FAQ

Listamos mais de 60 Perguntas e Respostas sobre o ScanX e varredura de vulnerabilidades

  1. O ScanX vai derrubar a minha rede ou meu site? Não. O ScanX não faz DDoS ou ataque de força bruta em aplicações ou sites. Os robôs workers não são invasivos e você pode selecionar o nível de profundidade da varredura ou deixar que o ScanX faça isso sozinho. Você também pode definir o período que quer rodar o scan, como horários de menor tráfego, finais de semana ou a noite, se essa for a sua preferência.
  2. O ScanX vai corrigir as vulnerabilidadeas do meu site? Não. O que o ScanX faz é identificar falhas conhecidas em software, principalmente aquelas registradas no CVE pelos fabricantes de software, como Microsoft, Oracle, RedHat, IBM, entre inúmeros outros. A correção de falhas pode ser feita pela sua equipe ou por fornecedores terceiros. Nosso time orienta a entender a falha, o impacto e indica boas práticas para mitigar problemas. Sua equipe também terá acesso a uma base de conhecimento avançada e nosso método de knowledge transfer fará que você domine assuntos de cibersegurança de forma simples.
  3. O ScaX vai invadir minha rede? Não. O ScanX não é uma ferramenta de pen-test ou teste de intrusão. O ScanX é um scanner que varre de forma não invasiva o software em busca de vulnerabilidades conhecidas, como por exemplo, as milhares de falhas registradas no CVE (Common Vulnerabilities and Exposures) e NVD (National Vulnerability Database).
  4. Eu não preciso de scan de vulnerabilidades, nunca aconteceu nada aqui na empresa! Aqui na ScanX chamamos isso de o "paradigma do vírus". Vírus de computador é um problema que todo mundo concorda que é grave. Em 2017 surgiram 20.571 variantes de vírus por dia. Isso mesmo você não leu errado. São 20 mil novos de vírus por dia. Isso é praticamente 1 vírus novo a cada 4,2 segundos. Ninguém discorda que vírus é problema sério. Imagine deixar os computadores dos funcionários da sua empresa sem antivírus. O problema é que a maioria das empresas acrecreditam que vulnerabilidades, invasão, vazamento de dados (data extrafiltation), ataque DDoS, etc, só acontecem em outros países ou é algo de empresa grande. Isso é uma crença equivocada. Todas as empresa estão na internet. Se uma falha é descoberta em um software, afeta todos que usam esse software.
  5. Eu acho que não tem muito problema de segurança hoje em dia. Eu não vejo muita notícia por aí sobre isso! Isso não é verdade. O que acontece é que a mídia de massa ou mesmo a mídia de tecnologia que não tem foco em cibersegurança, eventualmente publica alguma notícia sobre o assunto. Geralmente quando há algum infeção de vírus em massa ou vazamento de dados de alguma empresa famosa. Prova disso é que em 2016 foram descobertas mais de 6 mil falhas, em 2017 foram 14 mil e em 2018 passou de 16 mil falhas. Mais de 20% dessas falhas foram consideradas de risco alto ou crítico, ou seja, quanto mais alta for a classificação, mais facilmente pode ocorrer uma invasão usando a falha. Em muitas vulnerabilidades de risco crítico que foram publicadas, existiam kits prontos que não exigem conhecimento avançado para usar. Então qualquer pessoa com conhecimentos básicos em tecnologia poderia fazer uso. Mas esse não o problema principal. O problema é que cibercriminosos também possuem ferramentas automatizadas, os chamados "exploits crawlers" que então fazem varredura constantes na internet procurando brechas. Assim que uma falha é conhecida, seja por meio do CVE ou na Deep Web, esses crawlers começam a busca sites com a falha recém descoberta.
  6. Eu sempre atualizo meus sevidores e meus sites. Se eu fizer um update no Windows ou nos meus servidores Linux, isso já não resolve os problemas de segurança? Claro que a atualização é imprescindível, assim como fazer hardening, que é "blindar" o servidor com cheklist e boas práticas de segurança. Mas fazer uma avaliação de segurança automatizada e frequente, irá avisar você que algo pode estar vulnerável. Imagine surgir uma falha crítica no software Apache por exemplo, que é comum na maioria dos websites. Quando você vai descobrir isso? Talvez somente quando você for atualizar novamente. A maioria dos vazamentos de dados ou invasões, ocorrem nesse intervalo de tempo, entre a data que falha foi publicada e data a atualização.
  7. Depois que atualizo é recomendável fazer scanning de novo? Sim, é recomendável, principalmente para saber se você não esqueceu nada, se há algum serviço desatualizado ou alguma porta que ficou "aberta" e é potencialmente vulnerável. Mas você nao precisa fazer isso manualmente. O ScanX faz isso de forma automática com Machine Learning e alerta você caso surja alguma falha.
  8. Eu não faço a mínima idéia das falhas que tem no meu site. Será que vai custar caro para corrigir? A maioria das falhas ocorrem por erros na configuração, na implementação ou manutenção, ou seja, não seguem boas práticas. Geralmente são aplicações mal configuradas e desatualizadas. O primeiro passo é verificar se existem falhas, aí depois saber quais falhas são as mais críticas e corrigir essas primeiro. O ScanX vai mostrar que falhas existem e depois mostrar quais já foram corrigidas. Assim você tem um gráfico das falhas que foram corrigidas e pode mostrar para gerência e diretoria o que já foi feito.
  9. Uma vez eu já fiz scan na minha rede, será que preciso de novo? Essa é uma pergunta comum feita pelos administradores de rede. Em 2018 foram publicadas 16.555 falhas e todo santo dia surgem mais de 40 novas falhas. Fazer scanning de falhas uma única vez leva ao pior problema de cibersegurança que é "a falsa sensação de segurança". Quando agimos assim "acreditamos" que estamos seguros, ou "um pouco mais seguros". Segurança não é uma "fotografia", ou seja, não é algo estático. Segurança de dados é um processo. Nós da ScanX acreditamos que esse processo tem ser automatizado e executado frequentemente, para otimizar o tempo da equipe e evitar erro humano.
  10. Eu faço scan de falhas de vez em quando, por que preciso fazer isso sempre? É mesma coisa se pensarmos "Eu atualizei meu antivírus, fiz um scan no computador, não encontrou nenhum vírus, posso desinstalar o antivírus? ".
  11. Por que preciso fazer isso sempre, não posso fazer scan uma vez está resolvido? Veja a resposta da pergunta anterior.
  12. Preciso contratar uma consultoria para corrigir as falhas? A maioria das falhas ocorrem por má configuração, seja na instalação, implementação, na atualização de pacotes ou em mudanças diárias.  Em grande parte as correção são simples de corrigir e podem ser feitas pela sua própria equipe.
  13. Eu já uso ferramenta de scanning opensource, por que preciso do ScanX? Se você já faz scaning com alguma ferramenta isso um ótimo sinal, significa que você tem algum processo de segurança e isso é importante para sua empresa. Poderíamos comparar uma ferramenta de scanning opensource com um antivírus opensource. Antivírus opensource funcionam, conseguem identificar muitos vírus, mas como não há uma equipe dedicada pesquisando vírus, eventualmente deixam passar algum vírus. Nós criamos mais de 25 tipos de assinaturas de vulnerabilidades por dia. Muitas delas para identificar brechas reportadas no CVE e que não são identificadas por ferramentas opensource. Além de logs de ataques que coletamos em nossos honeypots e aplicamos Machine Learning para identificar anomalias. Ao fazer scan do seu site por exemplo, o ScanX também analisar conteúdo em busca de malware, scripts de mineração de critpto moeda, code injection usados em click fraude e uma centena de outros testes. Além de falhas específicas em CMS. Nenhuma ferramenta opensource tem essa abrangência completa.
  14. O que o ScanX tem que uma ferramenta opensource não tem? Veja a resposta da pergunta anterior.
  15. Por que preciso comprar uma ferramenta para analisar falhas? Já não tem ferramenta free para fazer isso? Sempre há algum software free para fazer alguma coisa. Existe antivírus free, firewall free, banco de dados free, CRM free e até sistema de gestão (ERP) free. O problema que com ferramentas free você está sozinho. Tem que ser responsabilizar em instalar, manter, e fazer funcionar. Imagine arriscar em colocar os dados da sua empresa em um sistema de gestão free. Então imagine como é arriscar a segurança dos dados da sua empresa somente com ferramentas gratuítas.
  16. Quem me garante que um fabricante que encontra uma brecha deve registrar no CVE? Ninguém garante isso. Já vimos brechas públicas em que o fabricante negou que existia. Então esse fabricante lançou uma atualização que corrigiu. A comunidade de segurança é muito ativa, então se o fabricante não confirma a falha, rapidamente é divulgada uma prova de conceito (POC - Proof of Concept) sobre a vulnerabilidade.
  17. O ScanX cobre mais de 100 mil falhas de software. Toda vez que eu rodar um scan o ScanX vai testar todas essas falhas? Isso não vai demorar muito? O ScanX usa Machine Learning para identificar qual tipo de software está rodando, por exemplo, se está rodando em servidor Windows, somente falhas de aplicações Microsoft serão testadas, se está executando Linux outro tipo de framework é aplicado para verificar falhas específicas do software.
  18. O que são os robôs ScanX Workers? Os Workers são robôs distribuidos na nuvem do ScanX, que executam os scans de forma sincronizada, assim agiliza o tempo de conclusão do scan e também permite fazer scans distribuídos, hierárquicos e especializados para certos tipos de vulnerabilidades.
  19. Os robôs Workers do ScanX podem fazer um DDoS na minha rede? Não. Os Workers não testam DDoS, as verificações são feitas de forma não invasiva. O robôs também conseguem medir a resposta do teste, podendo parar ou diminiur o andamento do teste.
  20. Eu tenho contrato com uma consultoria de segurança, eles já fazem scan vulnerabilidades para mim. Por que preciso do ScanX? Ótimo, isso significa que você tem um processo bem estruturado e conta com especialistas em cibersegurança auxiliando. Com o ScanX você poderá ter mais uma visão de vulnerabilidades, com isso elevará o nível de Gerência e redução de risco com um custo atrativo.
  21. Se eu começar a atualizar meus servidores pode parar alguma coisa, isso vai afetar a operação e o negócio da minha empresa! Nós da ScanX concordamos que segurança não deve afetar a operação. Mas segurança faz com que muitos problemas de operação, possam ser prevenidos, identificados e solucionados com maior rapidez. Por exemplo, imagine um ataque de SQL que tenta fazer extração do dados do site. Isso vai consumir banda, memória, I/O do storage, a aplicação vai "ficar lenta" e os usuários vão reclamar. Isso é um problema de operação causado por um incidente de segurança. Ou por exemplo, um ataque no software Memcached vulnerável, que é um componente comum em sites. Esse tipo de ataque iria consumir tanta largura de banda, que poderia afetar a operação e o acesso dos usuários. Nesses exemplos, uma varredura de vulnerabilidades automatizada poderia identificar uma brecha de SQL ou uma versão do Memcached desatualizada, e gerar uma tarefa Slack ou no Trelo para o pessoal de operação atualizar.
  22. Minha equipe já tem muito trabalho, se eu começar a descobrir falhas vamos ter mais trabalho ainda! Essa é tática do avestruz, enviar a cabeça na terra para se esconder. Pode ser que você seja um sujeito sortudo, que haja alguma falha no seu site e aplicações e isso nunca dê nenhum problema. Mas a abordagem mais sensata é identificar e apresentar na reunião com a gerência ou diretoria. Aí assim em conjunto pode-se optar em incluir isso no escopo das tarefas da equipe ou ignorar completamente e conviver com o risco. O pior é ficar com o "abacaxi" para descascar sozinho.
  23. Sempre ouvi falar ferramentas de scanning são caras, por que o ScanX é tão barato? Nossa missão é ajudar as empresa a proteger os seus dados. Nossa visão é que se as vulnerabilidades conhecidas em software de sites, aplicações, servidores, infra-estrutura e nuvem pudessem ser identificadas de forma automática e frequente, muitos problema de segurança poderiam ser evitados. A melhor forma que encontramos foi fornecer o ScanX como SaaS ao invez de licenciar da forma tradicional, onde o cliente teria que comprar a ferramenta, instalar, adquirir hardware e ainda ter um especialista na equipe. Com SaaS na nuvem tudo ser torna mais simples e rápido.
  24. Se o ScanX é um robô, quem me garante que ele não vai sair do controle e fazer estragos? Por mais estranha que seja essa pergunta, já nos perguntaram isso. Robôs são software programados para fazerem determinada tarefa. O que os robôs do ScanX fazem é executar os jobs agendados e frequentes, e sempre é possível pausar ou cancelar um job.
  25. O ScanX usa machine learning? Sim, usa machine leaning supervionada, para entender anomalias e também otimizar os jobs de scanning.
  26. Meu site e minhas aplicações estão na nuvem, segurança dos dados é problema do fornecedor da nuvem, certo? Errado, o fornecedor da nuvem seja ela Amazon, Microsoft, Google, IBM, etc, todos sem excessão não são responsáveis pelo conteúdo armazenado e muito menos pela cibersegurança dos dados armazenados. Os Temos de Uso e a Política de Privacidade são explícitos nisso. O que o fornecedor da nuvem faz é fornecer segurança e alta disponibilidade da infra-estutura física que a nuvem opera, como hardware, storage, rede e energia. Os dados são do cliente, a responsabilidade e a mitigação de problemas de cibersegurança dos dados é responsabilidade do cliente. O cliente é responsável por atualizar patchs de segurança, criar regras de firewall, fazer backup, usar criptografia, controlar o acesso e autenticação de usuários, por exemplo.
  27. Quem me garante que eu vou usar o ScanX e depois não vou ter mais problema de invasão? Essa pergunta também pode parecer estranha, mas já nos perguntaram isso. A resposta é a mesma que ser fizermos "Quem me garante se eu comprar um antivírus, nunca mais terei meu computador infectado com vírus?". Nenhum fabricante de antivírus garante isso, pois isso é impossível. O que as ferramentas de segurança fazem é reduzir o risco de determinada ameaça. No caso do ScanX ele procura identificar vulnerabilidades conhecidas e configurações inseguras para que sejam corrigidas antes que alguém mail intencionado possa explorá-la.
  28. Minha equipe de DevOps já faz inspeção de segurança no código, por que preciso fazer isso com outra ferramenta? Se você já faz inspeção de vulnerabilidades no código, isso significa que segurança é importante para você e já existe algum processo de cyber security no desenvolvimento. Porém, ter uma ferramenta scanning irá trazer uma visão de segurança do ponto de vista de um atacante externo na aplicação. Com isso além de reduzir riscos, irá elevar o nível e a cultura de cibersegurança na sua equipe.
  29. Por que vocês não aceitam a criação de conta de Pessoa Física no ScanX? O ScanX foi desenvolvido para empresas Pessoas Jurídicas. Se você é consultor de cibersegurança e deseja ser tornar Parceiro para fornecer o ScanX aos seus clientes, é necessário possuir CNPJ para cadatro ou cadastrar seu cliente final.
  30. Scanning de vulnerabilidade é coisa de empresa grande, certo? Errado, isso é um mito. É claro que empresas grandes teoricamente, tem equipes de cyber security específicas, mas temos clientes de startups, empresas pequenas e médias com um nível invejável de segurança, mesmo com equipes enxutas.
  31. Eu não tenho nada importante para proteger, não preciso me preocupar com seguranca, certo? Errado.
  32. Scan de vulnerabilidade é somente para especialiastas, não vou conseguir entender nada. Precisei contratar um especialista para fazer isso? Não. 
  33. Vocês dizem que orientam minha equipe para corrigir as falhas, como fazem isso? Você vai se surpreender com nosso método, em pouco tempo sua equipe irá dominar assuntos de cibersegurança que não fazia idéia.
  34. Nao tenho conhecimento em cyber security, nem ninguém a minha equipe para entender isso! Veja a resposta anterior.
  35. Por que o ScanX é um robô? Robôs são ótimos para fazer tarefas repetitivas. Scanning de vulnerabilidades é uma tarefa repetitiva, é preciso atualizar, executar o scanning, indexar, considerar falso-positivo, corelacionar, aplicar Machine Learning para anomalias, etc. Depois repetir tudo outra vez em outro objeto como um site, aplicação ou servidor. É claro que nada substitui o fator humano, mas o que fazermos é usar o máximo de automação e Machine Learning para identificar vulnerabilidades da forma mais precisa e automatizada possível.
  36. Os robôs do ScanX usam algum crawler?  Sim, o ScanX possui crawler próprio e usa Machine Learning para fazer análises de possíveis vulnerabilidades e exposição de dados como endereços IP, malware hospedado, senhas hardcode, entre outros conteúdos potencialmente vulneráveis. 
  37. Os robôs do ScanX vão passar pelo meu Captcha? Isso vai derrubar meu site? Preferimos ainda não irá fazer bypass de Captcha ou reCaptcha, justamente para não afetar o desempenho site. Quando for necessário fazer deep search pode-se configurar uma credêncial para isso.
  38. Eu uso CMS (Content Management System) como Wordpress, Joomla, Sharepoint e Drupal. O ScanX entende isso? Sim, entender qual CMS tem o site usa e testa as vulnerabilidades conhecidas em cada um. Também faz versionamento de contéudo, assim consegue identificar possívels code injection, scripts de mineração de Bitcoin, malware hospedado.
  39. O ScanX roda na nuvem, mas tenho servidores na minha infra-estrutura. Como posso analisar esses servers? Para fazer varredura de vulnerabilidades na infra on-premise, nós fornecemos um robô ScanX Worker para instalar no seu ambiente. Assim você pode fazer o Asset Discovery (descoberta de ativos) e scanning com o ScanX Worker, enviar os logs para nuvem e ver tudo no mesmo dashboard.
  40. Segurança não é somente coisa para entuasista e especialista? Há alguns anos atrás realmente era assunto somente que circulava no meio de pesquisadores, entusiastas. especialistas e consultores de segurança. Hoje não é mais. Proteçao de dados além de entrar obrigatoriamente no escopo de TI e DevOps, também merece a atenção da alta direção da empresa. Principalmente devido a LGPD e a danos à imagem da empresa, que um vazamento de dados pode gerar.
  41. Por que vocês da ScanX dizem que segurança de dados deve entrar obrigatoriamente no escopo de TI e DevOps, e também merecer a atenção da alta direção da empresa? Pelo fato que todos os negócios que estão na internet dependem de dados. E não há negócios que não estão na internet. Dados tem valor na internet. Com dados um cibercrimoso consegue fazer fraudes, engenharia social, causar prejuízos financeiros diretos, manchar a reputação de pessoas e de empresas. Outro ponto fundamental é a nova legislação brasileira. A nova Lei 13.709/18 (LGPD) pode penalizar a empresa em até 2% do faturamento bruto do ano por não proteger os dados adequadamente.
  42. Eu não tenho dados importantes. Eu não entendo o que esses caras que fazem invasão ganham com isso? Dados é tudo que um cyber crimoso quer na internet. Dados tem valor por que podem ser usados em fraudes, engenharia social, golpes, estelionato entre outros crimes. Também se um servidor da sua empresa for invadido, pode ser usado como "ponte" para outros ataques na internet.
  43. Meus dados não tem valor, eu não preciso me preocupar com segurança certo? Errado. Veja a resposta da pergunta anterior.
  44. Não preciso disso, segurança de dados não é prioridade aqui na empresa. Nós da ScanX achamos que segurança não deve ser a sua prioridade. A prioridade é o seu negócio. Porém acreditamos que segurança deve entrar no escopo das equipes técnicas e mereça a atenção da alta direção da empresa. Principalmente para preservar a imagem da empresa perante seus clientes e pela atender a LGPD.
  45. Se meu site for usado para minerar Bitcoin o ScanX detecta? Sim, o ScanX detecta script injection usando Machine Learning e também faz versionamento do conteúdo do seu site. Assim é possível detectar se há code injection para ataques de click fraud no seu site, se há malware hospedade ou outras alterações suspeitas.
  46. Tenho um WAF no meu firewall, preciso fazer scan de vulnerabilidades? Se você tem um WAF (web application firewall) no seu site ou aplicação web isso é um bom sinal, significa que segurança é importantes para sua empresa. O WAF é uma camada que identifica ataques de SQL, XSS, por exemplo. Geralmente tem foco nas Top 10 ataques relatados pelo OWASP. O que o ScanX faz é testar, além dos 10 tipos de ataques mais frequentes, uma infinidade de outras falhas como por exemplo, se o seu tem algum Wordpress desatualizado, ou versão do PHP com bugs críticos, Jboss vulneraveis, entre outras centenas de tipos de falhas em aplicações web. Também vai identificar serviços e portas potencialmente vulneráveis ou que oferecem algum risco de acesso.
  47. O que significa uma "vulnerabilidade de segurança conhecida" ? Uma vulnerabilidade conhecida significa que essa falha é de conhecimento público. Geralmente as falhas são publicadas no CVE ou NVD pela empresa fabricante do software, desenvolvedor ou pela comunidade de segurança. Significa também que a falha foi confirmada por Prova de Conceito (POC - Proof of Concept), por algum médoto que comprove a falha ou exploit publicado. Então resumindo significa que a falha é pública, que o fabricante ou desenvolvedor tem conhecimento da falha. O fabricante pode ou não, lançar correção da falha ou informar algum método alternativo para mitigar a falha.
  48. Uma vulnerabilidade de segurança significa que é um bug? Não necessariamente. Um bug é uma condição que impede ou paraliza o uso, acesso ou funcionamento de alguma funcionalidade ou todo o sistema. Uma vulnerabilidade de segurança pode ser uma condição específica no software que permita acesso indevido, elevação de privilegios ou vazamento de dados, por exemplo. Por isso geralmente um bug é muito mais "vísivel" que uma vulnerabilidade de segurança, pois os usuários conseguem perceber um "defeito" no software e assim relatar para a empresa fabricante ou desenvolvedor. Já uma vulnerabilidade de segurança eventualmente pode ser ocasionada por um erro de configuração, erro do programador, falha no projeto, na arquitetura do software ou condição específica que não foi tratada no desenvolvimento.
  49. Por que vocês da ScanX usam ".ai", isso não é meio estranho? A.I. em inglês significa Artificial Intelligence. Quando criamos o ScanX sempre tivemos como objetivo usar Machine Learning que é ma forma de inteligência artificial, então a extensão "ai" fez sentido para nós.
  50. O que é a era do Data Expose? Era da exposição de dados ou vazamento de dados.
  51. Eu acho que não sou importante, não tenho dados importantes, Por que preciso me preocupar com segurança? Ok, as vezes nos deparamos com essa frase. Então nessas situações, sugerimos para a empresa perguntar para o seu cliente se os dados dele, que você armazena nos seu sistema, são importantes? Geralmente ninguém na empresa nunca tinha parado para pensar sobre sobre quais dados a empresa armazena. Com a LGPD todos as empresas tem dados sensíveis e assim todas precisam considerar a segurança de dados como algo importante no seu negócio
  52. Sou uma startup de SaaS, não preciso me preocupar com segurança ainda. (Parte 1). Sim, você está certo. Sua equipe é enxuta. Você tem mais features para criar do que horas do dia. O seu foco deve estar na geração de leads, nas vendas e no produto. Nada de errado com isso. Porém, as vezes o fato de um cliente não contratar seu software, é por ele ter alguma objeção sobre a segurança dos dados. Geralmente essa objeção não é explícita, o cliente não chega para você e pergunta: "Hei, como vocês armazenam os meus dados? Usam criptografia? Fazem alguma validação de segurança frequente?". Porém em vendas com tickets maiores ou dependendo de qual setor é o seu cliente, ou qual tipo de dados o cliente vai colocar na sua aplicação, isso pode ser uma objeção ao fechamento da venda.
  53. Sou uma startup de SaaS, não preciso me preocupar com segurança ainda. (Parte 2). Ok, justamente por ser uma startup, um vazamento de dados pode ser fatal para seu negócio. As vezes o produto ainda nem decolou e já tem que se justificar publicamente sobre um vazamento de dados. "Ah, se isso acontecer, eu não vou falar nada". Agora com a LGPD não existe mais essa história. Se houver algum vazamento de dados, a empresa deve reportar para o Autoridade Nacional de Proteção Dados (ANPD) e informar as medidas que está tomando para sanar o problema, sob pena de multa. Além de outro fato, imagine se os dados do cliente forem usados em fraudes, por exemplo, o cliente pode requerer ressarcimento financeiro, danos morais, etc.
  54. Como o ScanX faz para verificar se o site que vou testar se é meu mesmo? Utilizamos 4 maneiras de identificar isso. Nós vamos validar seus dados antes de ativar algun ScanX Worker.
  55. Sou Dev, acho que só existe falha de SQL injection e XSS, já resolvo isso no código! Desculpe, mas isso é mais absoluta "inverdade". Se você realmente acha isso, lamentamos muito. Existem centenas de tipos de vulnerabilidades em frameworks desatualizados, além de falhas básicas de configuração ou alguma porta que alguém "esqueceu" aberta, e que podem ser usados para ganhar acesso ou elevar privilégios na aplicação, docker ou servidores. Um scan automatizado vair identificar falhas críticas, ou mesmo erros de configuração como portas abertas que ficararam "esquecidas" em alguma atualização ou em mudanças de configurações.
  56. Minha aplicação usa container, como o Docker, não preciso me preocupar em atualizar servidores! Já vimos essa afirmação. É claro que criar aplicação em container, como Docker ou Vagrant, tráz ótimos benefícios como integridade, controle e segurança a nível de container. Porém existem outros vetores de ataque que podem comprometer a segurança do container, como exploits de kernel, "breakouts" que é quando o processo consegue escapar do espaço do container e interagir com outro processo no servidor, imagens comprometidas que ocorre quando um container é carregado com algum código malicioso, entre outros. Além de falhas no próprio executável ou bibliotecas do container, como aconteceu em fevereiro de 2019 com o Docker, onde um ataque poderia comprometer o executável do docker e conseguir acesso ao container.
  57. Por que vocês da ScanX usam essas coisas em inglês, como "buffer overflow", "cross site scripting", "exploit"? Isso parece estranho para mim! Ok, nós entendemos sua opinião, mas as vezes traduzir cada termo para português pode ficar mais estranho ainda. Como por exemplo, traduzir a palavra "firewall". Todos os profissionais de TI entendem o que é, não precisa traduzir para "parede corta fogo" ou algo parecido.
  58. Já atualizei meus servidores, por que preciso fazer esse troço de scan de vulnerabilidades? Quando o sistema operacional está atualizado já é um ótimo sinal. Mas o problema pode estar em outros software críticos e que estão desatualizados, como banco de dados, frameworks de aplicações, linguagens, etc. Imagine um Ruby Rails vulnerável, Laravel PHP com falhas críticas, um NodeJs exploitável.  Qualquer brecha crítica em aplicações web podem expor os dados da sua aplicação e de seus servidores. Além de ser usado para ganhar acesso a outros servidores e efetuar ataques laterais em sua nuvem ou rede. Depois de uma invasão ou vazamento de dados, imagine o tempo, o trabalho e o custo para deixar o ambiente seguro novamente.
  59. Sou especialista em segurança, já faço meus próprios scans de vez em quando! Ok, isso é um ótimo sinal. Significa que você sabe o impacto que uma vulnerabilidade de software pode causar na sua empresa. O problema é que "fazer de vez em quando" não adianta mais. Não espere que alguém mal intencionado teste coisas na sua aplicação antes de você. Se antecipe. O cibercrime também está usando ferramentas de invasão e "exploits" automatizados. Fazer um scan automatizado, além de economizar seu tempo, vai evitar muita dor de cabeça e justificativas na sua empresa caso algum incidente aconteça. Acredite, nós já vimos empresas com bons profissionais que faziam análise de vulnerabiliddes "de vez em quando" e tiveram invasões sérias, por coisas simples como esquecer de aplicar um patch em um servidor de arquivos.
  60. Ja vi vídeos sobre segurança, acho que proteger aplicações não é tão difícil como vocês falam! Não espere que "hackers do Youtube" ensinem alguma coisa realmente útil para proteger sua aplicações. É sério. Isso é o mesmo que pensar que vai aprender a criar uma arquitetura robusta para proteger a sua aplicação ou entender profundamente um framework, sem ler livros especializados ou fazer cursos com profissionais avançados sobre isso. Tem um ditado entre os profissionais de segurança da informação: "Não faça segurança de dados sozinho". Por exemplo, a pessoa que faz a configuração de segurança dos servidores, é a mesma pessoa que também faz a auditoria para verificar se está seguro. Não faz sentido.
  61. Sou administrador de rede, mas não atualizo os SO dos meus servidores por que isso pode dar problema! Se você pensa dessa forma, é melhor trocar de profissão. É sério. Essa é dura mas é verdade. É melhor você fazer outra coisa na vida. Porque se você não atualiza nem o S.O. dos seus servidores, seja Linux ou Windows, que o fabricante ou desenvolvedor disponibiliza para você, esquece. Pare de ler esse FAQ agora mesmo. TI não é para você, muito menos segurança da informação. Você deve estar enganando a si mesmo, é melhor você aceitar que não tem interesse na área ou que não gosta mesmo disso. Pede demissão, faz outra coisa na vida e vai ser feliz.
  62. Meu site é somente institucional, não tem nenhum dado, por que preciso proteger isso? Boa pergunta. Vimos um caso assim em uma empresa de transportes. O site era somente institucional, não armazenava, nem coletava dados. O site foi hospedado em um provedor de hosting barato. O site foi criado com Wordpress e ninguém atualizava nada. Certo dia alguém mal intencionado na internet, descobriu um plugin desatualizado, conseguiu fazer upload de um ransomware e hospedou no site da empresa. Depois mandou mais de 25 mil de emails de phishing com link que apontavam para o site institucional. Como era um domínio ".br" e conhecido, muitos destinatários clicaram. Mais de 120 empresas foram afetadas pelo ransomware, inclusive a própria empresa de transportes, pois os funcionários clicaram no link por se tratar do seu próprio domínio. Uma simples varredura de vulnerabilidade detectou o plugin desatualizado que permitia upload de arquivos. Todo transtorno, prejuízo financeiro e operacional que a empresa passou, poderia ser evitado com uma varredura automatizada e uma atualização simples.
  63. Qual a diferença de pen-test e scan de vulnerabilidades? Isso não é a mesma coisa? Essa é uma dúvida comum. Um pen-test (teste de intrusão) geralmente é indicado após a implantação de um projeto de segurança ou para validar determinados controles de cibersegurança queforam implementados na empresa. Por exemplo, a empresa instalou um novo firewall, ou uma nova forma de acesso remoto para colaboradores, ou implementou autenticação de múltiplos fatores na aplicação web, etc. Então um profissional de segurança da informação, irá realizar o trabalhao de pen-test para validar se o controle realmente funciona ou se atende os requisitos de segurança estabelecidos no projeto. Um scan de vulnerabidades é indicado verificar periodicamente se determinado software que a empresa utiliza, possui alguma falha que publicada pelo fabricante do software. Por exemplo, verificar se um servidor, site ou aplicação web Java, Ruby, C#, etc, possui alguma falha de segurança em deteterminada versão e alertar para que a falha seja corrigida antes que cause algum incidente de segurança. Ocorre que um profissional de segurança eventualmente poderá utilizar uma ferramenta scan de vulnerabilidades durante o seu trabalho de pen-teste. Mas pen-test e scan de falhas são coisas distintas.
  64. Qual a diferença entre uma ferramenta de scan de vulnerabilidades na nuvem e 
  65. Qual a diferença do ScanX em relação as ferramentas tradicionais ao executar um scan de vulnerabilidades? A principal diferença é que ao executar de um scan, o ScanX usa machine learning para identificar o tipo de site, aplicação ou servidor antes de ser scaneado. Assim consegue aplicar scan específico em determinado objeto. Por exemplo, se for detectado que o objeto a ser scaneado é um servidor Windows, somente serão aplicados testes de falhas da plataforma Microsoft. Outro caso, se for detectado a a aplicação usa Javaa por exemplo, serão aplicados testes específicos da linguagem. Isso agide ferramentas tradicionais de scan de vulnerabilidades são geramente instaladas em algum servidor e executam scan manuais. O As ferramentas tradicionais carregam o banco de assinaturas e aplicam a verificaçfazem verificaç 
  66. Ferramentas de scan de vulnerabilidades já existem há alguns anos. Por que a maioria dos profissionais de TI não usam nas empresas? Boa pergunta. Porque procurar falhas de segurança manualmente na infra-estrutura dá muito trabalho. E nas empresas onde não há uma pessoa com conhecimento ou dedicada à segurança, não sobra tempo. Quando sobra algum tempo, a pessoa faz "uma varredura de vez em quando". O problema é que "de vez em quando" não funciona mais. Mesmo assim, depois de fazer uma varredura de falhas com ferramentas open-source, o analista da TI tem que ter tempo para ler um relatório enorme que essas ferramentas geram. Além de analisar detalhadamente os logs e procurar entender sozinho o que cada tipo de falha significa. Mas tem mais um problema, depois de corrigir as falhas, o analista vai precisar fazer uma varredura manual novamente para ver se não esqueceu nada. Então na próxima semana surge mais alguma falha pública e precisará fazer tudo novamente.
  67. Como eu sei se minha equipe está corrigindo as falhas encontradas? Com o ScanX você tem a timeline e histório das falhas que foram fechadas e aquelas que ainda precisam de atenção, assim é possível acompanhar a evolução do gerenciamento de vulnerabilidades.

Agende uma Demo!

Agende uma demonstração online e veja como o ScanX funciona na prática.

(*) Os nomes e/ou personagens citados neste texto referem-se somente para fins de redação. Qualquer semelhança é mera coincidência. Todas as marcas e/ou logomarcas citadas pertencem aos seus respectivos titulares.