Ir para o Conteúdo 1 Ir para a Página Inicial 2 Ir para o menu de Navegação 3 Ir para a Busca 4 Ir para o Mapa do site 5
Portal Gov.br Gabinete de Segurança Institucional da Presidência da República
Acesso rápido
  • Acesso rápido
  • Órgãos do Governo
  • Acesso à Informação
  • Legislação
  • Acessibilidade
  • Redefinir Cookies
  • Mudar para o modo de alto contraste
Abrir menu principal de navegação
CTIR Gov - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo
Termos mais buscados
  • assinatura
  • enem
  • inss
  • mei
  • imposto de renda
Termos mais buscados
  • assinatura
  • enem
  • inss
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
      • Webinários
    • Mala Direta (Mailing List)
    • Notícias
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Padrões para Notificação de Incidentes Cibernéticos ao CTIR Gov
    • Mala Direta (Mailing List)
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Alertas (PDF)
      • Recomendações (PDF)
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • GOV.BR
    • Serviços
      • Buscar serviços por
        • Categorias
        • Órgãos
        • Estados
      • Serviços por público alvo
        • Cidadãos
        • Empresas
        • Órgãos e Entidades Públicas
        • Demais segmentos (ONGs, organizações sociais, etc)
        • Servidor Público
    • Temas em Destaque
      • Orçamento Nacional
      • Redes de Atendimento do Governo Federal
      • Proteção de Dados Pessoais
      • Serviços para Imigrantes
      • Política e Orçamento Educacionais
      • Bolsas de Estudo e Financiamentos Estudantis
      • Educação Profissional e Tecnológica
      • Educação Profissional para Jovens e Adultos
      • Trabalho e Emprego
      • Serviços para Pessoas com Deficiência
      • Combate à Discriminação Racial
      • Política de Proteção Social
      • Política para Mulheres
      • Saúde Reprodutiva da Mulher
      • Cuidados na Primeira Infância
      • Habitação Popular
      • Controle de Poluição e Resíduos Sólidos
    • Notícias
      • Serviços para o cidadão
      • Saúde
      • Agricultura e Pecuária
      • Cidadania e Assistência Social
      • Ciência e Tecnologia
      • Comunicação
      • Cultura e Esporte
      • Economia e Gestão Pública
      • Educação e Pesquisa
      • Energia
      • Forças Armadas e Defesa Civil
      • Infraestrutura
      • Justiça e Segurança
      • Meio Ambiente
      • Trabalho e Previdência
      • Turismo
    • Galeria de Aplicativos
    • Acompanhe o Planalto
    • Navegação
      • Acessibilidade
      • Mapa do Site
      • Termo de Uso e Aviso de Privacidade
    • Consultar minhas solicitações
    • Órgãos do Governo
    • Por dentro do Gov.br
      • Dúvidas Frequentes em relação ao Portal gov.br
      • Dúvidas Frequentes da conta gov.br
      • Ajuda para Navegar o Portal
      • Conheça os elementos do Portal
      • Política de e-participação
      • Termos de Uso
      • Governo Digital
      • Guia de Edição de Serviços do Portal Gov.br
    • Canais do Executivo Federal
    • Dados do Governo Federal
      • Dados Abertos
      • Painel Estatístico de Pessoal
      • Painel de Compras do Governo Federal
      • Acesso à Informação
    • Empresas e Negócios
    • Simplifique!
Links Úteis
  • Galeria de Aplicativos
  • Participe
  • Galeria de Aplicativos
  • Participe
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Você está aqui: Página Inicial Assuntos Alertas e Recomendações Alertas 2022 ALERTA 02/2022
Info

Notícias

ALERTA 02/2022

Alerta sobre Desenvolvimento Seguro
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
Publicado em 26/01/2022 13h44

[TLP:WHITE]

1. As vulnerabilidades em software são identificadas diariamente e atingem desde sistemas operacionais a aplicações que oferecem serviços. Com o intuito de diminuir a incidência de vulnerabilidades de alta severidade e o impacto dessas quando exploradas, a instituição precisa estabelecer critérios de “Segurity by design” em todas as fases de desenvolvimento.

2. Como os casos de vulnerabilidades são amplos e muitas vezes relacionados com a linguagem de codificação utilizada, recomenda-se, de imediato, a capacitação e preparação das equipes de desenvolvimento ou de responsáveis pela análise do produto adquirido em um processo de compra, tendo como objetivo principal:

- A capacidade de entendimento, pelos desenvolvedores, sobre os problemas típicos ligados à linguagem de codificação utilizada, para identificá-los e tratá-los.

3. A partir deste entendimento amplo, existem ferramentas específicas para análise de vulnerabilidades genéricas, como o caso dos DevSecOps, acrônico dos termos em inglês de Desenvolvimento – segurança – Operação, para mecanismos de esteira, com análises estáticas e dinâmicas. No entanto, como as possíveis correções identificadas no relatório não são realizadas de forma automática, deverão ser realizadas por desenvolvedores com o domínio e entendimento da vulnerabilidade acusada. Do exposto, recomenda-se:

- A utilização de ferramentas de verificação de código para identificação de vulnerabilidades.

4. Referências bibliográficas e boas práticas indicam Modelos com procedimentos baseados nos "Processos de ciclo de vida de desenvolvimento seguro" em tradução livre do Inglês "Secure Software Development Life Cycle Processes - SDLC Process".

5. Esses modelos de SDLC preconizam identificar ainda na fase de desenvolvimento e implementação da funcionalidade possíveis vulnerabilidades. Normalmente são montados "casos de abuso" para verificar como aquela aplicação poderia ser explorada e consequentemente fazer as correções necessárias.

6. Segundo o projeto OWASP, podemos definir "caso de abuso" como uma forma de usar uma funcionalidade não esperada por quem a desenvolveu, dessa maneira permitindo que um atacante modifique o comportamento da funcionalidade com intuito de explorar ou tirar vantagem dessa modificação.

7. A ações de identificação de vulnerabilidades não detectadas em ferramentas de análise são de difícil percepção, particularmente em desenvolvimento envolvendo BlockChain. Para tanto, normalmente, é necessária uma equipe multidisciplinar.
 
8. O OWASP OpenSAMM(Software Assurance Maturity Model) nos mostra um "overview" dos passos envolvidos na definição de um caso de abuso:

1) Descrição da funcionalidade de negócio pelo analista de negócio;
2) Enumeração dos ataques possíveis contra essa funcionalidade (Pentester ou AppSec);
3) Avaliação de risco de todos os ataques possíveis identificados (Analista de risco);
4) Filtragem dos ataques baseados na classificação de risco (consenso da equipe); e
5) Definição da lista de casos de abuso para a funcionalidade.

9. A partir da definição dos casos de abuso serão elencadas possíveis contramedidas para esses casos.

10. Os modelos de maturidade de desenvolvimento seguro são uma importante ferramenta para mitigar os impactos e a incidência de vulnerabilidades nas aplicações, consequentemente aumentando o nível de segurança cibernética das organizações.

11. Por fim, o CTIR Gov recomenda:

- Realizar o dimensionamento e seleção da equipe de desenvolvimento ou terceirização de etapas de desenvolvimento atentando para os conceitos de "Security by Design";

- Capacitação de pessoal na área de desenvolvimento seguro;

- Uso de ferramenta de verificação de código para identificação de vulnerabilidades; e

- Identificar e adotar boas práticas para desenvolvimento seguro durante todo o ciclo de vida do software, aplicando as correções antes da ação de codificação ou durante a operação, com emissão de patches ou atualizações.

12. Para mais informações recomendamos a leitura dos links em fontes abertas:

https://cheatsheetseries.owasp.org/cheatsheets/Abuse_Case_Cheat_Sheet.html
https://www.cisa.gov/uscert/bsi/articles/knowledge/sdlc-process/secure-software-development-life-cycle-processes
https://www.opensamm.org/explore/
https://owasp.org/www-pdf-archive/Benelux2017_-_Secure_Development_Training_deck.pdf

13. Lembramos ainda que compete aos órgãos e às entidades da administração pública federal comunicar imediatamente o CTIR Gov, por meio de suas equipes de prevenção, tratamento e respostas a incidentes cibernéticos, sobre a existência de vulnerabilidades ou incidentes de segurança cibernética que impactem ou que possam impactar os serviços prestados.

14. Recomenda-se fortemente que os alertas e recomendações do CTIR Gov sejam verificados em https://www.ctir.gov.br/alertas/.

Equipe CTIR Gov
[TLP:WHITE]

Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
      • Webinários
    • Mala Direta (Mailing List)
    • Notícias
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Padrões para Notificação de Incidentes Cibernéticos ao CTIR Gov
    • Mala Direta (Mailing List)
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Alertas (PDF)
      • Recomendações (PDF)
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
Redefinir Cookies
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Acesso àInformação
Todo o conteúdo deste site está publicado sob a licença Creative Commons Atribuição-SemDerivações 3.0 Não Adaptada.
Voltar ao topo da página
Fale Agora Refazer a busca