Notícias
RECOMENDAÇÃO 04/2024
[TLP:CLEAR]
1. A ausência das configurações de segurança para serviços de hospedagem na internet (Web), de correio eletrônico (E-mail) e de sistemas de nomes de domínio (DNS), facilita a ocorrência de ações maliciosas que podem levar à perda da disponibilidade, da integridade e da confidencialidade de ativos da informação de missão crítica, impactando os programas, ações e objetivos das organizações, além da possível perda de confiança. Mais informações podem ser obtidas no Relatório TC 017.413/2023-0 emitido pelo Tribunal de Contas da União, disponível em:
2. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) recomenda às instituições da Administração Pública Federal (APF) e as demais entidades e instituições vinculadas que revisem seus procedimentos e ações para o ambiente de servidores e proteção contra phishing.
3. É importante que sejam tomadas as seguintes medidas de forma a mitigar os riscos do comprometimento de contas de usuários, roubo, vazamento e perda de dados ou mesmo disrupção dos sistemas das organizações recentes relacionadas a ações maliciosas, como:
3.1 - Implementação de cabeçalhos de segurança HTTP (Hypertext Transfer Protocol Headers) em seus serviços Web, para reduzir o risco de ataques contra as aplicações hospedadas nos seus servidores:
- X-Frame-Options;
- X-Content-Type-Options;
- Content Security Policy – CSP e;
- Referrer-Policy.
Mais informações em:
3.2 - Implementação de controles de criptografia na comunicação em serviços de e-mail:
a. Utilizar a versão criptográfica do Transport Layer Security (TLS 1.3 - RFC 8446). A versão 1.3 incorpora salvaguardas contra problemas de segurança identificados em versões anteriores do protocolo. Mais informações em:
b. Desativar a compressão TLS para garantir uma maior segurança nas comunicações, pois o uso de compressão pode dar ao atacante informações sobre partes secretas da comunicação criptografada.
c. Não permitir renegociação iniciada pelo cliente. A renegociação de criptografia iniciada pelo cliente em TLS refere-se a um processo em que o cliente, que normalmente é um navegador da internet, inicia uma nova fase de negociação de parâmetros de segurança com um servidor HTTPS (Hyper Text Transfer Protocol Secure) depois que a conexão segura já foi estabelecida.
d. Desativar 0-RTT (Zero Round Trip Time). O 0-RTT é uma funcionalidade do protocolo TLS 1.3 que visa melhorar a eficiência e a velocidade das conexões seguras, mas deve ser desativada para mitigar riscos de segurança associados a ataques de repetição.
e. Utilizar certificados de assinatura digital, pois são elementos fundamentais empregados em servidores web e sistemas de e-mail para estabelecer a autenticidade e a criptografia das comunicações on-line.
3.3 - Implementação de extensões de segurança na resolução de nomes de domínio (DNSSEC). O DNSSEC é um conjunto de extensões de segurança que ajuda a garantir que os usuários se conectem aos destinos corretos e autênticos, fortalecendo a confiança e a segurança na navegação na internet. Mais informações sobre o DNSSEC podem ser obtidas em:
3.4 - Implementação de proteções de mensagem baseada em domínio de autenticação, relatório e conformidade (DMARC). O DMARC ajuda a proteger contra a falsificação de remetentes e combater o phishing e o spoofing. Mais informações sobre o DMARC podem ser obtidas em:
4. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST):
5. Em concordância com o previsto no Decreto 10.748/2021, o CTIR Gov solicita que as entidades responsáveis pelas ETIR Setoriais orientem a comunidade de suas respectivas áreas sobre o tratado nesta Recomendação, de acordo com suas diretrizes e políticas específicas.
Equipe CTIR Gov.
[TLP:CLEAR]