DETECÇÃO DE AMEAÇAS EM SEGURANÇA CIBERNÉTICA

Prévia do material em texto

1 
 
 
 
DETECÇÃO DE AMEAÇAS EM SEGURANÇA CIBERNÉTICA 
 
 
 
2 
 
 
 
NOSSA HISTÓRIA 
 
 
A nossa história inicia com a realização do sonho de um grupo de empre-
sários, em atender à crescente demanda de alunos para cursos de Graduação 
e Pós-Graduação. Com isso foi criado a nossa instituição, como entidade ofere-
cendo serviços educacionais em nível superior. 
A instituição tem por objetivo formar diplomados nas diferentes áreas de 
conhecimento, aptos para a inserção em setores profissionais e para a partici-
pação no desenvolvimento da sociedade brasileira, e colaborar na sua formação 
contínua. Além de promover a divulgação de conhecimentos culturais, científicos 
e técnicos que constituem patrimônio da humanidade e comunicar o saber atra-
vés do ensino, de publicação ou outras normas de comunicação. 
A nossa missão é oferecer qualidade em conhecimento e cultura de forma 
confiável e eficiente para que o aluno tenha oportunidade de construir uma base 
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições 
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, 
excelência no atendimento e valor do serviço oferecido. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
3 
 
Sumário 
INTRODUÇÃO ................................................................................................... 4 
O QUE É A SEGURANÇA CIBERNÉTICA ........................................................ 8 
O VALOR DA INFORMAÇÃO ............................................................................ 9 
O QUE É DETECÇÃO DE AMEAÇAS EM TEMPO REAL? ............................. 12 
PORQUE A DETECÇÃO DE AMEAÇAS EM TEMPO REAL AUMENTA A 
SEGURANÇA DO SITE? ................................................................................. 13 
COMO FUNCIONA A DETECÇÃO DE AMEAÇAS EM TEMPO REAL? ......... 16 
MANEIRAS IMPORTANTES DAS EMPRESAS SE PROTEGEREM DE 
ATAQUE CIBERNÉTICOS ............................................................................... 17 
A IMPORTÂNCIA DA CIÊNCIA DE DADOS .................................................... 20 
PADRÃO DE COMPORTAMENTO .................................................................. 21 
INTELIGÊNCIA NA DETECÇÃO DE AMEAÇAS ............................................. 24 
CONSIDERAÇÕES FINAIS ............................................................................. 27 
REFERÊNCIAS ................................................................................................ 29 
 
 
 
 
 
 
 
 
 
4 
INTRODUÇÃO 
 
 
É cada vez mais natural lermos e encontrarmos situações em que o processo de 
automação, integração e autossuficiência tecnológica esteja presente nas dife-
rentes situações de nosso dia a dia. Seja envolvendo a IoT (Internet of Things), 
a IA (Inteligência Artificial), técnicas cada vez mais apuradas de blockchain, seja 
envolvendo principalmente os chatbots e sobretudo a Machine Learning. 
 
Perante, então, todo esse universo e todo um contexto de BigData, a quantidade 
e qualidade das ameaças à segurança a todo ciberespaço que manipulamos, 
criamos, organizamos, alteramos, descartamos informação, enfim, em que con-
vivemos nesta “bolha”, está cada vez mais complexo levarmos isso na esfera da 
segurança das informações. Essa complexidade é diretamente proporcional a 
toda essa evolução. 
 
A Guerra de Informação é algo muito comum no nosso século, sendo a base 
desse rumo o roubo de informações privadas de vários usuários, criando assim 
um risco de vazamento de dados pessoais. O alvo desses tipos de ataques, além 
do econômico, também é direcionado às elites políticas, assim vazando dados 
classificados e até segredos de Estado. As empresas da nova era estão lidando 
com muito mais dados do que no passado. Como os dados vêm em novos tipos 
e formatos, são menos estruturados, ao contrário dos dados convencionais, e 
isso lhes põe em grande risco, pela falta de processos internos adequados e 
organizados. Outro grande risco para essas empresas é o fato de que eles usam 
o armazenamento em nuvem, pela limitação dos servidores, o que os coloca em 
uma situação vulnerável. 
 
Desta maneira, possuir CSIRTs (Computer Security Incident Response Team), 
SOCs (Security Operations Center) e demais centros e serviços operacionais de 
combate às ameaças de segurança vem se tornando pré-requisito às empresas 
de médio porte em diante. À medida que as organizações investem no uso de 
dados de eventos em tempo real para detecção e resposta aos incidentes e a 
 
 
 
5 
adoção sofisticada do Machine Learning, entra em ação perante sua inteligência 
de ameaças que terá o devido potencial de melhorar a visibilidade de riscos des-
conhecidos e fortalecer a postura destes centros de operações de segurança. 
Almejar a maturidade desta ciência de dados no contexto da segurança ciberné-
tica significa capacitar os recursos certos com a inteligência correta para agir 
enquanto minimiza falsos positivos. 
 
A detecção de ameaças em tempo real aumenta a segurança da arquitetura, 
identificando qualquer atividade maliciosa que comprometa a infraestrutura de 
TI, a segurança do site e a confidencialidade dos dados. 
 
Mitigar ameaças requer detecção rápida para identificá-las e neutralizá-las de 
maneira adequada antes que os cibercriminosos explorem qualquer vulnerabili-
dade do sistema. As violações de sites podem prejudicar a confiabilidade da 
marca, comprometer dados pessoais de terceiros, interromper todo o sistema 
operacional e até mesmo gerar problemas jurídicos para a empresa. 
 
Portanto, o emprego de tecnologias inteligentes contra qualquer agente malici-
oso é fundamental. 
 
Conforme a internet e o meio digital se torna mais presente em nossas vidas e 
atividades cotidianas, maior a motivação de criminosos para conseguir acesso a 
nossas contas e dispositivos. De forma que não podemos mais acreditar que 
possuir um antivírus ou um firewall habilitado vai manter esses criminosos longe. 
 
Assim como os recursos tecnológicos evoluíram, o mesmo aconteceu com ações 
criminosas no meio digital, com o adicional dos mesmos se sentirem mais confi-
antes devido a legislação falha e a uma falsa sensação de anonimato. 
 
Dessa forma torna-se necessário uma postura proativa com relação as ameaças 
digitais, não devemos apenas impedir que tenham acesso as redes, contas e 
dispositivos, mas também entender suas motivações, forma de atuação e quem 
 
 
 
6 
são os atacantes. Temos então a segurança orientada a inteligência, que con-
segue processar grandes quantidade de dados quase em tempo real, procurar 
padrões e verificar comportamentos suspeitos. 
 
O que são os ataques cibernéticos? 
Ataques cibernéticos são as tentativas de hackers de danificar ou destruir uma 
rede de sistemas. Essas violações podem fazer com que dados sigilosos sejam 
roubados e expostos e que ocorram casos de roubo de identidade, extorsão en-
tre outros. 
Os ataques cibernéticos recebem também o nome de cibercrime, crime informá-
tico, crime eletrônico e outras variações, todas muito perigosas para os usuários. 
Muitas são as formas de ter sua rede invadida, mas geralmente, os ataques são 
sutis e silenciosos, tornando ainda mais difícil sua identificação. 
Sofrer um ataque cibernético pode custar muito caro, afinal, muitos são os dados 
e informações importantes contidas nas redes empresariais e, até mesmo, nas 
pessoais. Por isso, é uma ameaça grave que não deve ser ignorada. 
Quais são os ataques cibernéticos? 
Os ataques cibernéticos nas redes podem acontecer de diferentes formas e po-
dem enganar ou passar despercebidas pelos usuários, que acabam caindo em 
golpes. Como muitas são as formas de ataque, separamos algumas mais co-
muns para você. Confira! 
Ataque DoS e DDoS 
O ataque DoS é uma sobrecarga feita em um servidor ou computador para que 
seus recursos fiquem indisponíveis ao usuário. Enquantoo DDoS, é uma evolu-
ção, que faz com que um computador mestre utilize vários outros para atacar 
determinados sites. 
https://ecoit.com.br/seguranca-da-informacao-o-que-aprender-com-esses-3-ataques-de-hackers/
https://ecoit.com.br/protecao-de-dados-pessoais/
https://ecoit.com.br/crimes-ciberneticos/
https://ecoit.com.br/ataque-ddos/
 
 
 
7 
Backdoor 
O backdoor é um tipo de cavalo de troia que permite que se tenha acesso ao 
sistema infectado. A partir do momento em que ele está instalado, é possível 
modificar, excluir, instalar arquivos, mandar e-mail, visualizar informações e usar 
perfeitamente o sistema do usuário atacado. 
Ataque DMA 
É um ataque de acesso direto à memória, permitindo que diversos programas 
acessem a memória do dispositivo. 
Eavesdropping 
O eavesdropping é uma técnica hacker que viola a confidencialidade, fazendo 
uma varredura sem autorização nas informações do dispositivo atacado. 
Spoofing 
Spoofing é uma falsificação de IP (protocolo de internet). Ou seja, esse é um dos 
tipos de ataques cibernéticos que falsifica a comunicação entre os dispositivos 
fingindo ser uma fonte confiável. 
Decoy 
Consiste em simular um programa seguro ao usuário alvo. Assim, ao efetuar 
login, o programa armazena as informações para serem usadas mais tarde pe-
los hackers. 
Esses são alguns dos muitos ataques cibernéticos e modos que os usuários po-
dem ser atacados. Os hackers se manifestam em variadas formas e é preciso 
se proteger para minimizar danos e não sofrer ataques. 
 
 
 
 
 
8 
O QUE É A SEGURANÇA CIBERNÉTICA 
 
A segurança cibernética surgiu em décadas recentes, pois nos anos 1970 – 1980 
não havia tecnologia avançada para ser hackeada. Existiam violações de rede e 
malware que foram usados para roubar dados dos países inimigos e para espi-
onagem. A exemplo, menciona-se o hacker alemão Marcus Hess, que em 1986 
conseguiu hackear múltiplos computadores militares e roubar vários dados para 
vender os segredos de outros países para o KGB. Neste período, o vírus tor-
nouse uma ameaça muito perigosa para a confidencialidade dos segredos dos 
países. Por causa disso, começaram a ser criados novos programas que pode-
riam conter os vírus. 
 
A segurança cibernética é tanto sobre a insegurança criada por e através deste 
novo espaço, quanto sobre as práticas ou processos para torná-lo mais seguro. 
Refere-se a um conjunto de atividades e medidas, tanto técnicas como não téc-
nicas, destinadas a proteger o ambiente bioelétrico e os dados que contém e 
transporta de todas as ameaças possíveis. A terminologia em segurança da in-
formação é muitas vezes aparentemente congruente com a terminologia nos dis-
cursos sobre segurança nacional, ou seja, trata-se de ameaças, agentes e vul-
nerabilidades. 
 
Um ataque no Ciberespaço não tem limites territoriais nem constrangimentos 
nacionais, é muito mais rápido e pode ter múltiplos alvos, sempre atingindo um 
computador e as informações nele contidas. Os resultados pretendidos do ata-
que podem ser, por exemplo, danificar algo físico, mas esse dano sempre re-
sulta, em primeiro lugar, num incidente no reino digital. 
 
A segurança cibernética é um conjunto de ações sobre pessoas, tecnologias e 
processos contra os ataques cibernéticos. Por vezes nomeadas como segurança 
digital ou segurança de TI, é uma ramificação na segurança da informação. 
 
A segurança da informação tem como objetivo tratar e proteger os dados físicos 
e digitais, ou seja, a segurança cibernética ou cibersegurança, é uma área que 
https://www.youtube.com/channel/UCPubv5cHSgkRrCIgi5RfRuw
 
 
 
9 
atua no ambiente digital, na prevenção, mitigando e recuperação frente aos ata-
ques cibernéticos. 
 
 
O VALOR DA INFORMAÇÃO 
 
São muitos tipos de ataques. Agora imagina essa legião de atacantes, com es-
sas inúmeras ferramentas maliciosas, tentando roubar os dados da sua em-
presa? Será que você teria prejuízos? Afinal, quanto vale uma informação? 
 
Na segurança cibernética, em geral, existem dilemas de atribuição. É preciso 
pesar os ganhos potenciais versus as perdas de apontar o dedo para um grupo 
ou indivíduo que considera-se que está por trás de um ataque cibernético. De-
terminando o atacador, pode haver conexão com ganhos pessoais de algum país 
ou pessoa. 
 
Um grande equívoco que muitas pessoas, inclusive as pequenas e médias em-
presas cometem, é não conhecer ou minimizar o valor da informação. 
 
Muitos acreditam que somente as grandes e megas empresas são visadas por 
crackers, que estão à procura de oportunidades para colocar as mãos em infor-
mações. 
 
Mas a verdade é que os cibercriminosos estão buscando informações! Indepen-
dentemente se elas pertencem a grandes empresas ou pequenas, eles procuram 
oportunidades para roubá-las. 
 
Caso essas informações caiam em mãos erradas, afetarão toda a funcionalidade 
dos negócios de uma empresa, um exemplo simples é o de uma empresa que 
sofra um ataque que possibilita a exposição dos números de cartões de crédito 
de seus clientes. Uma falha como essa poderá gerar ações judiciais por parte 
dos prejudicados pelo vazamento. 
 
 
 
 
10 
Como é possível admitir que a informação possua valor, é preciso definir parâ-
metros capazes de quantificá-lo, o que não é uma tarefa trivial. Uma das manei-
ras é realizada por meio dos juízos de valor, que, apesar de serem indefinidos, 
consideram que o valor varia de acordo com o tempo e a perspectiva. Podem, 
em certos casos, ser negativos, como acontece na sobrecarga de informação. 
Sob esta perspectiva, o valor da informação pode ser classificado nos seguintes 
tipos (Cronin, 1990): 
 valor de uso: baseia-se na utilização final que se fará com a informação; 
 valor de troca: é aquele que o usuário está preparado para pagar e variará 
de acordo com as leis de oferta e demanda, podendo também ser deno-
minado de valor de mercado; 
 valor de propriedade, que reflete o custo substitutivo de um bem; 
 valor de restrição, que surge no caso de informação secreta ou de inte-
resse comercial, quando o uso fica restrito apenas a algumas pessoas. 
Muitas vezes não é possível quantificar o valor da informação estabelecendo 
uma equivalência a uma quantia em dinheiro. Por ser um bem abstrato e intan-
gível, o seu valor estará associado a um contexto. Assim, os valores de uso e de 
troca poderão ser úteis na definição de uma provável equivalência monetária. 
Por exemplo, uma empresa que atua em bolsa de mercadorias, mais especifica-
mente no mercado futuro, terá grande interesse em informações relativas à pro-
dução agrícola de um determinado país ou região. Esta empresa, provavel-
mente, irá alocar recursos na busca sistemática deste tipo de informação, que 
será utilizada na determinação de indicadores de uma tendência e que funda-
mentará decisões sobre o tipo de investimento a ser realizado, caracterizando a 
importância dos valores de uso e de troca. Considerando que, a partir delas, 
poderá ser obtido algum tipo de vantagem competitiva ou de diferencial de mer-
cado, estas informações assumirão um valor de restrição, para que se possa 
preservar o sigilo da aplicação. 
Por outro lado, uma organização governamental ou não que realize censos de-
mográficos, de estilo de vida ou algum outro tipo de pesquisa de acompanha-
mento, deverá manter, por razões legais, o armazenamento de dados e séries 
 
 
 
11 
históricas sem que haja explícita intenção de exploração ou de uso. Neste caso, 
a informação terá um valor de propriedade. 
O ponto principal é perceber a informação pertencendo a dois domínios (Van 
Wegen & De Hoog, 1996). No primeiro deles, ela deve atender às necessidades 
de uma pessoa ou de um grupo. Nesse caso, a disponibilização da informação 
deve satisfazer os seguintes requisitos: 
 ser enviada à pessoa ou ao grupo certos; 
 na hora certa e no local exato; 
 na forma correta. 
O segundo domínio é o da organização,que introduz questões a respeito da 
determinação do valor da informação. Neste contexto, o valor da informação está 
relacionado ao seu papel no processo decisório. A determinação do valor so-
mente do conteúdo parece um corolário natural do uso da informação como um 
insumo da tomada de decisão. Entretanto, ainda que a informação adquira seu 
valor a partir de seu papel na tomada de decisão, o produto informacional como 
um todo também agrega valor a outras atividades no processamento da informa-
ção. 
Cabe então uma questão: a informação possui um valor econômico? Ela terá 
valor econômico quando levar à satisfação dos desejos humanos. Uma pequena 
parcela da informação disponível constitui-se em produtos finais, ou seja, aque-
les que são consumidos diretamente pelas pessoas, cujo valor deriva-se da 
oferta e da procura. A porção majoritária, porém, cabe aos bens intermediários, 
que são aqueles que conduzem a outros bens e serviços. Neste caso, o valor 
estará diretamente relacionado ao dos bens e serviços que deles se utilizam 
(Dertouzos, 1997). 
Da mesma forma, a informação terá valor econômico para uma organização, se 
ela gerar lucros ou for alavancadora de vantagem competitiva. Cronin (1990) 
afirma que, de modo geral, a percepção de valor pode ser influenciada pelos 
seguintes fatores: 
 identificação de custos; 
 
 
 
12 
 entendimento da cadeia de uso; 
 incerteza associada ao retorno dos investimentos em informação; 
 dificuldade de se estabelecerem relações causais entre os insumos de 
informação e produtos específicos; 
 tradição de se tratar a informação como uma despesa geral; 
 diferentes expectativas e percepções dos usuários; 
 fracasso em reconhecer o potencial comercial e o significado da informa-
ção. 
 
O QUE É DETECÇÃO DE AMEAÇAS EM TEMPO REAL? 
 
A detecção de ameaças em tempo real aumenta a segurança da arquitetura, 
identificando qualquer atividade maliciosa que comprometa a infraestrutura de 
TI, a segurança do site e a confidencialidade dos dados. 
 
Mitigar ameaças requer detecção rápida para identificá-las e neutralizá-las de 
maneira adequada antes que os cibercriminosos explorem qualquer vulnerabili-
dade do sistema. As violações de sites podem prejudicar a confiabilidade da 
marca, comprometer dados pessoais de terceiros, interromper todo o sistema 
operacional e até mesmo gerar problemas jurídicos para a empresa. 
 
Portanto, o emprego de tecnologias inteligentes contra qualquer agente malici-
oso é fundamental. 
 
Os programas de segurança devem combater as ameaças conhecidas, o que 
significa que também devem saber como mitigá-las. 
 
Mas a eficácia atenuante é reduzida quando os hackers usam métodos ou tec-
nologias inteiramente novos, e a empresa tem apenas ferramentas desatualiza-
das ou procedimentos manuais para combatê-los. 
 
 
 
 
13 
Um sistema avançado de detecção de ameaças em tempo real monitora todas 
as atividades da rede, incluindo interceptação de tráfego de dados, testes contra 
invasões conhecidas e desconhecidas e determinação de como responder à 
ameaça. 
 
PORQUE A DETECÇÃO DE AMEAÇAS EM TEMPO REAL AU-
MENTA A SEGURANÇA DO SITE? 
 
A visibilidade em tempo real tem um papel crítico na estratégia de segurança 
das empresas. Especialmente diante da proliferação de dispositivos conectados, 
que tem tornado o perímetro cada vez mais tênue, com o ambiente se tornando 
ainda mais complexo, apenas a visibilidade permite às empresas combater ad-
versários cada vez mais sofisticados. 
Os ataques cibernéticos hoje vêm tanto de fora quanto de dentro da empresa, e 
a superfície de ataque continua a crescer com a migração de aplicações para a 
nuvem e a adoção da Internet das Coisas. Além disso, a integração de sistemas 
de negócio, TI e tecnologias operacionais está fazendo com que as empresas 
tenham de repensar radicalmente o modo como usam os recursos tecnológicos 
para transformar a efetividade e a eficiência das operações. 
Na medida em que a transformação digital cria novas oportunidades para 
as ameaças cibernéticas, é natural que a segurança digital se torne uma priori-
dade para os negócios, que precisam estar atentos aos pontos cegos que tornam 
os cenários ainda mais desafiadores para os profissionais de segurança da in-
formação. 
Neste contexto, como as empresas podem identificar todas as vulnerabilidades 
e agir de forma proativa para remediá-las? A resposta está na visibilidade total 
para o time de segurança. Isso significa que é preciso contar com monitoramento 
contínuo, com dados em tempo real das atividades relacionadas a ativos de alto 
valor, ou seja, os mais visados pelos hackers, como dados bancários ou de pro-
priedade intelectual. 
http://www.itforum365.com.br/beneficios-ocultos-dos-dispositivos-moveis-na-experiencia-do-cliente/
http://www.itforum365.com.br/ameacas-digitais-tres-maneiras-de-neutralizar-os-ataques-mais-comuns/
 
 
 
14 
Como os hackers vão sempre explorar o caminho mais fácil para invadir o perí-
metro e então vão se mover lateralmente pela organização, a visibilidade deve 
incluir todos os ativos gerenciados e não gerenciados (como shadow IT, siste-
mas legados e IoT) e todos os caminhos de comunicação associados. É preciso 
eliminar os pontos cegos para que as ameaças deixem de explorar esses meios. 
Além disso, a visibilidade dos processos e das atividades da rede é crítica para 
detectar violações de regras e políticas, bem como comportamentos suspeitos. 
Uma ferramenta de defesa importante nesse caso inclui os sistemas automati-
zados de detecção, que buscam ameaças de forma proativa e oferecem insights 
para investigar ou remediar ameaças para reduzir os danos nos casos de uma 
invasão, bloqueando a ação dos cibercriminosos antes que os dados sejam rou-
bados. 
Para isso, as soluções de segurança precisam ser implementadas para coletar 
os dados relevantes ao longo de todo o ambiente, garantindo o entendimento de 
cada comunicação em cada porta. Neste contexto, os algoritmos de machine le-
arning podem levar a estratégia além, permitindo antecipar as ações dos hackers 
e impedindo os movimentos laterais dos cibercriminosos dentro da rede. 
Outro aspecto importante da visibilidade em tempo real é a possibilidade de con-
tar com dados do que é considerado um “comportamento normal” dentro da em-
presa. Isso é fundamental especialmente na identificação de atividades anormais 
de algumas ameaças internas. 
Em suma, a visibilidade em tempo real é importante para transformar a estratégia 
de segurança, ajudando a deixar para trás uma postura reativa para adotar 
ações proativas para combater ameaças avançadas, fornecendo vantagens de-
cisivas no combate às ameaças cibernéticas. 
 
As empresas precisam lidar com o alto risco de ataques cibernéticos em seus 
processos de digitalização. Este cenário pode piorar quando os hackers aplicam 
Inteligência Artificial e aprendizado de máquina aos métodos de invasão. O se-
questro de um dispositivo inteligente pode ter consequências inimagináveis por 
http://www.itforum365.com.br/como-o-machine-learning-e-a-ia-podem-revolucionar-a-educacao/
http://www.itforum365.com.br/como-o-machine-learning-e-a-ia-podem-revolucionar-a-educacao/
 
 
 
15 
causa dos níveis de interconexão entre eles: imagine se um sistema de hospital 
baseado em IoT parasse? 
 
A mesma IA que protege um sistema operacional pode ser usada por bots mal-
intencionados para adaptar os estilos de escrita dos usuários ou seus tons de 
voz, como o Death by Captcha, que usa aprendizado de máquina e reconheci-
mento óptico para identificar e resolver enigmas de identidade. 
 
O Sentry MBA realiza testes automatizados de nomes de usuários e senhas em 
sites até ter uma tentativa de login bem-sucedida para acessar e controlar mi-
lhões de contas simultaneamente. 
 
É necessário responder igualmente à ameaça, usando Inteligência Artificial e 
aprendizado de máquinaem processos de defesa, informações de tráfego e aná-
lise de dados. Os cientistas de dados da ZeroFOX Inc. construíram uma rede 
neural para analisar dados críticos e mitigar ataques de phishing por meio da 
mídia social. 
 
No entanto, de acordo com a pesquisa da PwC - Estado Global de Segurança 
da Informação (GSISS), o alto potencial da automação e dos botnets pode influ-
enciar os ataques cibernéticos dos próximos anos. Por isso, em maio de 2017, 
os líderes do G-7 e do G-20 reforçaram a urgência pela cibersegurança, aumen-
tando a confiança nas tecnologias digitais. 
 
Apesar de saber disso, a maioria dos gerentes permanece despreparada. De 
acordo com a pesquisa da PwC, 44% não possui uma estratégia de segurança e 
mais da metade (54%) não possui solução para responder aos incidentes de 
segurança. 
 
Aplicando o aprendizado de máquina à análise gráfica de dados, identificando 
padrões, comportamento incomum ou outras atividades, eles podem resolver 
essa situação. Mas a solução também deve classificar o nível de riscos e amea-
ças e ajustar os métodos de segurança com base nas novas informações. 
 
 
 
 
16 
Com a Inteligência Artificial, as máquinas podem realizar coleta automatizada de 
dados e análise de processos. Isso preenche a lacuna deixada pela escassez 
de profissionais especializados em segurança cibernética. 
 
Mas os desafios são enormes, pois a mesma tecnologia é aplicada legal e ile-
galmente. É apenas uma questão de tempo até que os hackers criem ataques 
novos e mais avançados. 
 
COMO FUNCIONA A DETECÇÃO DE AMEAÇAS EM TEMPO 
REAL? 
 
 
O sistema de segurança pode detectar facilmente ameaças conhecidas e as so-
luções de detecção de ameaças em tempo real podem mapear ameaças de in-
fraestrutura conhecidas e desconhecidas. Eles trabalham aproveitando a inteli-
gência de ameaças, configurando armadilhas de intrusão, examinando dados de 
assinatura de ataques anteriores e comparando-os com esforços de intrusão em 
tempo real. 
 
Ao comparar o comportamento do usuário e do hacker - quando e onde diferen-
tes tipos de arquivos foram acessados - é possível distinguir as atividades nor-
mais das maliciosas. Dessa forma, as ferramentas de detecção de ameaças em 
tempo real usam processos analíticos para varrer grandes conjuntos de dados e 
compará-los para encontrar ameaças potenciais de anomalias. 
 
Softwares como CMSs, hardware ou Endpoints podem integrar soluções de de-
tecção de ameaças em tempo real. O uso dessa tecnologia permite monitorar 
todo o sistema, identificar riscos de segurança, como malware ou ransomware, 
bloquear ameaças e alertar usuários sobre o uso não autorizado da infraestru-
tura. 
 
 
 
 
 
17 
MANEIRAS IMPORTANTES DAS EMPRESAS SE PROTEGEREM 
DE ATAQUE CIBERNÉTICOS 
 
 
Aqui estão alguns processos e tecnologias importantes que as empresas devem 
implantar e otimizar para se proteger contra ameaças online. 
 Treinamento de seus colaboradores –Conscientizar os seus colabora-
dores deve ser sua primeira ação contra ameaças de segurança online. 
Treinar seu time para estar ciente das ameaças comuns ajudará sua em-
presa a evitá-las. 
 Políticas de senha fortes – Uma quantidade surpreendente de hackers 
obtém acesso a dados confidenciais empregando programas que geram 
combinações de letras, números e símbolos até determinarem qual é sua 
senha - para senhas simples, pode ser uma questão de minutos. Uma 
política de senha forte pode evitar isso. 
 Controle de acesso – As equipes de cibersegurança devem fornecer 
acesso a apenas a determinados usuários - por exemplo, o RH deve pre-
cisar de aprovação especial para acessar registros financeiros da em-
presa. Isso reduzirá a quantidade de dados que podem ser acessados 
durante uma única violação. 
 Firewalls – Um firewall fornece uma barreira que impede a propagação 
de malware e outras comunicações indesejadas entre dispositivos. Ele 
sinaliza ou bloqueia conteúdo suspeito ao filtrar todas as comunicações 
de rede que tentam entrar em seu dispositivo. 
 Detecção e Resposta de Endpoint (EDR) – O software de segurança 
geralmente se refere a soluções antimalware aprimoradas com algoritmos 
de machine learning que detectam e removem códigos maliciosos. Pode 
ser uma solução ampla que cobre muitos tipos diferentes de malware e 
ransomware, ou pode se concentrar na detecção e remoção de spyware, 
vírus, botnets e ameaças semelhantes. 
https://www.softwareone.com/pt-br/solucoes/seguranca-gerenciada/cybersecurity-user-awareness
https://www.softwareone.com/pt-br/solucoes/seguranca-gerenciada/cybersecurity-user-awareness
 
 
 
18 
 Monitoramento – As soluções de monitoramento ajudam sua equipe de 
TI a ficar atenta quando uma atividade estranha ou perigosa está ocor-
rendo em sua rede. Por exemplo, se um funcionário mora no país A e 
parece estar trabalhando no país B, algo suspeito pode estar aconte-
cendo. 
 IDS/IPS – Esses dois complementam o trabalho do firewall. O IDS identi-
fica todo e qualquer tipo de atividade estranha, incomum na rede. Por 
exemplo: um download excessivo de arquivos, após fazer isso ele manda 
essa informação de alerta para IPS que vai tomar as ações de bloqueio 
dos Ips que está fazendo esse tipo de download excessivo. 
 
 Webfilter – Nem todos ataques são externos, na verdade, existem muitos 
ataques que vem de dentro da sua rede. A função do webfilter é proteger 
quem está dentro da sua rede: os computadores, usuários com acesso 
liberado para mexer dentro da sua rede. Eles podem trazer vulnerabilida-
des para os ataques. 
O webfilter faz o gerenciamento do que pode ou não pode ser acessado 
pelas suas máquinas, ou usuários que são parte da sua rede. Com essa 
ferramenta você pode aplicar a política de segurança para os colaborado-
res, como os sites que podem ou não ser acessados. 
 VPN e Voucher – Além dos usuários que estão conectados a sua rede 
no espaço físico, muitas empresas têm o acesso remoto, o diretor que 
acessa os dados da empresa através do seu notebook em casa, aces-
sando dados e fazendo transações na empresa. 
Para que esse acesso seja seguro faz-se necessário a criação da VPN, 
que é basicamente um túnel seguro entre o usuário de fora autorizado a 
acessar o que tem na rede. 
 
https://blog.starti.com.br/ids-ips/
https://blog.starti.com.br/web-filter/
https://blog.starti.com.br/vpn/
 
 
 
19 
É importante a utilização dessa ferramenta para o monitoramento dos vi-
sitantes da rede, pessoas que irão participar de uma reunião ou alguma 
conferência e para usuários que acessam a rede wifi, se for o caso da 
empresa ter o mesmo liberado para acesso. 
 Antivírus – Alguns ataques são tipos de softwares que se instalam nas 
máquinas dos usuários da rede, para coletar dados. O antivírus é um sof-
tware bem mais poderoso que esses ataques, que inibe que eles aconte-
çam. A função do antivírus é proteger a sua máquina, o usuário especí-
fico. 
 Backup de dados – Caso der tudo errado, você pode ser salvo 
por backups regulares. Agentes mal-intencionados muitas vezes blo-
queiam ou excluem dados - com backups de dados consistentes, você 
pode rapidamente voltar aos negócios com perda mínima de dados. 
Embora existam outras medidas e ferramentas de segurança disponíveis para 
as organizações, esta lista descreve as formas mais comuns para se proteger 
de ameaças de cibersegurnça. 
https://blog.starti.com.br/antivirus-x-firewall/
https://www.softwareone.com/pt-br/blog/artigos/2019/07/18/how-to-decide-for-a-data-backup-provider
 
 
 
20 
A IMPORTÂNCIA DA CIÊNCIA DE DADOS 
 
 
O gráfico da imagem a seguir, Figura 1, reproduzido no site da ITGI, ilustra al-
guns segmentos envolvidos com o tema de Ciência de Dados: 
 
Figura 1: Ciência de dados 
 
Fonte: Google 
 
Percebe-se então a importância da ciência de dados perante a segurança das 
informações. Ou seja, antes de prever ou prover a segurança dos dados e infor-mações de negócio, deve-se antes entender, interpretar, decifrar, o que tais da-
 
 
 
21 
dos representam naquele dado instante ou num universo de análise diário, se-
manal, mensal, ou conforme a sazonalidade que se espera e precisa para to-
mada de uma decisão. 
 
A visão é bem pragmática no ciclo de vida dos dados, desde os primórdios de 
Von Neumann, ou seja: input → process → output. 
 
Resumindo: se existe risco quanto a integridade e confidencialidade dos dados 
já na inserção, a tomada de decisão será também comprometida: o que será 
fatal ao negócio lá na ponta. O fato é que a maioria dos profissionais de segu-
rança já estão usando ferramentas baseadas em aprendizado de máquina para 
operações de segurança. 
 
 
PADRÃO DE COMPORTAMENTO 
 
 
O dicionário de Collin define “padrão de comportamento” como uma forma recor-
rente de agir por um indivíduo ou grupo em relação a um determinado objeto ou 
em uma determinada situação. A análise e a compreensão dos padrões de com-
portamento dos indivíduos provaram fornecer soluções aprofundadas para pro-
blemas em diferentes esferas da vida, incluindo a segurança cibernética. 
 
Quando se trata de organizações que lutam contra ameaças cibernéticas, as 
soluções de segurança tradicionais baseadas em regras não podem fornecer 
visibilidade de ataques cibernéticos cada vez mais sofisticados. Vemos esse pa-
drão em violações bem-sucedidas que ocorrem diariamente. Além disso, no pro-
cesso de detecção e remediação rápidas de ameaças à segurança, as ferramen-
tas de segurança tradicionais tendem a sobrecarregar os analistas de segurança 
com alertas sem contexto. 
 
É aqui que a análise de comportamento de usuário e entidade (UEBA) oferece 
uma solução mais eficiente. Uma solução UEBA orquestra análises avançadas 
 
 
 
22 
por meio de enriquecimento de dados, ciência de dados e aprendizado de má-
quina para combater ameaças avançadas. Por meio desse processo, a UEBA 
produz um menor volume de alertas mais precisos e reduz o número de falsos 
positivos. Incorporar análises de comportamento em sua solução SIEM ajuda a 
lidar com o cenário de ameaças de segurança anormais e avançadas, junta-
mente com a detecção de ameaças tradicional baseada em regras. 
 
Diferenciando comportamentos normais e maliciosos 
 
Não é segredo que as ameaças internas são uma das muitas fontes de perda de 
dados confidenciais. Aqui, o agente da ameaça é um insider mal-intencionado 
ou comprometido. Detectar ameaças internas pode ser desafiador, pois a maio-
ria das ferramentas de segurança não consegue diferenciar um usuário legítimo 
de um ator de ameaça potencial. 
Nesse caso, uma solução UEBA detecta usuários executando atividades suspei-
tas que estão fora de sua linha de base normal. A análise do comportamento 
leva em consideração o histórico de um usuário específico e detecta atividades 
anormais como: 
 
 Logins em horas incomuns, em frequências incomuns, de locais incomuns 
e acessando dados ou sistemas incomuns, como servidores SQL 
 Mudanças de escalonamento de privilégios para sistemas críticos 
 Acesso não autorizado a contas de usuário 
 
A exfiltração de dados tenta correlacionar eventos aparentemente não relacio-
nados, como fazer login em um momento incomum, acessar um banco de dados 
do servidor SQL e inserir uma unidade USB. 
 
Detectando ativos comprometidos com rapidez e precisão 
 
Quando se trata de ataques cibernéticos, alguns dos ativos inicialmente visados 
incluem sistemas, hosts, contas ou dispositivos. Agentes de ameaças mal-inten-
cionados podem operar sem serem detectados na rede da sua organização por 
 
 
 
23 
semanas ou até meses. Usando a análise de comportamento, a detecção de 
ameaças à segurança, como dispositivos comprometidos, torna-se mais fácil, 
mais precisa e muito mais rápida. 
 
Nesse caso, a solução UEBA detecta atividades anômalas monitorando o com-
portamento das entidades em sua organização. A solução monitora: 
 Contas de usuário privilegiadas para comprometimento 
 Servidores para atividades que se desviam da linha de base normal 
 Comportamento anômalo em tempo real, como aumento do tráfego em 
dispositivos de rede, incluindo dispositivos Windows, roteadores e fire-
walls 
 
Detectando tentativas de exfiltração de dados 
 
A exfiltração de dados ocorre quando dados confidenciais são transferidos para 
fora da organização sem autorização. Isso pode acontecer quando um usuário 
mal-intencionado transfere dados copiando o conteúdo para um dispositivo físico 
ou pela Internet. Também pode ocorrer por meio de infecções por malware nos 
sistemas da sua organização. 
 
Nesse caso, a solução UEBA monitora dispositivos de rede, detecta e fornece 
alertas em tempo real para eventos suspeitos, com: 
 
 Instalações incomuns de software em dispositivos específicos 
 Downloads incomuns ou acesso a dados confidenciais 
 Quantidades incomuns de tráfego de rede que podem ser uma indicação 
de grande transferência de dados, contradizendo a linha de base normal 
do usuário ou da máquina que está transferindo os dados 
 
Como os ataques de hoje se tornam cada vez mais sofisticados e as ameaças à 
segurança emanam tanto de fora quanto de dentro da rede, sua organização 
precisa de uma solução de segurança que seja especializada em detectar e mi-
tigar ameaças incomuns. Uma solução UEBA pode se adaptar ao ambiente de 
 
 
 
24 
sua organização rapidamente, aprendendo e analisando o comportamento de 
seus usuários e entidades, e alertá-lo sobre atividades anômalas que se desviam 
da norma. Ele também ajuda você a se preparar para ameaças incomuns de 
usuários internos e externos mal-intencionados. 
 
Se você estiver interessado em aprender mais sobre análise de comportamento 
e aprendizado de máquina no SIEM, junte-se a nós nesta série de webinar de 
dois dias em que mergulharemos profundamente no mundo do aprendizado de 
máquina e exploraremos alguns exemplos reais de mitigação de ameaças ciber-
néticas, como comprometimento de conta, insider ameaças, violações de dados 
e muito mais. 
 
 
INTELIGÊNCIA NA DETECÇÃO DE AMEAÇAS 
 
De forma a fazer um bom uso da inteligência, uma organização deve ter amplo 
conhecimento de si mesma, métodos, processos e tecnologias que utiliza, bem 
como dos ataques e atacantes a que pode estar sujeita. 
 
Primeiramente a organização deve saber quais atores são uma ameaça para 
ela, considerando a capacidade, oportunidade e intenção dos mesmos. 
 
Como segundo passo deve-se avaliar como as ameaças operam e qual seria o 
objetivo de cada tipo de ameaça. Por exemplo, visa-se tirar os sistemas da or-
ganização por um determinado tempo do ar ou então roubar seus dados. 
 
Após a identificação das ameaças, deve-se considerar qual o risco da organiza-
ção ser alvo de cada uma delas através da probabilidade x impacto. E por fim, 
avaliar quais seriam as melhores formas de prevenção, detecção e resposta das 
ameaças de maneira oportuna e proativa. Como forma de auxiliar a organização 
na identificação das ameaças utiliza-se a “Piramid of Pain”. 
 
 
 
 
25 
Ela identifica as ameaças da mais baixa para a mais alta, sendo que para as 
mais simples as organizações devem estar preparadas, e o grande risco de gran-
des danos estão nas ameaças próximas ao topo. Do primeiro ao quarto degrau 
tem-se os ataques mais simples e fáceis de resolver e identificar. No primeiro 
degrau estão problemas que podem ser identificados geralmente por antivírus e 
firewalls e consistem usualmente em portas abertas ou arquivos infectados. 
 
No segundo degrau já temos ameaças que podem ser barrados por uma defesa 
ativa, tal como avisos por e-mail ao acessar alguma conta em local desconhe-
cido. No terceiro degrau podem ser executados ataques, por exemplo, de mu-
dança de registros DNS na máquina de usuário para acesso de páginas falsas 
como se fossem as reais. O quartodegrau causa mais irritação que real dano, 
sendo reservado a alguns problemas externos de infraestrutura. 
 
Figura 2: Piramid of Pain 
 
 
 
Fonte: https://gblogs.cisco.com/ca/2020/08/26/the-canadian-bacon-cisco-security-and-
the-pyramid-of-pain/ 
 
A partir do quinto degrau, as ameaças tornam-se mais desafiadores, tanto para 
o atacante em já ter se infiltrado e passado pelos outros degraus sem ter sido 
detectado, quanto para a organização que pode ter grandes danos. No quinto 
degrau tem-se a infraestrutura interna, enquanto que no sexto e último degrau 
tem-se todos os sistemas e controles da organização. 
https://gblogs.cisco.com/ca/2020/08/26/the-canadian-bacon-cisco-security-and-the-pyramid-of-pain/
https://gblogs.cisco.com/ca/2020/08/26/the-canadian-bacon-cisco-security-and-the-pyramid-of-pain/
 
 
 
26 
 
Pode-se visualizar então, que tanto a organização quanto o atacante têm longas 
etapas a percorrer de forma a obter acessos expressivos. Apresentamos então, 
a forma como o autor de uma ameça opera, desde seu reconhecimento até seu 
objetivo final através da Cyber Kill Chain, que é definida como uma cadeia de 7 
etapas para se realizar um ataque. 
 
A primeira etapa consiste no reconhecimento e coleta de informações sobre o 
alvo, sendo que nessa etapa é utilizado de varredura de servidores abertos, en-
genharia social, coleta de endereços de e-mail e pesquisa dos respectivos perfis 
em redes sociais. 
 
A segunda etapa tem por objetivo encontrar a ameaça certa para atingir o alvo, 
um malware que possa comprometer a rede, por exemplo. 
 
 
Afigura abaixo, ilustra a ideia do Cyber Kill Chain. 
 
Figura 3: Cyber Kill Chain 
 
 
Fonte: https://www.netsurion.com/articles/eventtracker-enterprise-and-the-cyber-kill-
chain 
 
https://www.netsurion.com/articles/eventtracker-enterprise-and-the-cyber-kill-chain
https://www.netsurion.com/articles/eventtracker-enterprise-and-the-cyber-kill-chain
 
 
 
27 
A terceira etapa consiste em entregar a ameaça para a vítima, sendo que pode 
ser feito de diversas formas: por e-mail, pen drive, web, entre outros. Posterior-
mente, a quarta etapa consiste na exploração, ou seja, utilizar alguma vulnera-
bilidade no sistema de destino de forma a executar ou instalar o software malici-
oso, sendo essa a quinta etapa. 
 
Por fim, na sexta etapa o alvo é totalmente comprometido, de forma que o ata-
cante possa atingir o objetivo planejado na sétima e última etapa. 
 
 
 
CONSIDERAÇÕES FINAIS 
 
Um estudo da Webroot, de dezembro de 2017, descobriu que 88% dos progra-
mas de segurança cibernética têm algumas soluções baseadas em inteligência 
artificial (mais comumente para detecção de malware), detecção de IP spoofing 
e pharming. Porém, 69% dos entrevistados acham que essas soluções não são 
totalmente confiáveis e 91% expressaram intenção de aumentar seus investi-
mentos em soluções de segurança baseadas em IA nos próximos três anos. Em 
suma, é impossível descartar ou desprezar a força que a ciência dos dados nos 
revela, cada vez mais, neste contexto de cyber segurança com inteligência, uma 
vez que ela (Ciência dos dados) é: 
 Um processo de tomada de decisão; 
 Um conceito para unificar estatísticas, análise de dados e seus métodos 
relacionados; 
 O processamento e o uso de ferramentas para extrair informações a partir 
dos dados; 
 Uma prática que apoia a gestão do conhecimento; 
 Significa entender e analisar fenômenos reais a partir de dados; 
https://www-cdn.webroot.com/8115/1302/6957/Webroot_QTT_Survey_Executive_Summary_December_2017.pdf
 
 
 
28 
 Observação, captura, curadoria, estudo, compartilhamento, retenção, 
transmissão e visualização de grandes volumes de dados. 
“Um quarto paradigma da ciência (empírica, teórica, computacional e agora ori-
entada por dados). Tudo sobre a ciência está mudando devido ao impacto da 
tecnologia da informação e o dilúvio de dados.” – Jim Gray, vencedor do prêmio 
Turing de 1998. 
 
Enfim: use a ciência de dados e aprendizado de máquina para reduzir a fadiga 
de alerta de seu centro de operações em segurança ou detecção de ameaças. 
A adoção de inteligência de ameaças com aprendizado de máquina está em as-
censão – e com boa razão – mas não sem levantar algumas preocupações. 
 
Na verdade, é muito comum as empresas serem alvo de ameaças à cibersegu-
rança - portanto, as empresas devem fazer tudo o que puderem para prevenir, 
detectar e/ou eliminar as ameaças antes que se tornem um ataque em grande 
escala. A melhor maneira de se manter à frente dos riscos e ameaças aos ne-
gócios é treinar toda a sua equipe em conscientização sobre segurança ciberné-
tica, aproveitar o software que pode detectar ou eliminar ameaças e implementar 
soluções de backup para seus dados mais importantes. Ao seguir essas etapas, 
sua organização será capaz de desviar a maioria das ameaças de segurança 
cibernética. 
 
 
 
 
 
 
 
 
 
29 
REFERÊNCIAS 
 
Carvalho, P. S. M. D. A defesa cibernética e as infraestruturas críticas naci-
onais. Coleção Meira Mattos-Revistadas Ciências Militares. 2011. 
 
 
CRONIN, Blaise. Esquemas conceituais e estratégicos para a gerência da infor-
maçăo. Revista da Escola de Biblioteconomia da UFMG, v. 19, n. 2, p. 195-
220, Set 1990. 
 
 
DERTOUZOS, Michael L. O que será? como o mundo da informação transfor-
mará nossas vidas. Săo Paulo: Companhia das Letras, 1997. 
 
 
FERNANDES, Mirian. Tudo sobre Segurança Cibernética. Maio 2021. Dispo-
nível em: < https://blog.starti.com.br/author/mirian-fernandes/>. Acesso em 10 
agosto de 2021. 
 
 
SETHUNATHAN, Bela. Maneiras importantes de se proteger contra ata-
ques cibernéticos.SoftwareOne. 24 de Março 2021. Disponível em:< 
https://www.softwareone.com/pt-br/blog/artigos/2021/03/15/porque-escolher-
pentest>. Acesso em: 10 de agosto de 2021. 
 
 
_________.A inteligência das ameaças cibernéticas envolvendo a segu-
rança em Machine Learning e a ciência dos dados. Cedro Technologies . 
Disponível em:< http://blog.cedrotech.com/inteligencia-das-ameacas-ciberneti-
cas-envolvendo-seguranca-em-machine-learning-e-ciencia-dos-dados>. 
Acesso em: 10 de agosto de 2021. 
 
 
KLINCZAK1. Marjori. Uso da Inteligência na Detecção de Ameaças Ciberné-
ticas. The Eleventh International Conference on FORENSIC COMPUTER SCI-
ENCE and CYBER LAW . DOI: 10.5769/C2019002 or 
http://dx.doi.org/10.5769/C2019002São Paulo – novembro 2019. Disponível 
em:< http://icofcs.org/2019/ICoFCS2019-002.pdf>. Acesso em 10 de agosto de 
2021. 
 
VAN WEGEN, Bert & DE HOOG, Robert. Measuring the economic value of infor-
mation systems. Journal of Information Technology, v. 11, n. 3, p. 247-260, 
Sept 1996. 
https://blog.starti.com.br/author/mirian-fernandes/
https://www.softwareone.com/pt-br/blog/artigos/2021/03/15/porque-escolher-pentest
https://www.softwareone.com/pt-br/blog/artigos/2021/03/15/porque-escolher-pentest
http://blog.cedrotech.com/inteligencia-das-ameacas-ciberneticas-envolvendo-seguranca-em-machine-learning-e-ciencia-dos-dados
http://blog.cedrotech.com/inteligencia-das-ameacas-ciberneticas-envolvendo-seguranca-em-machine-learning-e-ciencia-dos-dados
http://icofcs.org/2019/ICoFCS2019-002.pdf