode levar até 15 ou 20 segundos para que o processo seja realmente eliminado. Você pode verificar se ainda há processos em execução emitindo:

ps aux | grep openvassd | grep -v grep

Se algo for retornado, seus processos ainda não foram concluídos e você deve continuar aguardando.

Assim que o processo terminar completamente, você pode começar a iniciar todos os seus serviços novamente:

sudo service openvas-scanner start sudo service openvas-manager start sudo service openvas-administrator restart sudo service greenbone-security-assistant restart

Cada um deles pode demorar um pouco para iniciar.

Acesse a interface da Web e execute alguns testes

Assim que todos os serviços forem iniciados, você pode usar seu navegador da web para acessar a interface da web do Greenbone Security Assistant.

Para acessá-lo, você deve preceder o endereço do seu servidor com https://. Em seguida, insira o nome de domínio ou endereço IP do seu servidor seguido por :9392.

<pre>
https: // <span class = “highlight”> domínio do servidor ou_IP </span>: 9392
</pre>

Você verá uma tela de aviso de aparência assustadora informando que o certificado não foi assinado por alguém em quem seu navegador confie por padrão:

Aviso de segurança OpenVAS

Isso é esperado e não é um problema. Você deve clicar no botão “Continuar mesmo assim” para continuar.

Em seguida, você verá a tela de login:

Tela de login do OpenVAS

Você precisará inserir o nome de usuário e a senha configurados anteriormente. Para este guia, o nome de usuário era “admin”.

Depois de entrar, você será imediatamente recebido por um assistente de início rápido, que permitirá que você execute uma verificação padrão em um computador de destino imediatamente:

Assistente de inicialização OpenVAS

Uma boa opção é executar em outro servidor de sua propriedade. É importante não executar essas varreduras em alvos que não estão sob seu controle, porque podem parecer ataques em potencial a outros usuários.

Digite o endereço IP do computador que deseja testar e clique no botão “Iniciar digitalização” para começar.

A página será atualizada conforme o andamento da verificação e você também pode atualizar a página manualmente para acompanhar o andamento:

Progresso da verificação do OpenVAS

Quando a digitalização for concluída (ou mesmo antes, se desejar revisar as informações à medida que forem chegando), você pode clicar no ícone da lupa roxa para ver os resultados da digitalização. É normal que a varredura descanse em 98% por um tempo antes de concluir:

Lupa OpenVAS

Você será levado a uma visão geral dos resultados da verificação. Observe que a verificação imediata que concluímos não é a verificação mais aprofundada que temos disponível.

Resultados da verificação OpenVAS

Na parte inferior, você pode ver o relatório que o OpenVAS criou nos informando sobre possíveis vulnerabilidades no sistema que verificamos. Podemos ver que o nível “Ameaça” foi categorizado como “Médio”.

Isso significa que pelo menos uma vulnerabilidade foi encontrada no sistema de classificação de “média”. Podemos descobrir mais clicando na lupa novamente.

Isso nos levará a um relatório completo das descobertas. Na parte superior, você tem a opção de baixar os resultados em vários formatos:

Download de verificação OpenVAS

Na seção do meio, podemos filtrar os resultados. Por padrão, a interface mostrará apenas ameaças marcadas como “altas” ou “médias”. Na primeira vez, você provavelmente deve marcar todas as caixas na categoria “Ameaça”. Clique em “Aplicar” para implementar isto:

Filtragem OpenVAS

A seção inferior nos fala sobre os itens específicos que foram encontrados. Se você selecionou todas as caixas acima, verá algumas mensagens informativas sobre portas abertas e descobertas semelhantes.

As ameaças serão codificadas por cores de acordo com a cor de seus botões. Por exemplo, esta é nossa ameaça média:

Ameaça média OpenVas

Este aviso nos diz que nosso destino responde às solicitações de carimbo de data / hora. Essas solicitações podem permitir que um invasor saiba por quanto tempo o host está online continuamente. Isso pode permitir que um invasor saiba que o host é vulnerável a qualquer exploração recente.

Como você pode ver, o relatório também inclui informações sobre como lidar com o problema.

Conclusão

Agora você deve ter um servidor OpenVAS totalmente funcional configurado para verificar seus hosts. Isso pode ajudá-lo a identificar vulnerabilidades e realçar áreas nas quais se concentrar quando estiver aumentando a segurança.

Mostrei apenas um mínimo das funcionalidades do pacote de segurança OpenVAS. Entre outras tarefas, você pode agendar verificações facilmente, gerar relatórios automaticamente e alertas por e-mail quando determinados níveis de ameaça forem gerados. Explore a interface do Greenbone Security Assistant e aproveite o excelente sistema de ajuda integrado para aprender mais sobre suas opções.

Espero que tenha ajudado.

Até mais

LGDP PL53/20 18 LEI GERAL DE PROTEÇÃO DE DADOS

A LGPD PL53/2018 que é a versão brasileira da LEI GERAL DE PROTEÇÃO de DADOS que foi sancionada recentemente está livre para leitura na internet no site do senado Brasileiro.
Importante todas as empresas que tem a salva guarda dos dados de Brasileiros e vão ter que se adequar a lei até 2020. Os 2 links abaixo o resumem bem a noticia aprovada e dos documentos públicos para serem lidos.
Não precisa de curso ou orientação. Está livre para qualquer brasileiro se informar corretamente.
Os cursos claro te dão um dinamismo melhor e entendimento, mas a documentação está ai.
Aproveitem.

GDPR, Office 365 e Azure

Olá pessoal

Tem se falado no GDPR, mas o que é o GDPR?

Primeiro vamos traduzir e colocar em uma liguagem com um entendimento basico.

Em português é “Regulamento Geral de Proteção de Dados” (General Data Protection Regulation, GDPR) é a norma mais recente criada para fortalecer a proteção de dados pessoais de cidadãos da União Europeia.

Mas por que estas regulamentações estão sendo fundidas e regulamentadas aqui no Brasil? Simples, muitas regulamentações, médicas, bancarias, industriais e outras tem como base EUA e Europa. Softwares, dados e data centers, compliances e regras são todos originados la fora e regimentados aqui no Brasil.

Aqui no Brasil seguimos bastante informações e regras obrigatórias pela ABNT (Associação Brasileira de Normas Técnicas).

Aqui no Brasil deve-se ter ativado a partir da data de 25 de Maio de 2018.

O Banco Central já soltou uma portaria para que os bancos de adequem a regulamentação. Resolução 4.658 do Banco Central.

O GDPR é a maior mudança em privacidade e segurança da informação das últimas décadas, substituindo o último acordo europeu, datado de 1995. Por isso, as organizações devem se atentar a todas as regras para garantir a conformidade. A Microsoft tem feito isso desde que o acordo foi firmado, em 14 de abril de 2016, e foi a primeira provedora de nuvem global a oferecer termos e condições compatíveis com a nova regra em seus serviços. Assim, soluções como Azure, Microsoft 365 e Dynamics 365, já estão adequadas. No entanto, estar em conformidade com o GDPR vai além do uso de tecnologia, mas sim passa por processos internos, políticas e pessoas.

Como mencionado acima o GDPR vai muito alem de só tecnologia.

O Office 365 tem um link que te ajuda a entender melhor e ativar algumas resoluções sobre o GDPR.

https://www.microsoft.com/pt-br/TrustCenter/CloudServices/office365/GDPR

leia que é praticamente pauta obrigatória em algumas corporações como instituições financeiras e Instituições de saúde.

Mas como ativarei isso? Calma, como estou repetindo acima, é um tema extenso e precisa de tempo para entender.

Ou seja é um troço chato, mas……. é importante e alguns casos obrigatório.

No Office 365 alguns pontos quando você entra na Tenant.

Veja em https://protection.office.com e seu nivel de licenciamento atinge praticamente todos serviços do Office e seu ecosistema.

Mencionei Azure no tema por que o Office 365 utiliza varios recursos do Azure como Azure AD, Azure Information Protection e outros então todo serviços cloud da Microsoft está engajado.

Em Classificação da Informação: Ative a classificação da informação com botões de nível de importância dos documentos da organização.

Publico, Interna, Restrita, Confidencial.

Criações de rotulos como acima são uns dos pontos.

Em DLP (Data Loss Prevention) Prevenção de perda de dados, acredito que é um dos principais pontos do ecossistema que faz sentido ao GDPR.

Nesta ativação tem varias resoluções de regulamentações da Europa, EUA e do Brasil. Varias regulamentações exemplo em Medical and Health.

Na Pagina de GDPR tem varias orientações para você com mais compreensão realizar as configurações, coletas de dados e geração de relatórios para ficar em compliance com as resoluções.

Basta ter a vontade de ler, que é extenso, entender como é o ecosistema e ir fazendo as aplicações.

Governança de dados

A governança dos dados é um Dashboard que já começa a coletagem de informações das suas ativações que vai te dar rumos de configurações e ativações e ajustes de resultados de melhorias na segurança dos dados. Aqui você consegue verificar retenção de dados.

Privacidade dos dados

Por fim já tem um menu reforçando a privacidades dos dados com enfase ao GDPR com todas as informações, orientações dos serviços do Office 365, Microsoft 365 e outros serviços do Azure.

Estes serviço atinge direto o Onedrive, Sharepoint, Office e Office Online, Exchange online e outros.

Algumas orientações são importantes:

O Microsoft Office 365 e as ferramentas relacionadas permitem proteger dados pessoais das seguintes maneiras:

  • Ajuste as configurações de privacidade no Word, no Excel e no PowerPoint para limitar a conexão dos aplicativos do Office à Internet, tornar a marcação oculta visível e inspecionar e remover dados pessoais de documentos com o Inspetor de Documento.
  • Limite o acesso a arquivos ou pastas compartilhados no OneDrive for Business e gerencie quem pode exibir ou editar os arquivos.
  • Use a opção para criptografar documentos do Word, do Excel e do PowerPoint com proteção por senha.
  • Use o Azure Information Protection para criptografia e gerenciamento de direitos.
  • Use a opção de criptografia durante o Serviço de Importação de PST.
  • Criptografe mensagens ao transferir dados pessoais para partes externas por email com OME (Criptografia de Mensagem) do Office 365.
  • Use a Inteligência Contra Ameaças para descobrir e proteger de forma proativa contra ameaças avançadas no Office 365.
  • Proteja o email contra ataques de malware desconhecidos e sofisticados em tempo real usando a Proteção Avançada contra Ameaças para Exchange Online (que requer uma assinatura do Office 365 E5).
  • Identifique o uso de alto risco e anormal recebendo alertas de possíveis violações, permitindo-lhe acompanhar e responder a ações de alto risco com o Gerenciamento de Segurança Avançada.
  • Monitore e capture todas as atividades que ocorrem dentro de seu tenant usando a API de Atividades de Gerenciamento.
  • Use o Log de Auditoria Unificado para acompanhar e registrar atividades de processamento em todo o ambiente do Office 365, registrar a resolução de solicitações de direitos de entidades de dados e os eventos de log associados à alteração, ao apagamento ou à transferência de dados pessoais e fornecer insight sobre os dados transferidos para terceiros por email ou compartilhados usando o SharePoint Online e o OneDrive for Business.
  • Use o Acompanhamento de Mensagens do Exchange para determinar o destinatário de um email e se ele foi recebido, rejeitado, adiado ou entregue.

Use a API de Atividade de Gerenciamento do Office 365 para identificar atividades de compartilhamento de usuários no Exchange Online e no SharePoint Online.
===========================================================================

TEMA GDPR e SEGURANÇA

Como o tema é complicado eu montei uma planilha que vale para aplicação de segurança no Office 365 e montei um POC, estou compartilhando a planilha para dividir os trabalhos de implantação e configuração.

EM BREVE NA MESMA PASTA A PROPOSTA DE ESCOPO TÉCNICO DA IMPLANTAÇÃO E A CONFIGURAÇÃO.

Pesquisei aqui no Brasil que consegue implantar e só a MICROSOFT e uma empresa que presta consultoria através da CORP que tem condições técnicas de realizar a implantação.

A planilha ajuda bastante para saber o que fazer primeiramente.

Segue o link  https://1drv.ms/x/s!An-dPolj_Ee_hdUx_75nHFiPY-1qjQ 

===========================================================================

IMPORTANTE

Para ajudar os clientes que estão buscando informações que possam ajudar a realizar uma DPIA (Avaliação de Impacto de Proteção de Dados) que aborde seu uso do Office 365, a Microsoft fornece informações detalhadas sobre o processamento de dados do cliente e as medidas de segurança usadas para proteger esses dados. Essas informações são acessíveis por meio do Microsoft Trust Center.

 

Além de mostrar como iniciar uma configuração de proteção e sobre GDPR abaixo estão as fontes que usei para explanar e mostrar que o Office 365 e Azure está totalmente em compliance com GDPR.

https://www.jota.info/opiniao-e-analise/artigos/10-coisas-que-sua-empresa-deve-saber-sobre-o-gdpr-da-uniao-europeia-15012018

https://enterprise.microsoft.com/pt-br/articles/digital-transformation/gdpr-prepare-se-para-as-novas-regras-de-protecao-de-dados/

https://www.microsoft.com/pt-br/TrustCenter/CloudServices/office365/GDPR

https://www.eugdpr.org/

Pessoal, se tiverem dúvida entrem em contato.

Abraços

Zerodium premio de $45k

Zero-day

A empresa Zerodium está oferecendo US$ 45.000 para hackers dispostos encontrar vulnerabilidades de zero day no  Linux.

O programa de  exploração privada anunciou a recompensas no Twitter . Até 31 de março, a Zerodium está disposta a oferecer pagamentos de até US$ 45.000 para explorações locais de escalonamento de privilégios (LPE).

As vulnerabilidades de zero day, não relatadas, devem funcionar com instalações padrão do Linux, como as populares plataformas Ubuntu, Debian, CentOS, Red Hat Enterprise Linux (RHEL) e Fedora.

O Zerodium difere de muitas empresas que procuram ajuda externa para descobrir vulnerabilidades. Enquanto muitos fornecedores de tecnologia, incluindo Google, Apple e Microsoft, muitas vezes oferecem recompensas financeiras para relatórios de erros válidos, esses relatórios são usados ​​para corrigir o software e proteger os dispositivos do usuário de um compromisso.

A empresa adota vulnerabilidades em uma ampla gama de dispositivos e sistemas operacionais de destino – como o Microsoft Windows, o Google Chrome, o Android, o Apple OS X e vários servidores de e-mail – para vender essas informações de forma privada aos clientes; individualmente, ou através do feed de pesquisa do dia zero da empresa.

Os clientes podem incluir agências governamentais que exigem explorações para fins, incluindo quebra de criptografia de dispositivo ou realização de vigilância.

Dependendo da demanda do mercado, o vendedor de explorações ofereceu recompensas que atingiram mais de um milhão de dólares no passado. Em 2015, a empresa ofereceu US $ 1,5 milhão para explorar as façanhas do iOS 10.

Ao longo do ano passado, os governos pediram intervenções em portas de aplicativos criptografados e serviços de criptografia de ponta a ponta. Considerando esta mudança nas prioridades do governo, o Zerodium aumentou os pagamentos de recompensas em 2017 até US $ 500.000 para falhas de zero dias em aplicativos criptografados , como iMessage, Telegram e WhatsApp.

O aumento no preço das vulnerabilidades do Linux sugere que pode haver uma alta demanda no mercado no momento.

O Zerodium geralmente oferece até US $ 30.000 para uma vulnerabilidade do dia zero do Linux, mas para aumentar as submissões, isso agora aumentou em US $ 15.000 até o prazo.

A fonte é do site ZDNET

O que é OWASP?

Olá pessoal

OWASP_Poland_logo

Com uma conotação em segurança que é um assunto que esta começando a ficar na cabeça dos profissionais de tecnologia da informação.

É item obrigatório quando se fala de aplicações WEB.

A segurança de aplicativos e softwares de computadores é simplesmente uma das etapas mais importantes do planejamento para o desenvolvimento. Afinal, o nível de confiabilidade é o que determinará o sucesso dele, e isso se refletirá no número de usuários ativos no aplicativo, por exemplo. E não tem como falar em segurança sem mencionar o OWASP.

É fundamental que os profissionais seja fora da area de Segurança desenvolvimento ou TI combata às falhas de segurança, enjaular ou blindar sistemas , aplicativos e sistemas contra invasões não autorizadas e vazamento de informações sigilosas dos usuários e empresas. Isso torna essencial acompanhar e participar ativamente do OWASP.

Quer entender melhor o assunto? A seguir, veja o que é OWASP e por que ele é tão importante para a sua empresa!

O que é OWASP?

A sigla OWASP é a abreviação para “Open Web Application Security Project”. Trata-se de uma entidade sem fins lucrativos e com reconhecimento internacional, atuando com foco na colaboração para o fortalecimento da segurança de softwares em todo o mundo.

O OWASP mantém uma lista com as 10 falhas de segurança de aplicativos da Web mais perigosas, juntamente com os métodos mais eficazes para lidar com elas. Abaixo, listamos o top 10 OWASP por ordem de maior risco para o menor, até a data de postagem deste post. Acompanhe:

  1. injeção de código;
  2. quebra de autenticação e gerenciamento de sessão;
  3. cross-site scripting (XSS);
  4. referência insegura e direta a objetos;
  5. configuração incorreta de segurança;
  6. exposição de dados sensíveis;
  7. falta de função para o controle de níveis de acesso;
  8. cross-site request forgery (CSRF);
  9. utilização de componentes vulneráveis conhecidos;
  10. redirecionamentos e encaminhamentos inválidos.

Como funciona o OWASP?

Quem sustenta o projeto é composto por uma gama de especialistas em segurança na web espalhados por todo o mundo. Eles compartilham seus conhecimentos e experiências sobre as vulnerabilidades, ameaças, ataques e informações sigilosas que são passadas com experiências e testes feitos.

A ideia é reunir as informações mais importantes que permitam a avaliação dos riscos de segurança e as formas de combatê-las eficientemente.

Por que o OWASP é importante?

O OWASP é um projeto de comunidade de segurança gratuita e aberta, que fornece uma riqueza absoluta de conhecimentos, ferramentas para ajudar qualquer pessoa envolvida nos processos de criação, desenvolvimento, testes, implementação e suporte de uma aplicação web a garantir que a segurança seja constituída desde o início e que o produto final seja tão seguro quanto possível.

Entre os principais benefícios que o OWASP proporciona às empresas e profissionais de TI, podemos destacar as seguintes:

  1. ajuda a tornar as aplicações mais blindadas contra ataques cibernéticos;
  2. colabora para a redução do índice de erros e falhas operacionais nos sistemas;
  3. contribui para uma codificação (criptografias) mais forte;
  4. eleva o potencial de sucesso das aplicações;
  5. melhora a imagem da empresa desenvolvedora do software.

Se você ainda não segue ou colabora com o OWASP, essa pode ser uma grande oportunidade de começar!

Mostrar aos clientes que a sua empresa participa ativamente da comunidade, colaborando com as informações, ajudará a mudar a forma como enxergam o negócio e melhorará significativamente a imagem da sua aplicação, ou do seu negócio como um todo.

Espero que tenha ajudado.

Veja o site do projeto OWASP e veja como ajudar ou participar.

Eu estou participando. E você, é aficionado por segurança, é de IT ou DEV? participe.

Valeu pessoal

 

Sulamita Dantas

DBA SQL Server & Analista BI

Ao redor do buraco tudo é beira!

Um cavalo morto é um animal sem vida!

Exame

Notícias do Brasil e do Mundo. Economia, Política, Finanças e mais. ➤ Entrevistas, Análises e Opinião de quem entende do Assunto! ➤ Acesse!

randieri.com

Il blog di Cristian Randieri

TEC OFFICE PRODUTIVO

Tec Office Produtivo é um grupo de treinamentos, dicas e tutorias de informática sobre aplicativos utilizados em escritórios.

GOLD RECIPES.

GOLD RECIPES.

Escadas Especiais

A Escadas Especiais leva você as alturas

%d blogueiros gostam disto: