Ir para o conteúdo
Logo NIC.br Logo CGI.br

LOGO - TESTE OS PADRÕES

TOP - Teste os Padrões disponibiliza novas funcionalidades para testes de sites e serviço de e-mail

11 de dezembro de 2024

A partir de hoje, o TOP - Teste os Padrões pode ser utilizado para verificar se seu site e serviço de e-mail são protegidos pelo RPKI (Resource Public Key Infrastructure), além verificar se está disponível, em seu servidor web, um arquivo de texto padronizado (security.txt) contendo informações de contato da organização responsáveis pela correção de possíveis vulnerabilidades encontradas no site ou sistemas de TI.

  • Sobre a versão 1.7.0

  • Nova versão do TOP adiciona teste de RPKI

    Ao aplicar esse padrão moderno de Internet, você terá menos probabilidade de sofrer com erros de roteamento de Internet não intencionais ou maliciosos. Erros que podem, por exemplo, levar à indisponibilidade do seu site e serviço de e-mail.

    • Vazamentos e sequestros de rotas

      O Resource Public Key Infrastructure (RPKI) é uma técnica que visa evitar certos vazamentos e sequestros de rotas. Isso diz respeito a casos em que o tráfego de Internet é redirecionado para os sistemas de uma rede não autorizada. Esse desvio pode ser o resultado de um simples erro de digitação de um administrador de rede que, assim, desvia involuntariamente o tráfego, ou pode ser o resultado de um ataque direcionado à infraestrutura da Internet, por exemplo, para tornar sites inacessíveis ou roubar dados de usuários.

    • Operação do RPKI

      O RPKI permite que o detentor legítimo de um bloco de endereços IP publique uma declaração assinada digitalmente sobre as intenções de roteamento de sua rede. Essas declarações, chamadas Autorizações de Origem de Rota (ROAs), podem ser validadas criptograficamente por outros administradores de rede e, em seguida, usadas para configurar filtros. Isso permite que os roteadores filtrem rotas que violem os ROAs publicados para os endereços IP em questão (inválido = rejeitar).

      O RPKI, portanto, requer ação de duas partes. Primeiro, o detentor dos endereços IP deve publicar ROAs. Segundo, a parte que recebe rotas de outras redes via Border Gateway Protocol (BGP) deve filtrar com base em todos os ROAs publicados globalmente, onde rotas inválidas nunca devem ser aceitas ou anunciadas.

    • Teste de RPKI no TOP

      O novo teste de RPKI faz parte do Teste TOP - Site e do Teste TOP - E-mail. Todos os endereços IP encontrados para o servidor web, servidores de e-mail e servidores de nomes de um domínio são avaliados.

      Primeiro, o teste verifica se pelo menos um ROA foi publicado para cada endereço IP. Em seguida, ele verifica se o anúncio de rota de cada endereço IP corresponde a qualquer ROA encontrado. Os resultados do teste de RPKI pesam na pontuação geral do resultado do teste.

    • Medidas adicionais

      Além do RPKI, existem outras técnicas complementares que tornam o roteamento da Internet mais seguro. A iniciativa MANRS fornece uma visão geral das melhores práticas que também recomendamos implementar.

  • TOP adiciona teste para security.txt

    Um novo teste para security.txt foi adicionado ao teste TOP - Site. O security.txt é um arquivo de texto padronizado contendo informações de contato que você coloca em seu servidor web. Pesquisadores de segurança podem usar essas informações para contatar o departamento ou pessoa certa dentro de sua organização diretamente sobre vulnerabilidades que encontraram em seu site ou sistemas de TI. Isso pode acelerar a resolução das vulnerabilidades encontradas, dando às partes maliciosas menos oportunidades de explorá-las.

    • Qual é seu ponto de contato para vulnerabilidades de segurança?

      A qualquer momento, pesquisadores de segurança podem encontrar vulnerabilidades digitais em seu site ou sistemas de TI. Claro, você quer ser informado o mais rápido possível quando tal descoberta for feita, para que você possa responder rapidamente e consertar o vazamento. Infelizmente, muitas vezes não está claro onde um pesquisador de segurança pode relatar uma vulnerabilidade encontrada. Isso significa que um tempo valioso pode ser perdido para encontrar e alcançar o departamento ou a pessoa certa dentro de uma organização. A mensagem bem-intencionada pode nem mesmo chegar a ninguém.

    • Avisos mais rápidos com security.txt

      Como partes mal-intencionadas também podem detectar essas vulnerabilidades, não se deve ser perder tempo em alertar as organizações afetadas. O security.txt pode ajudar.

      Com as informações de pontos de contato disponibilizadas no security.txt, os pesquisadores de segurança podem alertar imediatamente a pessoa ou departamento certo. É importante que cada empresa publique um arquivo security.txt e o mantenha atualizado.

    • O teste do TOP para security.txt

      O teste verifica se o arquivo security.txt está presente no(s) servidor(es) web do respectivo nome de domínio e se as informações incluídas têm o formato correto.

      Por enquanto, o padrão security.txt no TOP tem o status recomendado. Os resultados do teste security.txt ainda não pesam na pontuação geral do resultado do teste.

 

Apoiadores

Logo do apoiador:conexis
Logo do apoiador:RedeTelesul
Logo do apoiador:Abranet
Logo do apoiador:abrint
Logo do apoiador:Abrahosting
Logo do apoiador:telComp
Logo do apoiador:Abramulti
Logo do apoiador:Abramulti
Logo do apoiador:Internet Sul
Site nic.br Site cgi.br
NIC.br - Núcleo de Informação e Coordenação do Ponto BR
CNPJ:05.506.560/0001-36