Baixe o app para aproveitar ainda mais
Prévia do material em texto
Capítulo 1 Profissional de segurança atual OS OBJETIVOS DO EXAME DE SEGURANÇA + COMPTIA ABRANGIDOS NESTE CAPÍTULO INCLUEM: Domínio 1.0: Ameaças, ataques e vulnerabilidades 1.6. Explique as preocupações de segurança associadas a vários tipos de vulnerabilidades. Domínio 2.0: Arquitetura e Design 2.1. Explique a importância dos conceitos de segurança em um ambiente corporativo. Domínio 5.0: Governança, Risco e Conformidade 5.1. Compare e contraste vários tipos de controles. Os profissionais de segurança desempenham um papel crucial na proteção de suas organizações no complexo cenário de ameaças de hoje. Eles são responsáveis por proteger a confidencialidade, integridade e disponibilidade de informações e sistemas de informação usados por suas organizações. Cumprir essa responsabilidade requer um forte entendimento do ambiente de ameaças que sua organização enfrenta e um compromisso com a concepção e implementação de um conjunto de controles capaz de atender à situação e responder a essas ameaças. Na primeira seção deste capítulo, você aprenderá sobre os objetivos básicos da segurança cibernética: confidencialidade, integridade e disponibilidade de suas operações. Nas seções a seguir, você aprenderá sobre alguns dos controles que podem ser implementados para proteger seus dados mais confidenciais de olhares indiscretos. Este capítulo prepara o terreno para o restante do livro, onde você mergulhará mais profundamente em muitas áreas diferentes da segurança cibernética. Traduzido do Inglês para o Português - www.onlinedoctranslator.com https://www.onlinedoctranslator.com/pt/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution Objetivos de segurança cibernética Quando a maioria das pessoas pensa em segurança cibernética, elas imaginam hackers tentando invadir o sistema de uma organização e roubar informações confidenciais, que vão desde números de seguridade social e cartões de crédito até informações militares ultrassecretas. Embora proteger informações confidenciais contra divulgação não autorizada seja certamente um elemento de um programa de segurança cibernética, é importante entender que a segurança cibernética na verdade tem três objetivos complementares, conforme mostrado emFigura 1.1. FIGURA 1.1 Os três objetivos principais dos programas de segurança cibernética são confidencialidade, integridade e disponibilidade. Confidencialidade garante que indivíduos não autorizados não sejam capazes de obter acesso a informações confidenciais. Os profissionais de segurança cibernética desenvolvem e implementam controles de segurança, incluindo firewalls, listas de controle de acesso e criptografia, para evitar o acesso não autorizado às informações. Os invasores podem tentar minar a confidencialidade controles para atingir um de seus objetivos: a divulgação não autorizada de informações confidenciais. Integridade garante que não haja modificações não autorizadas nas informações ou sistemas, intencionalmente ou não. Os controles de integridade, como soluções de hashing e monitoramento de integridade, buscam fazer cumprir esse requisito. Ameaças de integridade podem vir de invasores que buscam a alteração de informações sem autorização ou de fontes não maliciosas, como um pico de energia causando a corrupção de informações. Disponibilidade garante que as informações e os sistemas estejam prontos para atender às necessidades dos usuários legítimos no momento em que esses usuários os solicitem. Os controles de disponibilidade, como tolerância a falhas, clustering e backups, buscam garantir que usuários legítimos possam obter acesso conforme necessário. Semelhante às ameaças à integridade, as ameaças à disponibilidade podem vir de invasores que buscam a interrupção do acesso ou de fontes não maliciosas, como um incêndio destruindo um datacenter que contém informações ou serviços valiosos. Os analistas de segurança cibernética costumam se referir a esses três objetivos, conhecidos como oCIA Triad, ao realizar seu trabalho. Eles geralmente caracterizam os riscos, ataques e controles de segurança como atendendo a um ou mais dos três objetivos da tríade da CIA ao descrevê-los. Riscos de violação de dados Incidentes de segurança ocorrem quando uma organização sofre uma violação da confidencialidade, integridade e / ou disponibilidade de informações ou sistemas de informação. Esses incidentes podem ocorrer como resultado de atividades maliciosas, como um invasor visando a organização e roubando informações confidenciais, como resultado de uma atividade acidental, como um funcionário deixando um laptop não criptografado na parte de trás de um passeio compartilhado, ou como resultado de atividade natural, como um terremoto destruindo um datacenter. Os profissionais de segurança são responsáveis por compreender esses riscos e implementar controles projetados para gerenciar esses riscos a um nível aceitável. Para fazer isso, eles devem primeiro compreender os efeitos que uma violação pode ter na organização e o impacto que pode ter continuamente. A Tríade DAD No início deste capítulo, apresentamos a tríade da CIA, usada para descrever os três objetivos principais da segurança cibernética: confidencialidade, integridade e disponibilidade. Figura 1.2 mostra um modelo relacionado: o Tríade DAD. Este modelo explica as três principais ameaças aos esforços de segurança cibernética:divulgação, alteração, e negação. Cada uma dessas três ameaças é mapeada diretamente para um dos principais objetivos da segurança cibernética. FIGURA 1.2 As três principais ameaças aos programas de segurança cibernética são divulgação, alteração e negação. Divulgação é a exposição de informações confidenciais a indivíduos não autorizados, também conhecido como perda de dados. A divulgação é uma violação do princípio da confidencialidade. Diz-se que os invasores que obtêm acesso a informações confidenciais e as removem da organização estão realizandoexfiltração de dados. A divulgação também pode ocorrer acidentalmente, como quando um administrador configura incorretamente os controles de acesso ou um funcionário perde um dispositivo. Alteração é a modificação não autorizada de informações e é uma violação do princípio de integridade. Os invasores podem tentar modificar os registros contidos em um sistema para obter ganhos financeiros, como adicionar transações fraudulentas a uma conta financeira. A alteração pode ocorrer como resultado de atividade natural, como uma oscilação de energia causando uma “mudança de bit” que modifica os dados armazenados. A alteração acidental também é uma possibilidade, se os usuários modificarem acidentalmente as informações armazenadas em um sistema crítico como resultado de um erro de digitação ou outra atividade não intencional. Negação é a interrupção não intencional do acesso legítimo de um usuário autorizado às informações. Os eventos de negação violam o princípio da disponibilidade. Essa perda de disponibilidade pode ser intencional, como quando um invasor inicia um ataque de negação de serviço distribuído (DDoS) contra um site. A negação também pode ocorrer como resultado de atividade acidental, como falha de um servidor crítico, ou como resultado de atividade natural, como um desastre natural impactando um circuito de comunicação. As tríades CIA e DAD são ferramentas muito úteis para planejamento de segurança cibernética e análise de risco. Sempre que você tiver a tarefa ampla de avaliar os controles de segurança usados para proteger um ativo ou as ameaças a uma organização, pode recorrer às tríades da CIA e do DAD para obter orientação. Por exemplo, se você for solicitado a avaliar as ameaças ao site de sua organização, pode aplicar a tríade DAD em sua análise: O site contém informações confidenciais que prejudicariam a organização se divulgadas a pessoas não autorizadas? Se um invasor pudesse modificar as informações contidas no site, essa alteração não autorizadacausaria danos financeiros, de reputação ou operacionais à organização? O site realiza atividades de missão crítica que poderiam prejudicar significativamente os negócios se um invasor conseguisse interromper o site? Esse é apenas um exemplo do uso da tríade DAD para informar uma avaliação de risco. Você pode usar os modelos CIA e DAD em quase qualquer situação para servir como um ponto de partida útil para uma análise de risco mais detalhada. Impacto de violação Os impactos de um incidente de segurança podem ser amplos, dependendo da natureza do incidente e do tipo de organização afetada. Podemos categorizar o impacto potencial de um incidente de segurança usando as mesmas categorias que as empresas geralmente usam para descrever qualquer tipo de risco: financeiro, reputacional, estratégico, operacional e conformidade. Vamos explorar cada uma dessas categorias de risco com mais detalhes. Risco financeiro Risco financeiro é, como o nome indica, o risco de danos monetários à organização como resultado de uma violação de dados. Isso pode ser um dano financeiro muito direto, como os custos de reconstrução de um datacenter após sua destruição física ou os custos de contratação de especialistas para serviços de resposta a incidentes e análise forense. O risco financeiro também pode ser indireto e vir como uma consequência de segunda ordem da violação. Por exemplo, se um funcionário perder um laptop contendo planos para um novo produto, a organização sofrerá danos financeiros diretos de alguns milhares de dólares com a perda do laptop físico. No entanto, o dano financeiro indireto pode ser mais severo, pois os concorrentes podem se apossar desses planos de produtos e levar a organização ao mercado, resultando em perda de receita potencialmente significativa. Risco de reputação Risco de reputação ocorre quando a publicidade negativa em torno de uma violação de segurança causa a perda de boa vontade entre clientes, funcionários, fornecedores e outras partes interessadas. Freqüentemente, é difícil quantificar o dano à reputação, pois essas partes interessadas podem não se manifestar e dizer diretamente que irão reduzir ou eliminar seu volume de negócios com a organização como resultado da violação de segurança. No entanto, a violação ainda pode ter um impacto em suas decisões futuras sobre como fazer negócios com a organização. Roubo de identidade Quando uma violação de segurança atinge uma organização, os efeitos dessa violação geralmente se estendem além das paredes da organização violada, afetando clientes, funcionários e outras partes interessadas individuais. O impacto mais comum nesses grupos é o risco de roubo de identidade representado pela exposição de informações de identificação pessoal (PII) a indivíduos sem escrúpulos. As organizações devem ter cuidado especial para identificar, inventariar e proteger os elementos de PII, especialmente aqueles que são propensos a serem usados em crimes de roubo de identidade. Isso inclui números de seguridade social, contas bancárias e informações de cartão de crédito, números de carteira de habilitação, dados de passaporte e identificadores confidenciais semelhantes. Risco Estratégico Risco estratégico é o risco de que uma organização se torne menos eficaz no cumprimento de suas metas e objetivos principais como resultado da violação. Considere novamente o exemplo de um funcionário que perdeu um laptop que continha planos de desenvolvimento de novos produtos. Esse incidente pode representar risco estratégico para a organização de duas maneiras diferentes. Primeiro, se a organização não tiver outra cópia desses planos, ela pode não conseguir lançar o novo produto no mercado ou sofrer atrasos significativos no desenvolvimento do produto. Em segundo lugar, se os concorrentes obtiverem esses planos, eles poderão lançar produtos concorrentes no mercado mais rapidamente ou até mesmo vencer a organização no mercado, ganhando vantagem de pioneiro. Ambos os efeitos demonstram risco estratégico para a capacidade da organização de realizar seus planos de negócios. Risco operacional Risco operacional É um risco para a capacidade da organização de realizar suas funções do dia-a-dia. Os riscos operacionais podem desacelerar os processos de negócios, atrasar a entrega de pedidos de clientes ou exigir que implementação de soluções manuais demoradas para práticas normalmente automatizadas. O risco operacional e o risco estratégico estão intimamente relacionados, por isso pode ser difícil distingui-los. Pense na diferença em termos de natureza e grau de impacto na organização. Se um risco ameaça a própria existência de uma organização ou a capacidade da organização de executar seus planos de negócios, esse é um risco estratégico que compromete seriamente a viabilidade contínua da organização. Por outro lado, se o risco só causa ineficiência e atraso na organização, ele se encaixa melhor na categoria de risco operacional. Riscos de conformidade Riscos de conformidade ocorre quando uma violação de segurança faz com que uma organização entre em conflito com os requisitos legais ou regulamentares. Por exemplo, a Lei de Responsabilidade e Portabilidade de Seguro Saúde (HIPAA) exige que os prestadores de cuidados de saúde e outras entidades cobertas protejam a confidencialidade, integridade e disponibilidade de informações protegidas de saúde (PHI). Se uma organização perder os registros médicos dos pacientes, ela violará os requisitos da HIPAA e estará sujeita a sanções e multas do Departamento de Saúde e Serviços Humanos dos Estados Unidos. Esse é um exemplo de risco de conformidade. As organizações enfrentam muitos tipos diferentes de risco de conformidade no cenário regulatório atual. A natureza desses riscos depende das jurisdições em que a organização opera, do setor em que a organização atua e dos tipos de dados com os quais a organização lida. Discutimos esses riscos de conformidade com mais detalhes emCapítulo 16, “Políticas de segurança, padrões e conformidade.” Riscos frequentemente cruzam categorias Não sinta que precisa encaixar todos os riscos em uma e apenas uma dessas categorias. Na maioria dos casos, um risco cruzará várias categorias de risco. Por exemplo, se uma organização sofre uma violação de dados que expõe PII do cliente a indivíduos desconhecidos, a organização provavelmente sofrerá danos à reputação devido à cobertura negativa da mídia. No entanto, a organização também pode sofrer prejuízos financeiros. Alguns desses danos financeiros podem vir na forma de negócios perdidos devido a danos à reputação. Outros danos financeiros podem surgir como consequência do risco de conformidade se os reguladores imporem multas à organização. Ainda mais danos financeiros podem ocorrer como resultado direto da violação, como os custos associados ao fornecimento de serviços de proteção de identidade aos clientes e à notificação sobre a violação. Implementando controles de segurança À medida que uma organização analisa seu ambiente de risco, os líderes técnicos e de negócios determinam o nível de proteção necessário para preservar a confidencialidade, integridade e disponibilidade de suas informações e sistemas. Eles expressam esses requisitos escrevendo oobjetivos de controle que a organização deseja alcançar. Esses objetivos de controle são declarações de um estado de segurança desejado, mas eles não realizam, por si próprios, as atividades de segurança.Controles de segurança são medidas específicas que atendem aos objetivos de segurança de uma organização. Categorias de controle de segurança Os controles de segurança são categorizados com base em seu mecanismo de ação: a maneira como alcançam seus objetivos. Existem três categorias diferentes de controle de segurança: Controles técnicos garantir a confidencialidade, integridade e disponibilidade no espaço digital. Exemplos de controles técnicos de segurança incluem regras de firewall, listasde controle de acesso, sistemas de prevenção de intrusão e criptografia. Controles operacionais incluem os processos que implementamos para gerenciar a tecnologia de maneira segura. Isso inclui análises de acesso de usuário, monitoramento de log e gerenciamento de vulnerabilidade. Controles gerenciais são mecanismos procedimentais que enfocam a mecânica do processo de gerenciamento de riscos. Exemplos de controles administrativos incluem avaliações de risco periódicas, exercícios de planejamento de segurança e a incorporação da segurança nas práticas de gerenciamento de mudanças, aquisição de serviços e gerenciamento de projetos da organização. Se você não está familiarizado com alguns dos controles fornecidos como exemplos neste capítulo, não se preocupe com isso! Discutiremos todos eles em detalhes posteriormente neste livro. As organizações devem selecionar um conjunto de controles de segurança que atenda a seus objetivos de controle com base nos critérios e parâmetros que elas selecionam para seu ambiente ou que lhes foram impostos por reguladores externos. Por exemplo, uma organização que lida com informações confidenciais pode decidir que as questões de confidencialidade em torno dessas informações requerem o mais alto nível de controle. Ao mesmo tempo, eles podem concluir que a disponibilidade de seu site não é de importância crítica. Dadas essas considerações, eles dedicariam recursos significativos à confidencialidade de informações confidenciais, enquanto talvez investissem pouco ou nenhum tempo e dinheiro protegendo seu site contra um ataque de negação de serviço. Muitos objetivos de controle requerem uma combinação de controles técnicos, operacionais e de gerenciamento. Por exemplo, uma organização pode ter o objetivo de controle de impedir o acesso não autorizado a um datacenter. Eles podem atingir esse objetivo implementando controle de acesso biométrico (controle técnico), realizando revisões regulares dos acessos autorizados (controle operacional) e conduzindo avaliações de risco de rotina (controle gerencial). Essas categorias e tipos de controle são exclusivos da CompTIA. Se você já estudou categorias semelhantes como parte de sua preparação para outro programa de certificação de segurança, certifique-se de estudá-las cuidadosamente e usá-las ao responder às perguntas do exame. Tipos de controle de segurança CompTIA também divide a segurança em tipos, com base no efeito desejado. Os tipos de controle de segurança incluem o seguinte: Controles preventivos pretende interromper um problema de segurança antes que ele ocorra. Firewalls e criptografia são exemplos de controles preventivos. Controles de detetive identificar eventos de segurança que já ocorreram. Os sistemas de detecção de intrusão são controles de detecção. Controles corretivos corrigir problemas de segurança que já ocorreram. Restaurar backups após um ataque de ransomware é um exemplo de controle corretivo. Controles de dissuasão procuram impedir que um invasor tente violar as políticas de segurança. Cães de guarda ferozes e cercas de arame farpado são exemplos de controles de dissuasão. Controles físicos são controles de segurança que afetam o mundo físico. Exemplos de controles de segurança física incluem cercas, iluminação de perímetro, fechaduras, sistemas de supressão de incêndio e alarmes contra roubo. Controles de compensação são controles projetados para mitigar o risco associado às exceções feitas a uma política de segurança. Explorando os controles de compensação O padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS) inclui um dos processos de controle de compensação mais formais em uso atualmente. Ele estabelece três critérios que devem ser atendidos para que um controle de compensação seja satisfatório: O controle deve atender à intenção e ao rigor do requisito original. O controle deve fornecer um nível de defesa semelhante ao do requisito original, de forma que o controle de compensação compense suficientemente o risco contra o qual o requisito PCI DSS original foi projetado para se defender. O controle deve estar “acima e além” de outros requisitos do PCI DSS. Por exemplo, uma organização pode descobrir que precisa executar uma versão desatualizada de um sistema operacional em uma máquina específica porque o software necessário para executar o negócio só funcionará nessa versão do sistema operacional. A maioria das políticas de segurança proíbe o uso de sistema operacional desatualizado porque pode ser suscetível a vulnerabilidades de segurança. A organização pode optar por executar este sistema em uma rede isolada com muito pouco ou nenhum acesso a outros sistemas como um controle de compensação. A ideia geral é que um controle de compensação encontre meios alternativos para atingir um objetivo quando a organização não pode atender ao requisito de controle original. Embora o PCI DSS ofereça um processo muito formal para controles de compensação, o uso de controles de compensação é uma estratégia comum em muitas organizações diferentes, mesmo aquelas não sujeitas ao PCI DSS. Os controles de compensação equilibram o fato de que simplesmente não é possível implementar todos os controles de segurança necessários em todas as circunstâncias com o desejo de gerenciar o risco ao máximo possível. Em muitos casos, as organizações adotam controles de compensação para tratar de uma exceção temporária a um requisito de segurança. Nesses casos, a organização também deve desenvolver planos de remediação projetado para trazer a organização de volta em conformidade com a letra e a intenção do controle original. Proteção de dados Os profissionais de segurança gastam uma quantidade significativa de seu tempo concentrando-se na proteção de dados confidenciais. Atuamos como administradores e tutores, protegendo a confidencialidade, integridade e disponibilidade dos dados sensíveis criados por nossas organizações e confiados a nós por nossos clientes e outras partes interessadas. Conforme pensamos nas técnicas de proteção de dados, é útil considerar os três estados onde os dados podem existir: Dados em repouso são dados armazenados que residem em discos rígidos, fitas, na nuvem ou em outra mídia de armazenamento. Esses dados estão sujeitos a furtos por usuários internos ou invasores externos que obtêm acesso aos sistemas e podem navegar por seu conteúdo. Dados em movimento são dados em trânsito por uma rede. Quando os dados trafegam em uma rede não confiável, estão abertos a ataques de interceptação por qualquer pessoa com acesso a essas redes. Dados em processamento são dados que estão ativamente em uso por um sistema de computador. Isso inclui os dados armazenados na memória durante o processamento. Um invasor com controle do sistema pode ser capaz de ler o conteúdo da memória e roubar informações confidenciais. Podemos usar diferentes controles de segurança para proteger os dados em todos esses estados, construindo um conjunto robusto de defesas que protege os interesses vitais de nossa organização. Criptografia de Dados Encriptação a tecnologia usa algoritmos matemáticos para proteger as informações de olhares indiscretos, tanto enquanto estão em trânsito em uma rede quanto enquanto residem em sistemas. Os dados criptografados são ininteligíveis para qualquer pessoa que não tenha acesso ao apropriado chave de descriptografia, tornando seguro o armazenamento e a transmissão de dados criptografados por meios não seguros. Vamos mergulhar profundamente em ferramentas e técnicas de criptografia em Capítulo 7, “Criptografia e a infraestrutura de chave pública”. Prevenção de perda de dados Prevenção de perda de dados (Os sistemas DLP) ajudam as organizações a aplicar políticas e procedimentos de manuseio de informações para evitar perda e roubo de dados. Eles procuram sistemas de armazenamento de informações confidenciais que podem estar inseguras e monitoram o tráfego de redepara possíveis tentativas de remover informações confidenciais da organização. Eles podem agir rapidamente para bloquear a transmissão antes que o dano seja feito e alertar os administradores sobre a tentativa de violação. Os sistemas DLP funcionam em dois ambientes diferentes: DLP baseado em host DLP de rede O DLP baseado em host usa agentes de software instalados em sistemas que procuram nesses sistemas a presença de informações confidenciais. Essas buscas frequentemente revelam números de seguridade social, números de cartão de crédito e outras informações confidenciais nos lugares mais improváveis! A detecção da presença de informações confidenciais armazenadas permite que os profissionais de segurança executem ações imediatas para removê-las ou protegê- las com criptografia. Reservar um tempo para proteger ou remover informações agora pode render recompensas consideráveis no futuro se o dispositivo for perdido, roubado ou comprometido. O DLP baseado em host também pode monitorar a configuração do sistema e as ações do usuário, bloqueando ações indesejáveis. Por exemplo, algumas organizações usam DLP baseado em host para impedir que usuários acessem dispositivos de mídia removível baseados em USB que eles podem usar para transportar informações para fora do ambiente seguro da organização. Os sistemas DLP baseados em rede são dispositivos dedicados que ficam na rede e monitoram o tráfego de saída da rede, observando quaisquer transmissões que contenham informações confidenciais não criptografadas. Elas pode então bloquear essas transmissões, evitando a perda não segura de informações confidenciais. Os sistemas DLP podem simplesmente bloquear o tráfego que viola a política da organização ou, em alguns casos, podem aplicar criptografia automaticamente ao conteúdo. Essa criptografia automática é comumente usada com sistemas DLP que se concentram em e-mail. Os sistemas DLP também têm dois mecanismos de ação: Correspondência de padrões, onde procuram os sinais reveladores de informações confidenciais. Por exemplo, se eles virem um número formatado como um número de cartão de crédito ou seguro social, eles podem disparar automaticamente nesse número. Da mesma forma, eles podem conter um banco de dados de termos confidenciais, como “Top Secret” ou “Business Confidential”, e ser acionados quando vêem esses termos em uma transmissão. Marca d'água, onde sistemas ou administradores aplicam marcas eletrônicas a documentos confidenciais e, em seguida, o sistema DLP pode monitorar sistemas e redes em busca de conteúdo não criptografado contendo essas marcas. A tecnologia de marca d'água também é comumente usada em gestão de direitos digitais (DRM) soluções que impõem direitos autorais e restrições de propriedade de dados. Minimização de Dados Minimização de dados as técnicas procuram reduzir o risco reduzindo a quantidade de informações confidenciais que mantemos regularmente. A melhor maneira de obter a minimização de dados é simplesmente destruí-los quando não forem mais necessários para atender ao nosso objetivo comercial original. Se não pudermos remover completamente os dados de um conjunto de dados, podemos frequentemente transformá-los em um formato em que as informações confidenciais originais são desidentificadas. odesidentificação O processo remove a capacidade de vincular dados de volta a um indivíduo, reduzindo sua sensibilidade. Uma alternativa para a desidentificação dos dados é transformá-los em um formato em que as informações originais não podem ser recuperadas. Este é um processo chamado ofuscação de dados, e temos várias ferramentas à nossa disposição para ajudá-lo com isso: Hashing usa uma função hash para transformar um valor em nosso conjunto de dados em um valor hash correspondente. Se aplicarmos uma função hash forte a um elemento de dados, podemos substituir o valor em nosso arquivo pelo valor hash. Tokenização substitui valores confidenciais por um identificador exclusivo usando uma tabela de pesquisa. Por exemplo, podemos substituir um valor amplamente conhecido, como uma carteira de estudante, por um número de 10 dígitos gerado aleatoriamente. Em seguida, manteríamos uma tabela de pesquisa que nos permite convertê-los de volta em carteiras de identidade, se precisarmos determinar a identidade de alguém. Claro, se você usar essa abordagem, você precisa manter a tabela de pesquisa segura! Mascaramento edita parcialmente informações confidenciais, substituindo alguns ou todos os campos confidenciais por caracteres em branco. Por exemplo, podemos substituir todos, exceto os quatro últimos dígitos de um número de cartão de crédito por X ou * para tornar o número do cartão ilegível. Embora não seja possível recuperar o valor original diretamente do valor em hash, há uma grande falha nessa abordagem. Se alguém tem uma lista de valores possíveis para um campo, eles podem conduzir algo chamado deataque de mesa de arco-íris. Nesse ataque, o invasor calcula os hashes desses valores candidatos e, em seguida, verifica se esses hashes existem em nosso arquivo de dados. Por exemplo, imagine que temos um arquivo listando todos os alunos em nossa faculdade que foram reprovados em cursos, mas fazemos hash em suas carteiras de estudante. Se um invasor tiver uma lista de todos os alunos, ele poderá calcular os valores de hash de todas as IDs de alunos e verificar quais valores de hash estão na lista. Por esse motivo, o hashing deve ser usado com cautela. Resumo Os profissionais de segurança cibernética são responsáveis por garantir a confidencialidade, integridade e disponibilidade das informações e sistemas mantidos por suas organizações. A confidencialidade garante que indivíduos não autorizados não sejam capazes de obter acesso a informações confidenciais em formação. A integridade garante que não haja modificações não autorizadas nas informações ou sistemas, intencionalmente ou não. A disponibilidade garante que as informações e os sistemas estejam prontos para atender às necessidades dos usuários legítimos no momento em que esses usuários os solicitarem. Juntos, esses três objetivos são conhecidos como a tríade da CIA. Conforme os analistas de segurança cibernética procuram proteger suas organizações, eles devem avaliar os riscos para a tríade da CIA. Isso inclui o projeto e a implementação de uma combinação apropriada de controles de segurança extraídos das categorias de controle gerencial, operacional e técnico. Esses controles também devem ser de tipo variado, incluindo uma mistura de controles preventivos, detectivos, corretivos, dissuasivos, físicos e de compensação. Fundamentos do exame Os três objetivos da segurança cibernética são confidencialidade, integridade e disponibilidade. A confidencialidade garante que indivíduos não autorizados não consigam obter acesso a informações confidenciais. A integridade garante que não haja modificações não autorizadas nas informações ou sistemas, intencionalmente ou não. A disponibilidade garante que as informações e os sistemas estejam prontos para atender às necessidades dos usuários legítimos no momento em que esses usuários os solicitarem. Os controles de segurança podem ser categorizados com base em seu mecanismo de ação e sua intenção. Os controles são agrupados nas categorias de gerencial, operacional e técnico, com base na maneira como alcançam seus objetivos. Eles são divididos em tipos de preventivo, detetive, corretivo, dissuasor, compensatório e físico com base em sua finalidade pretendida. As violações de dados têm impactos significativos e diversos nas organizações. Quando uma organização sofre uma violação de dados, a perda de dados resultante geralmente resulta em danos diretos e indiretos. A organização sofre repercussões financeiras imediatas devido aos custos associados à resposta ao incidente, bem como consequências financeiras de longo prazo devido a danos à reputação. Esse dano à reputação pode ser difícilde quantificar, mas também pode têm um impacto duradouro. Em alguns casos, as organizações podem sofrer danos operacionais se sofrerem danos de disponibilidade, impedindo-as de acessar suas próprias informações. Os dados devem ser protegidos em trânsito, em repouso e em uso.Os invasores podem tentar espionar transmissões de rede contendo informações confidenciais. Essas informações são altamente vulneráveis quando em trânsito, a menos que protegidas por tecnologia de criptografia. Os invasores também podem tentar violar armazenamentos de dados, roubando dados em repouso. A criptografia serve para proteger os dados armazenados e também os dados em trânsito. Os dados também são vulneráveis durante o uso em um sistema e devem ser protegidos durante as atividades de processamento de dados. Os sistemas de prevenção de perda de dados bloqueiam as tentativas de exfiltração de dados. A tecnologia DLP impõe políticas de manuseio de informações para evitar perda e roubo de dados. Os sistemas DLP podem funcionar no nível do host, usando agentes de software para pesquisar sistemas quanto à presença de informações confidenciais. Eles também podem trabalhar no nível da rede, observando as transmissões de informações confidenciais não criptografadas. Os sistemas DLP detectam informações confidenciais usando tecnologia de correspondência de padrões e / ou marca d'água digital. A minimização de dados reduz o risco, reduzindo a quantidade de informações confidenciais que mantemos. Nos casos em que não podemos simplesmente descartar informações desnecessárias, podemos proteger as informações por meio de desidentificação e ofuscação de dados. As ferramentas usadas para atingir esses objetivos incluem hashing, tokenização e mascaramento de campos confidenciais. Perguntas de revisão 1. Matt está atualizando o processo de avaliação de ameaças da organização. Qual categoria de controle Matt está implementando? A. Operacional B. Técnico C. Corretivo D. Gerencial 2. A organização de Jade sofreu recentemente uma violação de segurança que afetou os dados armazenados do cartão de crédito. A principal preocupação de Jade é o fato de que a organização está sujeita a sanções por violar as disposições do Padrão de Segurança de Dados do Setor de Cartões de Pagamento. Qual é a categoria de risco relacionada a Jade? A. Estratégico B. Conformidade C. Operacional D. Financeiro 3. Chris está respondendo a um incidente de segurança que comprometeu um dos servidores web de sua organização. Ele acredita que os invasores desfiguraram uma ou mais páginas do site. Qual objetivo de segurança cibernética este ataque violou? A. Confidencialidade B. Não-repúdio C. Integridade D. Disponibilidade 4. Gwen está explorando um sistema de relatório de transações do cliente e descobre a tabela mostrada aqui. Que tipo de minimização de dados provavelmente foi usado nesta tabela? A. Destruição B. Mascaramento C. Tokenização D. Hashing 5. Tonya está preocupada com o risco de um invasor tentar obter acesso ao servidor de banco de dados de sua organização. Ela é procurando um controle que desencorajaria o invasor de tentar obter acesso. Que tipo de controle de segurança ela está tentando implementar? A. Preventiva B. Detetive C. Corretivo D. Dissuasor 6. Greg está implementando um sistema de prevenção contra perda de dados. Ele gostaria de garantir a proteção contra a transmissão de informações confidenciais por convidados em sua rede sem fio. Qual tecnologia DLP atenderia melhor a esse objetivo? A. Marca d'água B. Reconhecimento de padrões C. Baseado em host D. Baseado em rede 7. Qual termo descreve melhor os dados que estão sendo enviados entre dois sistemas por meio de uma conexão de rede? A. Dados em repouso B. Dados em movimento C. Dados em processamento D. Dados em uso 8. Tina está ajustando o sistema de prevenção de intrusões de sua organização para evitar alertas falsos positivos. Que tipo de controle Tina está implementando? A. Controle técnico B. Controle físico C. Controle gerencial D. Controle operacional 9. Qual das opções a seguir não é um objetivo comum de um invasor de segurança cibernética? A. Divulgação B. Negação C. Alteração D. Alocação 10. Tony está revisando o status das defesas de sua organização contra uma violação do servidor de arquivos. Ele acredita que o comprometimento do servidor de arquivos poderia revelar informações que impediriam a empresa de continuar a fazer negócios. Qual termo descreve melhor o risco que Tony está considerando? A. Estratégico B. Reputação C. Financeira D. Operacional 11. Qual dos seguintes elementos de dados não está comumente associado ao roubo de identidade? A. Número do Seguro Social B. Número da carteira de habilitação C. Número do passageiro frequente D. Número do passaporte 12. Qual termo descreve melhor o estado de segurança desejado por uma organização? A. Objetivos de controle B. Prioridades de segurança C. Objetivos estratégicos D. Melhores práticas 13. Lou colocou a placa abaixo na cerca em torno do datacenter de sua organização. Que tipo de controlemelhor descreve esse controle? A. Compensando B. Detetive C. Físico D. Dissuasor 14. Que tecnologia usa algoritmos matemáticos para tornar as informações ilegíveis para aqueles que não têm a chave necessária? A. Prevenção contra perda de dados B. Ofuscação de dados C. Minimização de dados D. Criptografia de dados 15. Greg conduziu recentemente uma avaliação dos controles de segurança de sua organização e descobriu uma lacuna potencial: a organização não usa criptografia de disco completo em laptops. Que tipo de lacuna de controle existe neste caso? Um detetive B. Corretivo C. Dissuasor D. Preventivo 16. Qual regulamento de conformidade afeta mais diretamente as operações de um provedor de saúde? A. HIPAA B. PCI DSS C. GLBA D. SOX 17. Nolan está escrevendo um relatório pós-ação sobre uma violação de segurança que ocorreu em sua organização. Os invasores roubaram milhares de registros de clientes do banco de dados da organização. Qual princípio de segurança cibernética foi mais afetado nesta violação? A. Disponibilidade B. Não-repúdio C. Confidencialidade D. Integridade 18. Qual dos seguintes objetivos não é um dos três objetivos principais que os profissionais de segurança da informação devem alcançar para proteger suas organizações contra ameaças de segurança cibernética? A. Integridade B. Não-repúdio C. Disponibilidade D. Confidencialidade 19. Qual das seguintes técnicas de proteção de dados é reversível quando conduzida de maneira adequada? A. Tokenização B. Mascaramento C. Hashing D. Fragmentação 20. Qual das afirmações a seguir não é verdadeira sobre os controles de compensação no PCI DSS? A. Os controles usados para atender a um requisito do PCI DSS podem ser usados para compensar a ausência de um controle necessário para atender a outro requisito. B. Os controles devem atender à intenção do requisito original. C. Os controles devem atender ao rigor do requisito original. D. Os controles de compensação devem fornecer um nível de defesa semelhante ao requisito original.
Compartilhar