Baixe o app para aproveitar ainda mais
Prévia do material em texto
© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial CiscoPresentation_ID 12 Capítulo 2: O Cubo de Cibersegurança Cybersecurity Essentials v1.0 Presentation_ID 13© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Capítulo 2 – Secções e objetivos 2.1 O cubo de cibersegurança Descrever as três dimensões do Cubo de McCumber (Cubo de Cibersegurança). 2.2 A tríade CIA Descrever os princípios da confidencialidade, integridade e disponibilidade. 2.3 Estados dos Dados Diferenciar os três estados dos dados. 2.4 Contramedidas de cibersegurança Comparar os tipos de contramedidas de cibersegurança. 2.5 Framework de Gestão de Segurança de TI Descrever o modelo ISO de cibersegurança. © 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial CiscoPresentation_ID 14 2.1 As Três Dimensões do Cubo de cibersegurança Presentation_ID 15© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco As Três Dimensões do Cubo de cibersegurança As Três Dimensões Os Princípios da Segurança A primeira dimensão do cubo de cibersegurança identifica os objetivos ou princípios de segurança necessários para proteger o ciberespaço. Os objetivos identificados na primeira dimensão são os princípios fundamentais do mundo da cibersegurança. Estes três princípios são: confidencialidade, integridade e disponibilidade. Os princípios fornecem foco e permitem que especialistas em cibersegurança priorizem ações na proteção do ciberespaço. Use a sigla CIA para lembrar esses três princípios. Os Estados dos Dados O ciberespaço é um mundo de dados; portanto, os especialistas em cibersegurança concentram-se na proteção de dados. A segunda dimensão do Cubo de cibersegurança foca-se nos problemas de proteção de todos os estados de dados no ciberespaço. Os dados têm três estados possíveis: 1. Dados em repouso ou em armazenamento 2. Dados em trânsito 3. Dados em processamento Presentation_ID 16© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco As Três Dimensões do Cubo de Cibersegurança As Três Dimensões (Cont.) Salvaguardas de cibersegurança A terceira dimensão do cubo de cibersegurança define os tipos de poderes usados para proteger o ciberespaço. O cubo identifica os três tipos de poderes: Tecnologias - dispositivos e produtos disponíveis para proteger sistemas de informação e afastar cibercriminosos. Políticas e Práticas - procedimentos e diretrizes que permitem que os cidadãos do ciberespaço se mantenham seguros e sigam as boas práticas. Pessoas - Conscientes e conhecedores do seu mundo e os perigos que o ameaçam. © 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial CiscoPresentation_ID 17 2.2 A tríade CIA Presentation_ID 18© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Tríade CIA Confidencialidade O Princípio da Confidencialidade A confidencialidade impede a divulgação de informações a pessoas, recursos e processos não autorizados. Um outro termo para confidencialidade é privacidade. As organizações precisam de treinar os funcionários sobre as melhores práticas para proteger informações confidenciais, para se protegerem contra ataques a eles próprios e à organização. Os métodos usados para assegurar a confidencialidade incluem criptografia de dados, autenticação e controlo de acesso. Protegendo a Privacidade dos Dados As organizações recolhem uma grande quantidade de dados e grande parte desses dados não é sensível porque estão disponíveis publicamente, como nomes e números de telefone. Outros dados recolhidos, no entanto, são sensíveis. Informações confidenciais são dados protegidos contra acesso não autorizado para proteger um indivíduo ou uma organização. Entenda o que são dados pessoais e dados sensíveis - ∆t=3:03 https://www.youtube.com/watch?v=v0RoHg1Dwdk Presentation_ID 19© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Tríade CIA Confidencialidade (Cont.) Controlando o acesso O controlo de acesso define vários esquemas de proteção que impedem o acesso não autorizado a um computador, rede, base de dados ou outros recursos de dados. Os conceitos de AAA envolvem três serviços de segurança: Autenticação, Autorização e Registo. Autenticação verifica a identidade de um utilizador para impedir o acesso não autorizado. Os utilizadores provam a sua identidade com um nome de utilizador ou ID. Autorização determina a que recursos o utilizador pode aceder, juntamente com as operações que podem realizar. A autorização também pode controlar quando um utilizador tem acesso a um recurso específico. Registo mantém o rastreio do que os utilizadores fazem, incluindo ao que acedem, por quanto tempo e quaisquer alterações feitas. AAA Passwords & hash functions (Simply Explained)- ∆t=7:27 https://www.youtube.com/watch?v=cczlpiiu42M Presentation_ID 20© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Tríade CIA Confidencialidade (Cont.) A confidencialidade e a privacidade parecem intercambiáveis, mas do ponto de vista legal, significam coisas diferentes. A maioria dos dados de privacidade é confidencial, mas nem todos os dados confidenciais são privados. O acesso a informações confidenciais ocorre após a confirmação da autorização adequada. Instituições financeiras, hospitais, profissionais médicos, escritórios de advocacia e empresas lidam com informações confidenciais. Informações confidenciais têm uma condição "não público". Manter a confidencialidade é mais um dever ético. A privacidade é o uso adequado dos dados. Quando as organizações recolhem informações fornecidas por clientes ou funcionários, elas devem usar esses dados apenas para o propósito pretendido. Confidencialidade - ∆t=23:06 https://www.youtube.com/watch?v=13MK0WRoijM Presentation_ID 21© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Tríade CIA Integridade Princípio da integridade dos dados Integridade é a precisão, consistência e confiabilidade dos dados durante todo o seu ciclo de vida. Outro termo para integridade é a qualidade. Os métodos usados para garantir a integridade dos dados incluem hashing, verificações de validação de dados, verificações de consistência de dados e controlos de acesso. Necessidade de integridade de dados A necessidade de integridade dos dados varia de acordo com a forma como uma organização usa os dados. Por exemplo, o Facebook não verifica os dados que um utilizador publica num perfil. Um banco ou organização financeira atribui uma importância maior à integridade dos dados do que o Facebook. Transações e contas de clientes devem ser precisas. Proteger a integridade dos dados é um desafio constante para a maioria das organizações. A perda de integridade dos dados pode tornar recursos inteiros de dados não confiáveis ou inutilizáveis. Verificações de integridade Uma verificação de integridade é uma maneira de medir a consistência de uma coleção de dados (um arquivo, uma imagem ou um registo). A verificação de integridade executa um processo chamado função de hashing para tirar uma síntese instantânea dos dados num instante no tempo. What is Hashing? Hash Functions Explained Simply- ∆t=2:36 https://www.youtube.com/watch?v=2BldESGZKB8 Hashing Algorithms and Security - Computerphile https://www.youtube.com/watch?v=b4b8ktEV4Bg Presentation_ID 22© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Tríade CIA Disponibilidade A disponibilidade de dados é o princípio usado para descrever a necessidade de manter a disponibilidade de sistemas e serviços de informação em todos os momentos. Ciberataques e falhas no sistema podem impedir o acesso a sistemas e serviços de informação. Os métodos usados para garantir a disponibilidade incluem redundância dos sistemas, backups dos sistemas, maior resiliência dos sistemas, manutenção de equipamentos, sistemas operativose software atualizados e planos para recuperação rápida de desastres imprevistos. Os sistemas de alta disponibilidade geralmente incluem três princípios de projeto: • eliminar pontos únicos de falha; • fornecer cruzamento confiável e; • detetar falhas à medida que ocorrem. As organizações podem garantir a disponibilidade implementando o seguinte: 1. Manutenção de equipamentos 2. Atualizações de sistema operativo e sistema 3. Backups de teste 4. Plano para desastres 5. Implementar novas tecnologias 6. Monitorizar atividade incomum 7. Teste para verificar a disponibilidade © 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial CiscoPresentation_ID 23 2.3 Estados dos Dados Presentation_ID 24© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Estados dos Dados Dados em Repouso Os dados armazenados referem-se a dados em repouso. Os dados em repouso significam que um tipo de dispositivo de armazenamento retém os dados quando nenhum utilizador ou processo os está a usar. Um dispositivo de armazenamento pode ser local (num dispositivo de computação) ou centralizado (na rede). Existem várias opções para armazenar dados. O armazenamento de ligação direta (DAS) é o armazenamento ligado a um computador. Um disco rígido ou uma unidade flash USB são exemplos de armazenamento de ligação direta. Presentation_ID 25© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Estados dos Dados Dados em Repouso (Cont.) A matriz redundante de discos independentes (RAID) usa vários discos rígidos numa matriz, que é um método de combinar vários discos para que o sistema operativo os veja como um único disco. O RAID fornece desempenho melhorado e tolerância a falhas. NAS refere-se a um dispositivo de armazenamento ligado a uma rede que permite o armazenamento e a recuperação de dados de um local centralizado por utilizadores de rede autorizados. Os dispositivos NAS são flexíveis e escaláveis, o que significa que os administradores podem aumentar a capacidade conforme necessário. Uma arquitetura de rede de área de armazenamento (SAN - Storage Area Network ou rede privativa de armazenamento) é um sistema de armazenamento baseado em rede. Os sistemas SAN ligam-se à rede usando interfaces de alta velocidade, permitindo melhor desempenho e a capacidade de ligar vários servidores a um repositório centralizado de armazenamento em disco. Presentation_ID 26© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Estados de Dados Dados em trânsito A transmissão de dados envolve o envio de informações de um dispositivo para outro. Existem vários métodos para transmitir informações entre dispositivos, incluindo: Media removível — usa media removível (e pessoas para os transportar) para mover fisicamente dados de um computador para outro Redes com fios — usa cabos para transmitir dados Redes sem fios — usa ondas de rádio para transmitir dados A proteção dos dados transmitidos é uma das tarefas mais desafiantes de um profissional de cibersegurança. Os maiores desafios são: Proteger a confidencialidade dos dados — os cibercriminosos podem capturar, guardar e roubar dados em trânsito. Proteger a integridade dos dados — os cibercriminosos podem interceptar e alterar dados em trânsito. Proteger a disponibilidade de dados — os cibercriminosos podem usar dispositivos intrusores ou não autorizados para interromper a disponibilidade de dados. Presentation_ID 27© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Estados dos Dados Dados em processamento O terceiro estado dos dados são dados em processamento. Isto refere-se a dados durante a entrada inicial, modificação, computação ou saída. A proteção da integridade dos dados começa com a entrada inicial de dados. As organizações usam vários métodos para recolher dados, como entrada manual de dados, digitalização de formulários, uploads de ficheiros e dados recolhidos de sensores. Cada um desses métodos representa potenciais ameaças à integridade dos dados. A modificação de dados refere-se a quaisquer alterações nos dados originais, como utilizadores que modificam manualmente dados, programas de processamento e alteração de dados e falha do equipamento, resultando em modificação de dados. Processos como codificação/ decodificação, compressão/ descompressão e encriptação/ desencriptação são exemplos de modificação de dados. Código malicioso também resulta em corrupção de dados. © 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial CiscoPresentation_ID 28 2.4 Contramedidas de cibersegurança Presentation_ID 29© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Tecnologias de contramedidas de cibersegurança Salvaguardas tecnológicas baseadas em software As salvaguardas de software incluem programas e serviços que protegem sistemas operacionais, bases de dados e outros serviços que operam em estações de trabalho, dispositivos portáteis e servidores. Existem várias tecnologias baseadas em software usadas para proteger os ativos de uma organização Salvaguardas tecnológicas baseadas em hardware As tecnologias baseadas em hardware são aparelhos instalados nas infraestruturas de rede. Eles podem incluir: dispositivos de firewall, sistemas de detecção de intrusão (IDS), sistemas de prevenção de intrusões (IPS) e sistemas de filtragem de conteúdo. Presentation_ID 30© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Tecnologias de contramedidas de cibersegurança Salvaguardas tecnológicas baseadas em rede As contramedidas tecnológicas também podem incluir tecnologias baseadas em rede. Rede Privada Virtual (VPN) é uma rede virtual segura que usa a rede pública (ou seja, a Internet). A segurança de uma VPN reside na criptografia do conteúdo dos pacotes entre os pontos terminais que definem a VPN. O controlo de acesso de rede (NAC) exige um conjunto de verificações antes de permitir que um dispositivo se ligue a uma rede. Algumas verificações comuns incluem software antivírus atualizado ou atualizações do sistema operativo instaladas. A segurança do ponto de acesso sem fios inclui a implementação de autenticação e criptografia. Como funciona uma VPN - Parte I - ∆t=14:18 https://www.youtube.com/watch?v=xCV0ecVybgA Presentation_ID 31© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Tecnologias de contramedidas de cibersegurança Salvaguardas tecnológicas baseadas em nuvem As contramedidas tecnológicas também podem incluir tecnologias baseadas na nuvem. As tecnologias baseadas em nuvem mudam o componente tecnológico da organização para o fornecedor de nuvem. Software como Serviço (SaaS) permite que os utilizadores obtenham acesso a aplicações e bases de dados. Os fornecedores de nuvem gerem a infraestrutura. Os utilizadores armazenam dados nos servidores do fornecedor de nuvem. Infraestrutura como Serviço (IaaS) fornece recursos virtualizados de computação pela Internet. O fornecedor hospeda os componentes de hardware, software, servidores e armazenamento. Os fornecedores de serviços de nuvem usam dispositivos virtuais de segurança que são executados dentro de um ambiente virtual com um sistema operativo pré-preparado e com segurança reforçada, correndo em hardware virtualizado. Presentation_ID 32© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Implementação de Educação e Formação em Cibersegurança Um programa de consciencialização de segurança é extremamente importante para uma organização. Um funcionário pode não ser propositadamente malicioso, mas apenas não saber quais são os procedimentos adequados. Existem várias maneiras de implementar um programa de formal de formação: Faça da formação em consciencialização de segurança parte do processo de integração do funcionário Ligue a consciencialização de segurança aos requisitos de trabalho ou avaliações dedesempenho Realize sessões de formação presenciais Complete cursos online A consciencialização sobre a segurança deve ser um processo contínuo, uma vez que novas ameaças e técnicas estão sempre no horizonte. Presentation_ID 33© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Contramedidas de Cibersegurança Políticas e Procedimentos de Cibersegurança Uma política de segurança é um conjunto de objetivos de segurança para uma empresa que inclui regras de comportamento para utilizadores e administradores e especifica os requisitos do sistema. Estes objetivos, regras e requisitos, coletivamente garantem a segurança de uma rede, os dados e os sistemas informáticos dentro de uma organização. As normas ajudam uma equipa de TI a manter a consistência na operação da rede. As normas fornecem as tecnologias que utilizadores ou programas específicos precisam, além de quaisquer requisitos ou critérios do programa que uma organização deve seguir. As diretrizes são uma lista de sugestões sobre como fazer as coisas de forma mais eficiente e segura. Elas são semelhantes às normas, mas são mais flexíveis e geralmente não são obrigatórias. As diretrizes definem como as normas são desenvolvidas e garantem a adesão às políticas gerais de segurança. Os documentos de procedimentos são mais longos e mais detalhados do que as normas e diretrizes. Documentos de procedimentos incluem detalhes de implementação que geralmente contêm instruções passo a passo e gráficos. © 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial CiscoPresentation_ID 34 2.5 Quadro de Gestão de Segurança de TI Presentation_ID 35© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Quadro de gestão de segurança O modelo ISO Os profissionais de segurança precisam de proteger informações de ponta a ponta dentro da organização. Esta é uma tarefa monumental, e não é razoável esperar que um indivíduo tenha todo o conhecimento necessário. A Organização Internacional de Normalização (ISO) / Comissão Eletrotécnica Internacional (IEC) desenvolveu uma estrutura abrangente para orientar a gestão da segurança da informação. O modelo de cibersegurança ISO/IEC é para profissionais de cibersegurança o que o modelo de rede OSI é para engenheiros de rede. Ambos fornecem uma estrutura para compreender e abordar tarefas complexas. Presentation_ID 36© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Quadro de gestão de segurança O modelo ISO (Cont.) A ISO/IEC 27000 é uma norma de segurança da informação publicada em 2005 e revista em 2013. A ISO publica as normas ISO 27000. Embora as normas não sejam obrigatórias, a maioria dos países usa-as como uma referência "de facto" para a implementação da segurança da informação. Presentation_ID 37© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Quadro de gestão de segurança Usando o modelo de cibersegurança ISO A ISO 27000 é um quadro universal para todos os tipos de organização. Para usar o quadro de forma eficaz, uma organização deve restringir que domínios, objetivos de controlo e controlos se aplicam ao seu ambiente e operações. Os objetivos de controlo ISO 27001 servem como uma lista de verificação. A primeira etapa que uma organização toma é determinar se esses objetivos de controlo são aplicáveis à organização. Presentation_ID 38© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco O modelo ISO de cibersegurança e os estados dos dados Diferentes grupos dentro de uma organização podem ser responsáveis por dados em cada um dos vários estados. Por exemplo, o grupo de segurança de rede é responsável pelos dados durante a transmissão. Programadores e o pessoal da entrada de dados são responsáveis pelos dados durante o processamento. Os especialistas em suporte de hardware e servidores são responsáveis pelos dados armazenados. Os controlos ISO abordam especificamente os objetivos de segurança para dados em cada um dos três estados. Quadro de gestão de segurança Usando o modelo de cibersegurança ISO (Cont.) Presentation_ID 39© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco O modelo de cibersegurança ISO e salvaguardas Os objetivos de controlo da ISO 27001 relacionam-se diretamente com as políticas, procedimentos e diretrizes de cibersegurança da organização que a gestão superior determina. Os controlos ISO 27002 fornecem orientação técnica. Por exemplo, a gestão superior estabelece uma política especificando a proteção de todos os dados que entram ou saem da organização. A implementação da tecnologia para atingir os objectivos da política não envolveria a gestão superior. É da responsabilidade dos profissionais de TI implementar e configurar adequadamente os equipamentos utilizados para cumprir as diretrizes das políticas estabelecidas pela gestão superior. Quadro de gestão de segurança Usando o modelo de cibersegurança ISO (Cont.) © 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial CiscoPresentation_ID 40 2.6 Resumo do Capítulo Presentation_ID 41© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Este capítulo discutiu as três dimensões do cubo de cibersegurança. A responsabilidade central de um profissional de cibersegurança é proteger os sistemas e dados de uma organização. O capítulo explicou como cada uma das três dimensões contribui para esse esforço. O capítulo também discutiu o modelo de cibersegurança ISO. O modelo representa um quadro internacional para normalizar a gestão dos sistemas de informação. Este capítulo explorou os doze domínios. O modelo fornece objetivos de controlo que orientam o projeto de alto nível e implementação de um sistema abrangente de gerenciamento de segurança da informação (ISMS). O capítulo também discutiu como os profissionais de segurança usam controlos para identificar as tecnologias, dispositivos e produtos para proteger a organização. Se quiser explorar mais profundamente os conceitos deste capítulo, por favor veja a página "Recursos e Atividades Adicionais" em "Recursos dos Alunos" Resumo do Capítulo Resumo Presentation_ID 42© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco Presentation_ID 43© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial Cisco
Compartilhar