Módulo 4 Módulo 4 - Componentes e Ferramentas

Prévia do material em texto

Componentes de rede para segurança organizacionalFerramenta externa
Firewall
Um firewall funciona como um filtro de tráfego para dados que entram e saem de um host ou rede, e pode ser configurado para controlar o fluxo de tráfego. Uma organização pode implementar configurações de firewall para evitar que certos tipos de tráfego saiam de um host ou da rede e para permitir apenas tipos específicos de tráfego na rede.
Firewalls têm regras de "permitir" e "negar". Quando implementadas corretamente, essas regras podem proteger uma rede e hosts individuais de hackers. Os administradores normalmente implementam regras de firewall para evitar que funcionários desinformados visitem sites maliciosos e baixem arquivos nocivos.
A maioria dos firewalls tem recursos básicos de filtragem de dados. Firewalls sofisticados são capazes de mais do que filtragem básica de dados; eles são projetados para filtrar conteúdo em um nível avançado.
ACL
Listas de Controle de Acesso (em inglês, Access List Control – ACL) são regras de firewall e roteador que podem controlar o tráfego que entra e sai de uma rede. Eles funcionam como filtros de tráfego. Os roteadores controlam o tráfego de entrada e saída com base nas regras ACL, que fornecem filtragem com base em protocolos, endereços IP e portas.
Os administradores podem adicionar regras em uma ACL que bloqueia o tráfego de endereços IP específicos para evitar que pacotes de computadores com esses endereços IP acessem a rede. Também é possível controlar o fluxo de tráfego entre as sub-redes usando IDs de sub-rede.
O tráfego de entrada e saída também pode ser bloqueado com base nas portas adicionando regras para números de porta específicos, como a porta Telnet 23 ou a HTTP 80. Os administradores também podem permitir o tráfego de saída para uma determinada porta e bloquear o tráfego de entrada da mesma porta.
As regras ACL também podem ser adicionadas para alguns protocolos, especificando seus números. Por exemplo, um administrador pode adicionar uma regra para permitir apenas dados criptografados usando o protocolo 50, que é o número do ESP IPsec. Algumas organizações também restringem o tráfego da porta 1, que o ICMP usa. O ICMP é vulnerável a ataques DoS.
Baseado em aplicativo x baseado em rede
Normalmente, um firewall baseado em aplicativo é composto por software operando em um sistema, enquanto um firewall baseado em rede é um dispositivo com software de firewall para controlar e registrar o tráfego que passa por ele.
Um firewall baseado em rede é geralmente um dispositivo dedicado baseado em hardware ou software. Alguns dos firewalls baseados em rede da Cisco são servidores que funcionam exclusivamente como firewalls. Esses servidores de firewall possuem software proprietário em execução.
Os firewalls baseados em rede têm pelo menos duas NICs instaladas. Um firewall baseado em rede configurado corretamente pode garantir que apenas o tráfego autorizado por uma organização possa passar pelo firewall. As organizações normalmente têm no mínimo um firewall baseado em rede posicionado entre sua rede interna e a internet.
Stateful vs. stateless
Firewalls sem estado funcionam como dispositivos básicos de filtragem de tráfego; eles operam com base em regras de permissão e negação em uma ACL. Firewalls com estado têm a capacidade de examinar o tráfego e bloquear pacotes de dados de acordo com o estado dos pacotes em uma sessão de comunicação.
Um firewall stateful monitora as sessões estabelecidas e interrompe os pacotes de dados que identifica como não pertencentes a uma sessão estabelecida.
É importante garantir que os firewalls sem estado estejam configurados corretamente. Se uma regra de negação implícita não for implementada na ACL, o firewall pode permitir a passagem de quase todo o tráfego.
Negação implícita
Firewalls and routers use implicit deny rules. In the context of ACLs, implicit deny means that traffic that is not explicitly permitted is implicitly denied. This rule is applied last in an ACL. Some firewalls are programmed to automatically apply the implicit deny rule last. With other firewalls, the administrator needs to manually position this rule at the end of the list of ACL rules.
 Concentrador VPN
Uma Rede Privada Virtual (em inglês, Virtual Private Network – VPN) permite o acesso remoto a uma rede privada por meio de uma rede pública. Um concentrador de VPN é um dispositivo usado exclusivamente para VPNs.
Grandes organizações oferecem suporte a muitos clientes VPN e não podem gerenciar com uma VPN criada usando serviços de habilitação de VPN em um servidor. Eles precisam de concentradores de VPN, que são dispositivos capazes de criar VPNs seguras usando criptografia robusta e métodos de verificação, e são capazes de oferecer suporte a vários clientes.
Um concentrador de VPN é geralmente colocado na DMZ para receber o tráfego do firewall posicionado entre a DMZ e a internet, e para encaminhar o tráfego VPN para o firewall localizado entre a DMZ e a intranet da organização.
Acesso remoto x site a site
Uma conexão VPN de acesso remoto permite que um usuário se conecte com segurança a uma rede privada de um ponto remoto usando um dispositivo conectado à internet.
Uma VPN site a site permite que duas ou mais LANs em locais diferentes estabeleçam conexões seguras entre si por meio da internet. As organizações usam VPNs site a site para permitir que filiais em diferentes locais obtenham acesso seguro à intranet da empresa usando a internet.
Em uma conexão VPN de acesso remoto, o usuário precisa executar certas etapas para se conectar ao servidor VPN. Em uma conexão site a site, os usuários não precisam realizar nenhum procedimento para se conectar à rede do escritório principal da empresa. Os usuários em filiais podem estabelecer facilmente uma conexão segura com a sede.
IPSec
O Protocolo de Segurança da Internet (IPsec) é um protocolo seguro que fornece criptografia para o tráfego IP, embora nativo para IPv6, é compatível com IPv4 e também com o modo de túnel e o modo de transporte.
Modo túnel
O IPsec usa o modo de túnel para criptografar o tráfego VPN enviado pela internet. O IPsec criptografa o pacote IP completo usado na rede local. Mesmo que os invasores interceptem o tráfego, eles não conseguirão ver o endereçamento IP interno porque ele está criptografado.
Modo de transporte
Nesse modo, apenas a carga útil é criptografada (os dados). O modo de transporte não é usado para VPNs. Ele pode ser usado em redes privadas.
AH
O IPsec usa um Cabeçalho de Autenticação (em inglês, Authentication Header – AH) para fornecer autenticação. E permite que os hosts na sessão de comunicação IPsec façam autenticação antes de iniciar uma conversa. AH é um dos dois fatores principais do IPsec. O número de identificação do protocolo de AH é 51.
ESP
O IPsec usa o protocolo Encapsulating Security Payload (ESP) para criptografar o tráfego e proteger a privacidade. O ESP inclui AH, e o número de identificação do protocolo para ESP é 50. Os filtros de dados são capazes de identificar pacotes ESP e AH com base em seus números de protocolo.
Túnel dividido x túnel completo
O Transport Layer Security (TLS) é usado por alguns protocolos de tunelamento para proteger o canal VPN. Os administradores às vezes usam o TLS para criar um canal seguro se não for possível usar o IPsec. Existem aplicativos de código aberto, como OpenConnect e Open VPN, que podem ser usados para criar um canal seguro usando TLS.
O TLS é preferível ao SSL porque o SSL tem vulnerabilidades.
TLS
O Transport Layer Security (TLS) é usado por alguns protocolos de tunelamento para proteger o canal VPN. Os administradores às vezes usam o TLS para criar um canal seguro se não for possível usar o IPsec. Existem aplicativos de código aberto, como OpenConnect e Open VPN, podem ser usados ​​para criar um canal seguro usando TLS. O TLS é preferível ao SSL porque o SSL tem vulnerabilidades.
VPN sempre ativa
Permite que um cliente externo obtenha acesso seguro à internet quando seu dispositivo não estiver em uma rede confiável. Isso protegeos recursos da empresa contra ameaças. VPNs sempre ativadas são compatíveis com VPNs de acesso remoto e VPNs site a site.
Com uma VPN site a site sempre ativa, a conexão VPN é mantida por dois gateways VPN. No caso de VPNs site a site sem VPN sempre ativa, uma conexão VPN geralmente é estabelecida sob demanda.
Muitos fornecedores oferecem VPNs sempre ativas em VPNs de acesso remoto. Por exemplo, um telefone celular com capacidade sempre ativa pode ser configurado para conectar-se automaticamente à VPN sempre ativa sempre que o usuário quiser acessar uma rede pública.
NIPS/NIDS
Um sistema de detecção de intrusão baseado em rede (NIDS) controla o tráfego da rede. Um NIDS é capaz de detectar padrões de tráfego incomuns na rede. Ele pode monitorar e examinar pacotes de dados não criptografados na rede e detectar uma intrusão. Um NIDS não possui recursos de descriptografia.
Os sensores NIDS podem ser instalados em roteadores e firewalls para coletar e monitorar dados. Esses sensores são monitorados por um servidor central que hospeda um console NIDS.
Baseado em assinatura
A detecção baseada em assinatura é um dos principais métodos de detecção. Esse método detecta ameaças com base em assinaturas. Os IDSs baseados em assinatura ou definição usam um banco de dados de vulnerabilidades documentadas e padrões de ameaças. Tal como acontece com o software antivírus, as assinaturas IDS precisam ser atualizadas regularmente.
Heurística/comportamental/anomalia
Também conhecida como detecção baseada em anomalias, a detecção baseada em heurística/comportamento é um processo de detecção de comportamento incomum na rede. O processo começa determinando o comportamento normal da rede com base em uma linha de base de desempenho que ela define em condições normais.
Usando esse método, o NIDS compara continuamente a atividade de rede atual com a linha de base de desempenho. Quando uma atividade anômala é detectada, o NIDS gera um alerta.
Inline x passivo/in-band x out-of-band
Um sistema de prevenção de intrusão (IPS) é capaz de detectar, responder e obstruir ataques. Um Network Intrusion Prevention System (NIPS) pode detectar, responder e prevenir ataques à rede. Por outro lado, um IDS ou NIDS não previne ataques.
Um IPS ou NIPS possui capacidade inline ou in-band. Isso significa que todos os pacotes de dados trafegam por um IPS e qualquer tráfego identificado como malicioso pode ser bloqueado. Em contraste, um IDS ou NIDS não tem tráfego passando por ele. O sistema monitora o tráfego da rede, coleta dados e gera alertas quando necessário. Isso também é conhecido como passivo ou fora de banda.
As notificações ou alertas de IDS podem ser na forma de mensagens, janelas pop-up, e-mails para administradores ou alertas centrais.
Existem alguns IDSs que são capazes de responder a uma intrusão após sua ocorrência. Por exemplo, um IDS com recursos avançados pode ser capaz de redirecionar uma intrusão para um honeypot ou outro ambiente seguro ou reconfigurar um ACL de firewall para impedir que dados maliciosos prossigam.
Regras
Um IDS ou NIDS gera relatórios de eventos de acordo com regras. Os administradores definem regras de IDS com base nos requisitos de negócios e na política de segurança de uma organização. Todos os eventos podem não ser problemas ou ataques sérios, mas uma causa para investigação, como um alerta. Em alguns IDSs, alertas e alarmes são considerados iguais, enquanto em outros IDSs um alarme sinaliza algo potencialmente grave e um alerta é indicativo de um evento relativamente menos sério. Os administradores devem investigar todos os eventos gerados nos relatórios do IDS.
Analytics
IDSs analisam o tráfego usando análises. Esse método pode gerar falsos positivos e negativos.
Falso positive
É um alarme ou alerta gerado para um evento inofensivo.
Falso negativo
É quando um ataque não é detectado pelo IDS ou NIDS e o sistema não o relata.
Os administradores configuram os IDSs para gerar alertas assim que um evento cruzar um limite especificado. Eles definem o limite para um número específico. Se esse número for muito baixo, o IDS vai gerar alarmes ou alertas para eventos relativamente inofensivos, resultando em muitos falsos positivos. Se o número for muito alto, o IDS não vai relatar eventos e ataques sérios, resultando em falsos negativos. Os administradores precisam definir um número limite efetivo com base na atividade em diferentes redes e nas necessidades e políticas organizacionais.
Roteador
Um roteador conecta diferentes segmentos de rede e roteia o tráfego entre os segmentos.
ACLs
Os roteadores identificam se o tráfego deve ser permitido ou negado com base em regras, também chamadas de ACLs. Conforme mostramos anteriormente, as ACLs também são implementadas em firewalls.
As regras ACL permitem que os roteadores controlem o tráfego de entrada e saída.
Antispoofing 
Um invasor pode falsificar um endereço IP de origem substituindo o endereço IP real por outro. O objetivo é ocultar a origem dos dados maliciosos.
O antispoofing pode ser implementado em roteadores. O administrador pode modificar as regras ACL para permitir ou bloquear endereços IP específicos. Os endereços IP privados usados em redes públicas, como a internet, não devem ser permitidos. O tráfego da internet usando um endereço IP privado como endereço IP de origem é suspeito. Isso indica que um invasor falsificou um endereço IP de origem.
Switch
Um switch possui várias portas, cada uma delas com um ou mais computadores conectados a ela. Os switches criam conexões internas quando dois computadores conectados a ele se comunicam.
Quando um switch recebe um pacote, ele registra o endereço MAC com o número da porta do computador que enviou o pacote.
O tráfego Unicast é comutado internamente entre as portas específicas. O tráfego de broadcast é transmitido para todas as portas.
A capacidade de comutar internamente o tráfego unicast ajuda a proteger contra ataques de analisador de protocolo. Por exemplo, se um invasor instalar um analisador de protocolo em um computador conectado à porta número 4, o analisador de protocolo não será capaz de capturar o tráfego unicast que passa pelo switch entre outras portas. O analisador só será capaz de capturar o tráfego que chega à porta 4.
Um hub não tem esse recurso. Ele passa o tráfego unicast para todas as portas. É por isso que a maioria das organizações usa switches em vez de hubs.
Segurança portuária
A segurança de porta inclui a limitação do número de computadores que podem ser conectados a portas físicas em um switch, bem como a filtragem de endereço MAC.
Os administradores geralmente desabilitam portas de switches não utilizadas para evitar conexões não autorizadas com a rede.
O switch pode bloquear o tráfego de computadores com endereços MAC que não estão registrados na tabela interna do switch. Além disso, as portas em um switch podem ser configuradas para receber tráfego apenas de um endereço MAC específico.
Camada 2 x camada 3
Um switch de camada 2 usa a camada 2 do modelo de Interconexão de Sistemas Abertos (Open Systems Interconnection – OSI –, em inglês). Um switch de camada 2 identifica a porta de destino com base no endereço MAC de destino dentro do pacote. Os switches da camada 2 também passam o tráfego de broadcast para todas as portas.
Os roteadores usam a camada 3 do modelo OSI. Os roteadores determinam a porta de destino com base no endereço IP de destino incluído no pacote. Os roteadores não encaminham o tráfego de broadcast. Os switches da camada 3 podem operar como roteadores, e os administradores podem usar switches da camada 3 para criar VLANs. Os switches da camada 3 não são vulneráveis a ataques baseados em ARP quando operando pacotes na camada 3.
Prevenção de loop
Conectar duas portas de um switch usando o mesmo cabo cria um loop de switch, fazendo com que o switch transmita continuamente o tráfego unicast.
Isso pode desativar um switch e derrubar o desempenho da rede.
A maioria dos switches atuais, entretanto, tem Spanning Tree Protocol (STP) ou Rapid STP (RSTP). Manter esses protocolosativados evita problemas de loop de comutação. O STP também ajuda a proteger uma rede contra conexões não autorizadas entre portas.
Proteção contra Flooding (inundação)
Um ataque de inundação de MAC (ou MAC Flooding) refere-se a uma situação em que um invasor sobrecarrega uma porta de um switch com endereços MAC falsificados. Isso causa o esgotamento da memória. Como resultado, o switch começa a funcionar como um hub e comuta o tráfego destinado a uma determinada porta para todas as portas. Isso é chamado de estado de falha aberta (failopen mode). Isso permite que o invasor conecte um analisador de protocolo a uma porta e capture todo o tráfego transmitido pelo switch.
Iniciativas contra inundações pode ajudar a proteger contra esses ataques. Muitos switches têm proteções contra inundação, que são capazes de limitar a quantidade de memória usada por cada porta para armazenar endereços MAC. Sempre que um switch detecta uma tentativa de registrar um número excepcionalmente alto de entradas, ele dispara um alerta. Em resposta, o protetor de inundação gera uma mensagem de erro.
A proteção contra inundações também pode desativar a porta. Quando uma porta é desabilitada, o tráfego destinado a passar por ela é bloqueado até que um administrador resolva o problema.
O protetor de inundação também pode limitar as atualizações para a porta de destino. Quando as atualizações são restritas, o switch opera as entradas existentes para a porta e ignora as tentativas de adicionar novas entradas.
Broadcast Storm (tempestade de transmissão)
Uma transmissão ou tempestade de rede ocorre quando os switches continuam transmitindo e retransmitindo o tráfego, levando a um congestionamento de tráfego muito alto e, por fim, ao colapso da rede.
Por exemplo, se o Nó A precisa enviar um pacote de dados para o Nó B, o Nó A do switch está conectado para transmitir o tráfego por um segmento de rede porque não conhece o endereço do Nó B. Se essa transmissão falhar, o switch transmite o pacote por outro segmento de rede para o outro switch.
Se os switches não aprenderam o endereço do Nó B, eles inundam o pacote de volta para o primeiro switch. Portanto, os switches continuam enviando, recebendo e reenviando o tráfego, resultando em um loop de broadcast. Essa falha de rede é conhecida como tempestade de transmissão, broadcast storm e também tempestade de broadcast.
Tempestades de broadcast podem ocorrer devido à ausência de design de rede, monitoramento e gerenciamento de rede insatisfatórios, configuração de rede incorreta e tecnologia de baixa qualidade.
Proxy
Proxy direto e reverso
Servidores proxy de encaminhamento são usados para encaminhar solicitações de serviços dos clientes. Um servidor proxy de encaminhamento fica entre a internet e a intranet.
Os clientes internos podem ser configurados para usar o servidor proxy para protocolos específicos, principalmente HTTP e HTTPS. Os servidores proxy também podem encaminhar solicitações de FTP e outros protocolos de internet.
Um servidor proxy pode melhorar o desempenho e reduzir o consumo de largura de banda da internet porque armazena em cache as solicitações da internet. Como resultado, ele não precisa recuperar uma página da web da internet novamente quando receber uma solicitação para uma página da web que já foi armazenada em cache.
Alguns servidores proxy também são capazes de filtragem de conteúdo. Como resultado, eles podem restringir o acesso a sites maliciosos.
Um servidor proxy reverso aceita solicitações da internet, encaminha para um servidor da web e fornece páginas recuperadas do servidor da web. Como um servidor proxy de encaminhamento, um servidor proxy reverso armazena páginas da web em cache.
Um servidor proxy reverso pode servir a um ou mais servidores da web. Quando usado com vários servidores da web, um servidor proxy reverso pode funcionar como um balanceador de carga.
Transparente
Um servidor proxy transparente pode aceitar e encaminhar solicitações. Ele não modifica as solicitações. Um servidor proxy não transparente é capaz de modificar e filtrar solicitações.
Os servidores proxy não transparentes permitem que as organizações restrinjam o acesso dos usuários a sites específicos, usando filtros de URL. Listas de assinaturas compostas por categorias de sites aos quais as organizações desejam restringir o acesso podem ser adicionadas ao servidor proxy, que pode bloquear solicitações de sites da lista.
Os servidores proxy transparentes e não transparentes podem registrar sites visitados pelos usuários.
Aplicação/multiuso
Um proxy de aplicativo aceita solicitações de aplicativos, encaminha-as ao servidor específico e envia a resposta do servidor ao usuário que enviou a solicitação. A maioria dos proxies de aplicativos funcionam como servidores proxy multifuncionais que encaminham solicitações para vários protocolos.
Muitos aplicativos da web usam APIs para trocar informações. As solicitações precisam ser formatadas corretamente e válidas para que um proxy de aplicativo responda.
Balanceador de carga
Os balanceadores de carga (ou load balancer) equilibram as cargas de dados, distribuindo-os por vários computadores ou redes. Isso garante que um sistema individual não seja sobrecarregado. Existem balanceadores de carga baseados em hardware e software. O balanceamento de carga permite que as organizações escalem os recursos de computação para atender clientes adicionais e também manter a alta disponibilidade.
Agendamento/escalonadores
É o método que os balanceadores de carga usam para determinar o destino das solicitações.
Afinidade
No escalonamento de afinidade, o balanceador de carga registra o endereço IP de origem do solicitante e envia todas as solicitações com esse endereço IP para o mesmo servidor. Isso também é chamado de programação de afinidade de endereço IP de origem. A vantagem desse método é que o usuário fica conectado a um único servidor durante toda a sessão.
Round-robin
No escalonamento round-robin, o balanceador de carga envia a primeira nova solicitação para o servidor 1, a segunda para o servidor 2, a terceira para o servidor 3 e assim sucessivamente.
Passivo/ativo
Os clusters de failover são implementados para manter a alta disponibilidade. As configurações de cluster de failover podem ser ativo-passivo e ativo-ativo.
Em uma configuração de cluster ativo-passivo, no mínimo um servidor está ativo e no mínimo um servidor é passivo ou inativo. Se o servidor ativo ou o nó não funcionar corretamente, o passivo assume o controle.
Ativo-ativo
Em uma configuração de cluster ativo-ativo, o balanceador de carga distribui a carga entre os servidores ativos.
IPs virtuais
São usados por balanceadores de carga baseados em software. Nesse método, um endereço IP de um site não é atribuído a um servidor. Quando os clientes enviam solicitações para um endereço IP específico, o balanceador de carga encaminha a solicitação para um dos servidores no web farm. O balanceador de carga faz isso usando os endereços privados dos servidores. Aqui, o endereço IP real do site é conhecido como IP virtual.
Access point (Ponto de acesso)
SSID
Uma rede sem fio é identificada por um Service Set Identifier (SSID). Se um AP tiver um SSID padrão, ele deve ser alterado para evitar que os invasores saibam qual AP está em uso e explorem as vulnerabilidades desse AP.
Se você desabilitar a transmissão SSID, o nome da rede pode ficar oculto para usuários leigos. No entanto, um invasor pode implantar um analisador de protocolo para identificar o SSID.
Filtragem MAC
Ajuda a controlar o acesso à rede. Ela pode ser implementada para proteger uma rede sem fio contra acesso não autorizado. Os administradores habilitam a filtragem MAC nas regras ACL para proteger as redes sem fio até certo ponto.
No entanto, conforme discutido no capítulo 1, um invasor pode falsificar endereços MAC e obter acesso. Além disso, um invasor pode usar um sniffer sem fio para descobrir quais endereços MAC são permitidos em uma rede sem fio.
Força do sinal
Alguns APs sem fio oferecem a opção de ajustar a potênciade transmissão. Os administradores podem reduzir ou aumentar o nível de energia. A potência geralmente é aumentada para estender o alcance do ponto de acesso.
Os administradores diminuem o nível de energia para impedir que usuários sem fio acessem a rede de áreas fora do prédio comercial ou para restringir o acesso sem fio a uma área limitada, como uma ou duas salas no escritório.
Seleção de banda/largura
Embora as redes sem fio usem duas bandas de rádio (2,4 GHz e 5 GHz), os aparelhos sem fio não transmitem precisamente 2,4 GHz ou 5 GHz. As duas bandas de rádio têm vários canais que começam em torno de 2,4 GHz e 5 GHz. O número de canais em cada uma das duas bandas não é o mesmo em todo o mundo: eles diferem de um país para o outro. Canais mais amplos podem permitir a transferência de mais dados através do canal. Na prática, porém, não é tão simples.
Aumentar a largura do canal diminui a distância de transmissão. Outra desvantagem de um aumento na largura do canal é que aumenta a probabilidade de interferência.
Tipos de antena e posicionamento
Normalmente, uma antena omnidirecional é usada em APs e redes sem fio. Também é chamada de antena omni. As antenas omnidirecionais são capazes de enviar e receber sinais em todas as direções, simultaneamente. Portanto, um dispositivo sem fio com uma antena omnidirecional pode se conectar a um AP de todas as direções.
Também existem antenas direcionais. Essas antenas transmitem sinais em uma direção e recebem sinais dessa mesma direção. Uma antena direcional pode enviar e receber sinais em distâncias maiores do que uma antena omnidirecional. Isso ocorre porque a força de uma antena direcional está concentrada em uma direção.
Junto com o posicionamento da antena, a orientação da antena também deve ser configurada horizontalmente ou verticalmente de acordo com os requisitos.
Uma pesquisa de local pode ser realizada para determinar o posicionamento e configuração ideais das antenas. Por razões de segurança, as pesquisas do local devem ser realizadas periodicamente para detectar quaisquer alterações e problemas de segurança.
Fat x thin, baseado em controlador x autônomo
Um AP fat (“gordo”) ou AP autônomo funciona como um sistema de rede independente e compreende todos os recursos necessários para estabelecer uma conexão entre um cliente sem fio e uma rede sem fio. Normalmente, um AP fat tem uma tradução de endereços de rede (NAT), uma unidade de roteamento, um protocolo de configuração dinâmica de hosts (DHCP), um firewall, ACLs, clonagem de endereços DNS e MAC, entre outros componentes.
Cada AP fat precisa de uma configuração separada; eles não podem ser configurados juntos. Redes domésticas e de pequenos escritórios normalmente têm APs fat. Grandes organizações exigem muitos APs, e não é necessariamente conveniente usar APs fat porque configurar cada um separadamente não é eficiente. É por isso que as grandes organizações normalmente usam APs thin (finos).
Um AP thin, também conhecido como AP baseado em controlador, tem um componente de acesso sem fio que é gerenciado por um controlador. Os administradores configuram e gerenciam APs finos usando um controlador sem fio.
Além das organizações, algumas redes domésticas e de pequenos escritórios também usam APs finos.
SIEM
Um sistema de gerenciamento de informações e eventos de segurança (Security Information and Event Management – SIEM, na sigla em inglês) coleta, analisa e mantém dados de várias fontes diferentes para fins de segurança. Um SIEM executa funções de gerenciamento de eventos de segurança e gerenciamento de informações de segurança.
O gerenciamento de eventos de segurança inclui monitoramento e análise contínuos em tempo real e relatórios de eventos de segurança. Já o gerenciamento de informações de segurança inclui coleta e armazenamento de dados, bem como monitoramento, análise e identificação de tendências de logs do sistema.
Um SIEM inclui um banco de dados para armazenamento de logs de dados, projetado para investigação e análise eficientes. Ele fornece monitoramento e relatórios automatizados.
Os SIEMs permitem que as organizações otimizem o gerenciamento de segurança de dados e sistemas. O monitoramento e a geração de relatórios em tempo real possibilitam que os administradores respondam imediatamente e evitem ou mitiguem um ataque.
SIEMs estão disponíveis como dispositivos de hardware, bem como aplicativos que os usuários podem instalar em um sistema.
Agregação
Um SIEM é capaz de agregar dados de firewalls, IDSs e várias outras fontes, apesar do fato de esses sistemas manterem logs em formatos diferentes.
Correlação
Um SIEM possui um mecanismo de correlação, que é capaz de reunir e analisar informações de logs de eventos de todos os diferentes sistemas na rede. O mecanismo de correlação segue um método de agregação de dados, examinando-os em busca de elementos comuns, identificando padrões considerados indicativos de ameaças potenciais e gerando alertas.
Alerta e gatilhos automatizados
Um SIEM inclui alertas predefinidos, com base nos quais uma notificação é emitida automaticamente sempre que o sistema identifica eventos incomuns ou suspeitos. Um SIEM também tem a capacidade de gerar novos alertas.
Um gatilho inicia uma resposta a uma repetição de eventos específicos. O número de vezes que um evento deve ocorrer repetidamente é predefinido. Um SIEM também é capaz de definir novos gatilhos e modificar os predefinidos.
Isso pode evitar tentativas não autorizadas de logon em um servidor usando Secure Shell (SSH). Os detalhes de logon serão refletidos no log do servidor. Quando um SIEM identifica um número de tentativas de logon com falha além do número definido, ele as bloqueia ou desabilita o SSH.
Sincronização de tempo
Os servidores que enviam informações para um SIEM precisam ser configurados para sincronizar os dados simultaneamente. Isso é relevante para organizações com escritórios em fusos horários diferentes.
A sincronização de tempo é necessária porque os oficiais de segurança precisam saber precisamente quando um incidente ocorreu.
Para organizações que operam em locais diferentes, é aconselhável converter o horário local para GMT.
Desduplicação de eventos
É o processo de exclusão de entradas duplicadas. Um SIEM recebe dados de muitas fontes, algumas das quais registram as mesmas entradas. Como resultado, os dados que um SIEM recebe de vários sistemas provavelmente incluirão entradas duplicadas. O SIEM removerá entradas de log duplicadas e armazenará apenas uma cópia, mas registrará as fontes de todas as entradas.
Logs/WORM
Um SIEM geralmente inclui controles para evitar a modificação de entradas de log. Isso também é conhecido como Write Once Read Many (WORM): "escrita uma vez e leitura várias vezes”. Um SIEM tem a capacidade de proteger registros de gravação. Depois que os logs são recebidos e processados, eles são arquivados em um estado protegido contra gravação.
Embora os SIEMs possam estar localizados em pontos diferentes, normalmente é eles são colocados dentro da rede interna.
DLP
As ferramentas e métodos de Prevenção de Perda de Dados (DLP) ajudam a proteger contra a perda de dados. As organizações implementam técnicas de DLP para controlar como os dispositivos de armazenamento removíveis são usados e para evitar que unidades flash USB sejam usadas. Os aplicativos DLP também podem identificar tentativas não autorizadas de transferência de dados e digitalização de dados de saída.
Bloqueio USB
A maioria das organizações implementa políticas de segurança que não permitem o uso de mídia removível, incluindo unidades flash USB.
Um sistema DLP pode ser configurado para bloquear seletivamente o uso de unidades USB. Por exemplo, uma organização pode proibir a impressão e cópia de categorias específicas de conteúdo, como dados confidenciais. Uma solução DLP tem a capacidade de digitalizar todos os arquivos enviados para impressão e bloquear a impressão de qualquer arquivo classificado.
O software DLP também registra detalhes do conteúdo bloqueado. Algumas soluções são capazes de notificaros administradores sobre tentativas de copiar ou imprimir dados confidenciais.
Baseado em nuvem
Armazenar dados na nuvem é uma prática comum agora. As organizações implementam aplicativos DLP baseados em nuvem para proteger os dados armazenados na nuvem.
Conforme discutido anteriormente, as soluções DLP podem ser configuradas para detectar quaisquer dados rotulados como confidenciais. O software DLP baseado em nuvem permite que as empresas administrem controles de segurança para dados baseados em nuvem. As empresas podem configurar políticas DLP baseadas na nuvem para gerar uma resposta sempre que uma tentativa de transferir informações classificadas for detectada.
Um aplicativo DLP pode responder a tais eventos isolando dados confidenciais, alertando os administradores ou evitando qualquer tentativa de salvar arquivos na nuvem.
Algumas organizações exigem que todos os dados privados sejam criptografados antes de serem armazenados na nuvem.
O e-mail
As tecnologias DLP podem verificar todos os e-mails de saída, incluindo arquivos anexados, em busca de tentativas não autorizadas de transferência de dados. Uma solução DLP pode até examinar o conteúdo de arquivos compactados descompactando-os.
Network Access Control (NAC)
As técnicas de Controle de Acesso à Rede (NAC) ajudam a prevenir o acesso não autorizado à rede, permitindo o monitoramento contínuo dos sistemas e bloqueando o acesso dos sistemas com problemas de segurança.
Embora os administradores possam controlar os computadores na rede e garantir que os controles de segurança necessários sejam instalados neles, eles não podem gerenciar os dispositivos que os funcionários usam durante as viagens ou em casa. Os NACs ajudam a gerenciar a segurança desses computadores.
As soluções NAC podem impor medidas de segurança para que esses sistemas acessem a rede. Alguns NACs podem ser configurados para verificar se os clientes atendem a requisitos específicos antes de acessar a rede. Os NACs são capazes de isolar sistemas que não atendem às especificações predeterminadas.
Dissolvível x permanente
Um agente NAC permanente ou persistente é instalado permanentemente em um cliente. Quando um cliente tenta acessar a rede de um local remoto, o NAC usa o agente permanente para inspecionar o cliente. Muitas organizações têm agentes permanentes instalados em computadores de propriedade da empresa, incluindo laptops que os funcionários estão autorizados a usar para acessar a rede de outros locais.
Os agentes dissolvíveis são normalmente usados para examinar os dispositivos móveis dos funcionários. Quando um cliente tenta fazer logon de um ponto remoto, um agente solúvel é baixado no cliente e executado. O agente inspeciona o cliente, determina seu status de integridade e envia um relatório de status ao NAC. Os agentes dissolvíveis são programados para se desinstalar após o relatório de integridade do cliente ser enviado ao NAC ou após o término da sessão.
Os agentes dissolvíveis são capazes de identificar problemas de segurança em dispositivos móveis.
Verificações de saúde do host
Os hosts são obrigados a passar por verificações de saúde antes de acessar a rede. Os administradores definem as condições a serem atendidas pelos computadores para serem avaliados como íntegros e aptos para se conectar à rede. Os clientes que não passam nas verificações de saúde são isolados pelo NAC. Um NAC pode examinar clientes VPN e clientes internos.
Normalmente, um NAC verifica se o aplicativo antivírus instalado em um computador está atualizado e tem definições de assinatura atuais, se o firewall está ativado e se o Sistema Operacional possui as atualizações e patches mais recentes instalados.
Os agentes de autenticação ou integridade são usados pelos NACs para examinar os computadores. Um agente de autenticação é composto por software ou serviços que avaliam condições predeterminadas e geram um relatório de integridade para cada computador.
Os clientes que não se certificam como íntegros são redirecionados por um servidor VPN para uma rede de quarentena ou remediação. A rede de quarentena fornece atualizações de antivírus, atualizações de Sistema Operacional e outros recursos necessários para atender às condições de saúde. Um cliente com problemas de saúde pode usar essas atualizações e patches para ser considerado apto para acessar a rede.
Agente x sem agente
Um agente solúvel é algumas vezes referido como sem agente.
Gateway de correio
Um gateway de e-mail é um controle de segurança implementado para reduzir o risco de ameaças relacionadas ao e-mail. Ele consiste em um servidor que inspeciona os e-mails de entrada e saída. Um gateway de correio é normalmente posicionado entre o servidor de e-mail e a internet.
Filtro de spam
O spam é frequentemente usado com intenções maliciosas. Alguns e-mails podem conter links para sites maliciosos ou incluir anexos que, na verdade, são malware.
Os gateways de correio incluem filtros de spam que filtram o spam de e-mails internos. Isso ajuda a prevenir ataques por e-mail.
DLP
Alguns gateways de correio são capazes de funções DLP, como inspecionar todos os e-mails de saída em busca de dados privados ou confidenciais e bloquear qualquer informação rotulada como informação classificada pela organização.
Encriptação
A maioria dos gateways de correio tem recursos de criptografia e pode criptografar e-mail de saída para evitar a perda de confidencialidade. Os gateways de e-mail podem ser configurados para criptografar todos os e-mails, apenas partes das mensagens ou e-mails específicos.
Bridge
No contexto da rede, uma bridge se refere a um dispositivo que conecta várias redes. Uma ponte pode ser usada no lugar de um roteador. Uma bridge transmite pacotes de dados com base no endereço MAC de destino.
Uma bridge determina os endereços MAC examinando o tráfego. Quando ele aprende um endereço MAC, ele registra esse detalhe em uma tabela interna.
Aceleradores SSL/TLS
São sistemas de hardware que gerenciam o tráfego TLS. Muitos protocolos, incluindo HTTPS, usam TLS para criptografia. Os aceleradores TLS lidam com o processo de criptografia para sessões, assumindo assim a carga da CPU e RAM do sistema primário.
Decifradores SSL
Quando ativados, são capazes de descriptografar e inspecionar o tráfego. Às vezes, os invasores criptografam malware para impedir que ferramentas de exame de conteúdo detectem código malicioso. Os aplicativos de detecção de malware não podem detectar malware criptografado em trânsito. Os decodificadores SSL tratam dessa lacuna.
Algumas organizações exigem que todo o tráfego de entrada e saída da internet passe por um descriptografador SSL, que não modifica o tráfego não criptografado, mas estabelece uma sessão diferente para o tráfego criptografado para que possa examinar os dados. Um descriptografador SSL pode ser localizado na DMZ.
Às vezes, o NIPS usa um descriptografador SSL para inspecionar o tráfego criptografado.
Gateway de mídia
Um gateway de mídia é um serviço ou dispositivo usado para traduzir fluxos de dados de diferentes redes, incluindo 3G, 4G e LTE. Ele converte dados de um formato de rede para outro formato de rede para comunicação eficaz entre diferentes redes de próxima geração.
 Módulo de segurança de hardware
Um módulo de segurança de hardware (em inglês, Hardware Security Module – HSM) é um dispositivo removível usado para criar, armazenar e gerenciar chaves criptográficas. Os HSMs podem ser conectados a redes, instalados em servidores e conectados a computadores. HSMs de alto desempenho são normalmente usados em redes. Os HSMs de plug-in são usados para computadores e os HSMs na forma de placas de expansão são instalados em servidores.
Muitas organizações usam HSMs em servidores para armazenar chaves com segurança para aplicativos baseados em servidor.
Ferramentas de software usadas para avaliar a postura de segurança de uma organizaçãoFerramenta externa
Administradores, profissionais de segurança de TI e invasores usam uma variedade de ferramentas de software para detectar vulnerabilidades na infraestruturade sistemas de informação de uma organização.
Analisador de protocolo
É usado para capturar, revelar e analisar pacotes transmitidos pela rede. Um pacote capturado revela detalhes do protocolo e endereços IP e MAC de origem e destino. Um analisador de protocolo também é chamado de sniffer, e o processo que ele executa é chamado de sniffing de pacote. Um analisador de protocolo pode capturar centenas e até milhares de pacotes.
Administradores e invasores usam analisadores de protocolo
Os administradores usam analisadores de protocolo para identificar ataques que envolvem manipulação ou fragmentação de cabeçalho de pacote, bem como para resolver problemas de comunicação que surgem entre sistemas de rede.
Os invasores usam analisadores de protocolo para capturar dados enviados em modo não criptografado. Por exemplo, se os invasores conseguirem capturar credenciais enviadas em texto não criptografado, eles poderão ver nomes de usuário e senhas. Os invasores também podem visualizar os endereços IP e MAC.
Para usar um analisador de protocolo, a placa de interface de rede (NIC) precisa ser definida para o modo promíscuo.
Um exemplo de analisador de protocolo é o Wireshark.
Scanners de rede
É usado para coletar informações sobre hosts de rede. Ele usa métodos diferentes, como varredura de porta, varredura de serviço, varredura de ping, varredura de ping ARP, varredura syn stealth e detecção de Sistema Operacional para varrer hosts.
Scanners de rede populares incluem Nmap, Nagios e Nessus.
Detecção de sistema invasor
APs invasores foram mostrados no capítulo 1.
Se um administrador souber quais APs estão autorizados, é bastante simples identificar APs não autorizados por meio de uma varredura sem fio. Instalar um scanner sem fio em um laptop e levá-lo para uma volta no escritório pode ajudar um administrador a descobrir APs não autorizados. A intensidade do sinal aumenta à medida que se aproxima de um AP não autorizado. A distância enfraquece a força do sinal.
Os administradores normalmente realizam pesquisas no local durante o planejamento e implantação de redes sem fio. Os oficiais de segurança conduzem pesquisas locais regularmente para identificar mudanças e problemas de segurança.
Mapeamento de rede
É o processo de descoberta de dispositivos em uma rede e conexões entre diferentes dispositivos.
O mapeamento de rede pode ser executado em uma varredura de rede.
Uma varredura de rede abrangente pode revelar portas abertas, detalhes do Sistema Operacional e serviços no modo de execução.
Zenmap é um exemplo de ferramenta de mapeamento de rede. Ele pode produzir uma representação visual da rede.
Scanners/crackers sem fio
Scanners sem fio podem realizar varreduras ativas e passivas. Durante uma varredura passiva, o scanner verifica todo o tráfego de transmissão em canais reconhecidos nas faixas de 2,4 GHz e 5 GHz e relata as informações relacionadas aos APs locais. Um scanner pode identificar e relatar SSIDs, endereços MAC, endereços IP, canais, a largura dos canais e a intensidade do sinal dos APs dentro do intervalo. Um scanner também pode detectar se um AP está no modo Wi-Fi Protected Access (WPA), Wi-Fi Protected Access II (WPA2) ou modo Aberto.
Em uma varredura ativa, o scanner ou cracker interage com o AP. O scanner ou cracker sem fio envia perguntas ao AP para obter mais informações.
Cracker de senha
É usado para detectar senhas fracas e verificar se os usuários estão em conformidade com a política de "senha forte". Existem crackers de senha online e offline.
Os crackers de senhas online são usados por invasores para descobrir senhas por meio de suposições. Os atacantes seguem esse método durante ataques de força bruta. Existem ferramentas de cracker de senhas automatizadas, como ncrack, que os invasores às vezes usam para ataques de força bruta online.
Alguns crackers de senha online também podem coletar dados enviados pela rede e tentar quebrar as senhas incluídas nos dados.
Um cracker de senha offline permite que um hacker tente descobrir a senha de dados ou de um banco de dados que foi capturado. Quando um endpoint ou rede é violado, o hacker pode baixar bancos de dados completos. Depois que um ou mais bancos de dados forem baixados, o invasor pode tentar quebrar as senhas offline.
Mostramos como funcionam os ataques de senha online e offline no capítulo 1. Ainda no capítulo 1, é possível consultar também as informações sobre scanners de vulnerabilidade.
Scanner de conformidade de configuração
Como o nome indica, esse scanner é usado para verificar se os sistemas têm configurações corretas. Um scanner de conformidade de configuração geralmente confere as configurações dos sistemas usando um arquivo que contém configurações válidas. O scanner compara a configuração de um sistema com a adequada no arquivo, para verificar se são iguais.
Os administradores podem configurar scanners para executar scripts ou processos automatizados de acordo com uma programação predefinida.
Além disso, os administradores normalmente executam varreduras de configuração credenciadas para que o scanner possa ler os detalhes de configuração de cada sistema.
Alguns scanners de vulnerabilidade operam plug-ins para realizar varreduras de conformidade de configuração. Os administradores também podem personalizar varreduras de conformidade de configuração para sistemas Unix e Windows.
Frameworks de exploração
É um dispositivo que armazena dados sobre vulnerabilidades e tem a capacidade de examinar dados ou sistemas, além de identificar vulnerabilidades. Um framework de exploração também pode realizar explorações em vulnerabilidades documentadas. Os testadores de penetração e invasores usam frameworks de exploração para identificar pontos fracos e realizar explorações.
Os frameworks de exploração populares incluem Browser Exploitation Framework (BeEF), Metasploit Framework e Web Application Attack and Audit Framework (w3af).
O BeEF é usado para detectar problemas de segurança do navegador da web. É um framework de exploração de código aberto. Já o Metasploit é um framework de exploração de código aberto que é capaz de escrever, testar e usar software de exploração, e é executado em sistemas Linux. O W3af também é um framework de código aberto usada para identificar e explorar vulnerabilidades em aplicativos da web.
Ferramentas de sanitização de dados
Conforme mostramos no capítulo 1, é importante implementar políticas eficazes para sanitização de sistemas em fim de vida. Dados valiosos devem ser removidos de um sistema quando este chega ao fim de sua vida útil. É necessário garantir que os sistemas não sejam descartados com dados confidenciais ou relevantes neles.
As organizações normalmente mantêm uma lista de verificação para garantir que os funcionários tomem todas as medidas necessárias para higienizar os sistemas de computador antes do descarte.
O papel a ser descartado deve ser queimado ou picado. As técnicas de sanitização de mídia e dados incluem a trituração, eliminação, limpeza, apagamento e sobrescrita de arquivos, trituração de papel, queima, polpação (quando transformamos o papel em um aglomerado de fibras na forma de polpa), desmagnetização e pulverização.
A destruição de arquivo se refere ao processo de sobrescrever o local do arquivo com 0s e 1s. A limpeza é o processo de sobrescrever todos os dados em um disco usando uma ferramenta de limpeza de disco.
Um incinerador é usado por algumas empresas para destruir papel e outro material impresso que pode ser queimado.
Já trituradores de papel são usados em muitas organizações. Algumas companhias usam trituradores grandes que podem destruir alguns componentes de hardware.
Um desmagnetizador é um ímã eletrônico usado para destruir dados em unidades de disco magnético e fitas. Quando um disco é exposto a um campo de desmagnetização, os dados nele se tornam ilegíveis.
A desmagnetização não funciona em mídia óptica. Dependendo do tamanho, alguns também não podem ser destruídos. Portanto, a mídia óptica geralmente é pulverizada.
Ferramentas de esteganografia
O processode ocultar dados dentro de outros dados é conhecido como esteganografia. O objetivo de empregar esse método é ocultar dados de tal forma que não levantem nem mesmo um indício de suspeita.
Já a ofuscação é usada para ocultar o conteúdo, obscurecendo os dados e dificultando sua compreensão. Nesse método, a criptografia não é usada. Os dados costumam ficar ocultos em arquivos de imagem e áudio.
Existem várias ferramentas de esteganografia disponíveis. Isso inclui Steghide, StegoSuite, OpenStego, Xiao Steganography, Crypture e Image Steganography.
Steghide e StegoSuite são usados para ocultar dados em arquivos de imagem. OpenStego é uma ferramenta de código aberto. Xiao Steganography é usado para ocultar arquivos confidenciais em arquivos WAV ou imagens BMP. Crypture é uma ferramenta de esteganografia de linha de comando.
As técnicas de esteganografia incluem ocultar dados em um espaço de arquivo branco ou não utilizado e ocultar dados por meio da manipulação de bits.
Os profissionais de segurança podem detectar a esteganografia empregando métodos de esteganálise, como hash. O algoritmo de hash gera um hash diferente se um bit de um arquivo for modificado. Não é difícil detectar quando um arquivo foi modificado se hashes de arquivos são obtidos periodicamente e comparados com hashes anteriores.
Honeypot
No contexto da segurança de TI, um honeypot (“pote de mel”, em inglês) se refere a um servidor com segurança de baixo nível que é intencionalmente mantido aberto para acesso geral. O conceito é apresentar aos atacantes um alvo fácil para mantê-los ocupados ali, desviando-os da rede ativa.
O outro motivo para usar um honeypot é fornecer aos administradores ou profissionais de segurança a oportunidade de observar os invasores no trabalho e conhecer seus métodos. Os honeypots também permitem que os profissionais de segurança obtenham conhecimento sobre ataques desconhecidos, incluindo exploits de dia zero.
Um honeypot é feito para se parecer com um servidor ativo, com arquivos "falsos" contendo dados que parecem ser confidenciais, como informações financeiras. Dados sensíveis ou importantes nunca são armazenados em um honeypot.
As empresas também usam honeypots para observar insiders suspeitos e prevenir ataques internos.
Um grupo de honeypots localizado em outra zona ou rede é conhecido como honeynet. É possível acessar uma honeynet da rede primária.
Utilitários de backup
Existem diferentes tipos e utilitários de backup para executar esses backups, que podem ser do tipo completo, backup incremental, backup diferencial e instantâneo ou backup de imagem.
·      Backup completo ou backup normal: faz um backup de todos os dados selecionados para backup.
·      Backup incremental: realiza um backup dos dados que foram alterados desde o backup anterior.
·      Backup diferencial: faz backup de todos os dados que foram modificados desde o último backup completo.
·      Backup instantâneo: realiza um backup de todo o disco, sistema ou aplicativo. É usado para restaurar um disco ou sistema em um determinado momento.
Um utilitário de backup refere-se a um software incorporado ou agrupado a um sistema de armazenamento, Sistema Operacional ou aplicativo para proteger os dados fazendo uma cópia e armazenando-os com segurança. Uma variedade de utilitários de backup está disponível para diferentes necessidades a preços diferentes. Os utilitários de backup corporativo têm recursos avançados que incluem administração centralizada, programação, monitoramento e relatórios.
O software de backup também pode compactar dados e remover entradas duplicadas para reduzir o tamanho dos backups. Alguns utilitários de backup também possuem recursos de segurança, como criptografia.
As fitas são a mídia mais comumente usada para armazenar dados, provavelmente porque podem armazenar grandes quantidades de dados e são relativamente baratas.
Captura de banner (banner grabbing)
É um método usado para reunir detalhes de sistemas em uma rede e serviços executados em portas abertas. Os administradores às vezes usam essa técnica para coletar informações e manter um registro de todos os sistemas e serviços que operam na rede.
Os invasores podem usar a captura de banner para obter detalhes sobre sistemas operacionais, serviços e aplicativos.
Alguns scanners de rede usam métodos de captura de banner. Netcat, uma ferramenta de linha de comando, pode ser usado para captura de banner.
Ferramentas de linha de comando
São úteis para análise e solução de problemas do sistema. Existem ferramentas de linha de comando específicas para Windows e outras específicas para Linux. As ferramentas de linha de comando do Windows podem ser executadas na janela de prompt de comando do Windows e as ferramentas de linha de comando do Linux podem ser executadas por meio do shell ou terminal do Linux.
Ping
O comando ping é usado para testar a conectividade de sistemas em locais remotos, para verificar o NIC e para avaliar a preparação de segurança de uma organização. O ping também pode ser usado para verificar a resolução de nomes, ou seja, se um sistema é capaz de resolver nomes de host válidos para endereços IP.
Netstat
Podemos usar o comando Netstat (estatísticas de rede) para obter informações sobre as estatísticas dos protocolos TCP/IP de um sistema. Netstat também exibe conexões de rede TCP/IP que estão ativas.
Esse comando permite verificar se um invasor conectou um sistema comprometido a um sistema remoto.
·      netstat lista conexões TCP abertas.
·      netstat-a enumera todas as portas TCP e UDP que estão sendo ouvidas, bem como todas as conexões abertas.
·      netstat-r mostra a tabela de roteamento.
·      netstat-e fornece informações sobre estatísticas de rede, incluindo o número de bytes enviados e recebidos.
·      netstat-s mostra estatísticas de tráfego enviado ou recebido em IP, TCP, UDP, ICMP e alguns outros protocolos.
·      netstat-n lista endereços e números de porta.
·      netstat-p exibe estatísticas de protocolos específicos, como TCP ou UDP.
Tracert
Esse comando traz uma lista de roteadores ou saltos entre dois sistemas, mencionando o endereço IP de cada salto. Os nomes de host e o tempo de retorno (RTT) para cada salto também são exibidos em alguns casos.
Para sistemas Windows, a sintaxe é tracert. Para sistemas Linux, é traceroute.
O tracert é normalmente usado por administradores para identificar quais roteadores estão com defeito. Esse comando é particularmente útil para problemas relacionados à WAN.
Os profissionais de segurança usam tracert para detectar caminhos que foram modificados. O tracert também pode ajudar a identificar se as rotas da internet foram modificadas.
nslookup/dig
O comando nslookup é normalmente usado para solucionar problemas de DNS. O comando dig é usado em vez de nslookup para sistemas Linux para verificar a resolução de nomes de servidores DNS ou para determinar se um servidor DNS pode ser alcançado.
arp
O comando arp pode ser usado para identificar endereços MAC de sistemas na rede local e para obter informações e explorar o cache ARP.
·      arp -a - Exibe o cache ARP no Windows.
·      arp - Quando usado sem um switch, esse comando exibe o cache ARP no Linux.
Profissionais de segurança usam arp para examinar um cache se houver suspeita de um ataque de envenenamento de ARP.
ipconfig/ip/ifconfig
·      ipconfig: comando usado para identificar as informações de configuração TCP/IP de um sistema. É utilizado para resolver problemas de rede.
·      ifconfig: é usado para sistemas Linux. Você também pode usar esse comando para configurar a NIC ou para ver as informações da NIC.
·      ip: pode mostrar informações de NIC e ser usado para configuração de interfaces de rede.
Tcpdump
Os usuários podem usar a ferramenta de linha de comando do Linux tcpdump para capturar pacotes e então usar o Wireshark para realizar uma análise de pacotes.
Os usuários precisam se lembrar de inserir o comando inteiro em letras minúsculas e usar o caso apropriado ao inserir as opções. Como exemplo, -C informa o tamanho do arquivoe o tamanho máximo de captura do pacote, enquanto -c informa o número de pacotes e essa captura de pacote deve parar quando o número especificado for atingido.
Nmap
Conforme mostramos anteriormente neste capítulo, o Nmap é usado para varredura em rede.
Você pode usar o nmap para descobrir os endereços IP de todos os hosts de rede ativos, seus sistemas operacionais, protocolos e serviços em execução.
A velocidade de varredura e as informações necessárias devem ser especificadas ao usar o comando.
netcat
Os administradores usam o netcat para obter acesso remoto aos sistemas Linux. O comando não fornece criptografia, e é por isso que o SSH é frequentemente usado com ele.
O netcat também é usado para captura de banner. Você pode usar o netcat para copiar arquivos de um sistema para outro e para executar uma varredura de porta para um único endereço IP.
Solução de problemas comuns de segurança
Credenciais não criptografadas/texto não criptografado
As organizações não devem permitir que credenciais não criptografadas sejam enviadas pela rede. O envio de credenciais em texto não criptografado dá aos invasores a oportunidade de visualizá-las. Por exemplo, os invasores podem usar um analisador de protocolo para capturar os dados.
Anomalias de registros e eventos
Os administradores monitoram os logs para detectar anomalias de eventos. Os profissionais de segurança examinam os registros para identificar problemas de segurança e construir uma trilha de auditoria. Logs informam o que aconteceu e quando aconteceu.
Um logon com falha é um exemplo de anomalia de evento. Às vezes, os usuários válidos são bloqueados devido a erros de digitação ou se esquecem a senha. No entanto, um logon com falha também será registrado se um invasor fizer uma tentativa malsucedida de logon. Os logs permitem que administradores e profissionais de segurança investiguem as entradas e determinem se a falha no logon foi um evento normal ou uma tentativa de ataque.
Os logs que as organizações usam incluem logs de acesso de firewall e roteador, logs de Sistema Operacional, logs de antivírus, logs de Linux e outros logs.
Os logs do firewall e do roteador podem ser configurados para registrar os endereços IP e MAC de origem e destino dos pacotes e informações sobre as portas. Esses logs são usados por profissionais de segurança para detectar ataques e ameaças potenciais. Os administradores usam logs de firewall e roteador para solucionar problemas de conectividade.
Os registros do Sistema Operacional, como registros do Windows, registram eventos relacionados ao Sistema Operacional. Os sistemas Windows possuem vários registros. Você pode usar o Visualizador de Eventos do Windows para ver esses logs.
O log de segurança é um dos principais logs do Windows. Ele registra eventos auditados e indica o sucesso ou a falha desses eventos. Em alguns sistemas, algumas funções de auditoria são habilitadas por padrão.
Os administradores configuram qualquer auditoria adicional necessária.
Os eventos auditáveis incluem logon ou logoff do usuário, acesso a recursos por um usuário ou adição ou exclusão de arquivo. Se um usuário fizer logon com sucesso, o evento será registrado como um sucesso. Se um usuário não conseguir excluir um arquivo ou fazer logon, o evento será registrado como uma falha.
Em sistemas Linux, os logs podem ser visualizados usando o Visualizador de Eventos do Sistema. Os logs do Linux incluem o log de autenticação, log de mensagens, log de inicialização e log do kernel.
Os logs ocupam muito espaço em disco. Quando você configura o registro, é aconselhável configurá-lo de forma que detalhes desnecessários e todos os eventos menores não sejam registrados. Os usuários precisam encontrar um equilíbrio entre as considerações de segurança e a quantidade de tempo e espaço em disco que os logs ocupam.
Problemas de permissão
Os problemas de segurança geralmente resultam da concessão de permissões mais altas aos usuários do que precisam.
Conforme discutido anteriormente, o princípio do menor privilégio deve ser seguido. Os usuários devem receber apenas direitos e permissões necessários para sua função. Conceder mais permissões do que o necessário pode resultar em erros ou eventos maliciosos.
Em sistemas Linux, as permissões podem ser atribuídas a um proprietário, grupo ou outros. Proprietário aqui se refere ao usuário que possui o diretório ou arquivo.
As permissões comuns do Linux incluem leitura, gravação e execução. Essas permissões são representadas por letras ou números. Permissões combinadas, como leitura e gravação, também podem ser concedidas.
Para alterar as permissões em sistemas Linux, o comando chmod é usado.
As permissões do Windows incluem ler, ler e executar, gravar e modificar.
É melhor implementar permissões nos níveis de arquivo e pasta para proteger os arquivos. A criptografia de todo o disco ajuda a proteger os discos, incluindo unidades para celulares e unidades flash USB.
Violações de acesso
Quando os usuários acessam dados ou outros recursos aos quais eles não deveriam ter acesso, isso é conhecido como violação de acesso. Os profissionais de segurança normalmente investigam como o usuário conseguiu obter acesso não autorizado.
Problemas de certificado
Conforme já mostramos, um certificado inválido ou comprometido pode levar a problemas de segurança. Um invasor pode falsificar um host confiável por meio de um ataque MITM.
Os clientes verificam se um certificado é válido antes de usá-lo. Se o certificado não for reconhecido como válido, o navegador geralmente exibe uma mensagem de erro e não recomenda o uso do certificado.
Os problemas de certificado geralmente surgem porque o certificado expirou ou não foi emitido por uma CA confiável, ou o certificado e as chaves não foram gerenciados corretamente.
Os clientes verificam primeiro se o certificado expirou. Em seguida, eles conferem se o certificado foi emitido por uma CA confiável. Um sistema Windows faz isso pesquisando as autoridades de certificação intermediárias e os armazenamentos de autoridade de certificação raiz confiável para uma cópia do certificado da CA. Se não estiver no sistema, significa que o certificado não é confiável.
Os clientes também verificam a Lista de Revogação de Certificados (CRL) para verificar se a CA não revogou o certificado.
Os certificados também podem ser validados através do Protocolo de Status de Certificado Online (em inglês, Online Certificate Status Protocol – OCSP).
Para evitar ataques decorrentes de certificados e gerenciamento de chaves inadequados, é necessário garantir que as chaves privadas sejam criptografadas e sempre mantidas em sigilo. Elas nunca devem ser compartilhadas publicamente.
Os certificados que contêm chaves privadas podem ser comprometidos se não forem gerenciados adequadamente. Uma Autoridade de Certificação (CA) pode revogar um certificado se a chave privada for de domínio público. Nesse caso, o certificado não pode fornecer segurança efetiva porque a chave privada não é mais privada.
Exfiltração de dados
A transferência não autorizada de informações de uma organização por um invasor é conhecida como exfiltração de dados. Os dados são normalmente transferidos para um local sob o controle do invasor.
Os dados podem ser transferidos por um invasor externo ou um interno conduzido por más intenções. Um invasor pode até obter controle de um sistema e usar código malicioso para transferir dados para um local externo.
Existem técnicas e tecnologias para evitar a exfiltração de dados. As organizações monitoram os dados de saída usando DLPs instalados nas redes. Esses dispositivos são capazes de identificar dados confidenciais com base em identificadores definidos por um administrador.
Os administradores podem classificar os dados como privados, proprietários, pessoais ou confidenciais, de acordo com as especificações da organização. O software DLP pode ser configurado para reconhecer esses rótulos e identificar dados com base nesses rótulos.
DLPs baseados em rede podem varrer diferentes tipos de conteúdo (incluindoe-mail) e tráfego HTTP e FTP.
Às vezes, os invasores criptografam os dados antes de transferi-los. DLPs não podem descriptografar dados criptografados, mas podem identificar dados criptografados e notificar os administradores se eles detectarem algum.
Dispositivos mal configurados
Firewall
Se as ACLs de firewall sem estado estiverem configuradas incorretamente, o firewall pode não bloquear o tráfego prejudicial. A ACL deve incluir uma regra de negação implícita. Do contrário, todos os tipos de tráfego podem entrar na rede.
Já mostramos o funcionamento de firewalls e ACLs neste capítulo.
Filtro de conteúdo
São usados para examinar o tráfego de entrada em busca de código malicioso.
Um filtro de conteúdo mal configurado pode dar origem a problemas de segurança. Se um filtro de spam estiver configurado incorretamente, pode falhar em impedir que o spam entre na rede ou pode bloquear e-mails verdadeiros e inofensivos. Os administradores precisam definir o nível de sensibilidade do filtro de spam de acordo com as necessidades e prioridades da organização.
Pontos de acesso
APs mal configurados aumentam a probabilidade de ataques sem fio bem-sucedidos. Alguns protocolos, incluindo WPA com TKIP, são suscetíveis a ataques de repetição. O WPA usando AES e CCMP não é suscetível a esses ataques. Se um AP não estiver configurado para usar WPA com AES e CCMP, ele estará vulnerável a ataques.
Conforme discutido no capítulo 1, quando mostramos ataques sem fio, um Wi-Fi Protected Setup (WPS) é vulnerável a ataques de força bruta. Em um ataque WPS, o invasor tenta descobrir o PIN usando uma ferramenta de descoberta de PIN. Uma vez que o invasor conhece o PIN, ele pode encontrar a senha para redes WPA e WPA2.
Para evitar ataques WPS, é aconselhável desabilitar o WPS em dispositivos sem fio.
Configurações de segurança fracas
É importante verificar as configurações fracas e resolvê-las para evitar ataques.
Configurações de segurança fracas são um problema comum. A implementação de linhas de base seguras ajuda a minimizar problemas com configurações de segurança fracas.
Desvio de linha de base
Antes de implantar sistemas com uma base segura, as organizações implementam linhas de base seguras. As configurações de linha de base iniciais são definidas pelos administradores. Ferramentas automatizadas monitoram continuamente o desempenho, identificam e relatam todos os desvios da linha de base.
As linhas de base seguras também incluem dispositivos de Diretiva de Grupo, que podem corrigir automaticamente configurações incorretas quando detectados. Isso ajuda a resolver os desvios da linha de base.
Questões de pessoal
Violação de política
As organizações lidam com violações de políticas de acordo com as políticas da empresa. Dependendo da extensão da violação, um funcionário pode ser aconselhado e instruído por um gerente ou chefe de departamento, avisado ou até mesmo demitido.
Ameaça interna
Conforme discutido no capítulo 1, usuários internos são parte de uma organização e têm acesso autorizado aos ativos da empresa. Um ataque interno pode resultar em indisponibilidade de recursos e perda de integridade e confidencialidade. Nem todos os funcionários têm o mesmo nível de acesso. Empregados com um nível de acesso mais alto podem causar mais danos.
Os métodos DLP podem ser usados para detectar ameaças internas com base na atividade. Os sistemas DLP são configurados para emitir alertas quando uma atividade incomum é detectada.
A auditoria da atividade dos usuários também pode ajudar a detectar ameaças internas. Uma auditoria revelará o que os usuários estão fazendo e quais recursos eles têm acessado. Se for descoberto que um usuário está executando ações que vão além da descrição de seu trabalho, isso pode ser investigado por profissionais de segurança.
Engenharia social
Conforme relatado no capítulo 1, os funcionários devem estar cientes das táticas usadas pelos engenheiros sociais e serem instruídos a denunciar os engenheiros sociais se os encontrarem.
Redes sociais e e-mail pessoal
Os usuários não treinados representam um risco de segurança para qualquer organização. Ataques sérios podem ocorrer apenas porque os usuários não sabem sobre os riscos associados a ataques de engenharia social, como phishing e outras ameaças. Um usuário pode clicar em um link em um e-mail de phishing sem saber que é um e-mail malicioso e causar uma infecção na rede.
As organizações normalmente implementam políticas de segurança que definem que os funcionários não devem usar o e-mail do escritório para comunicação pessoal ou postar informações internas importantes nas mídias sociais. É importante garantir que os funcionários não violem essas políticas.
É necessário que todas as organizações conduzam programas eficazes de treinamento de segurança para os usuários. Eles precisam estar cientes dos diferentes tipos de ataques, dos métodos que os invasores utilizam e das tendências atuais de segurança.
Software não autorizado e violação de conformidade de licença (disponibilidade/integridade)
Usar software não autorizado é arriscado, porque o programa pode conter código malicioso, o que significa que sua instalação de pode infectar um sistema e até mesmo a rede.
Além disso, a área de TI não está equipada e não é obrigada a oferecer suporte a software não autorizado. Quando um funcionário que possui um software não autorizado instalado em seu sistema enfrenta problemas, a equipe de TI pode não ser capaz de resolver o problema.
O uso de software não autorizado também pode levar a violações de conformidade de licença. Uma organização pode adquirir um certo número de licenças para um aplicativo de software. É possível que um funcionário que não precisa do aplicativo tenha acesso à chave do aplicativo e instale em seu sistema. Como resultado, esse funcionário não autorizado usa uma das licenças adquiridas, resultando na falha de ativação do aplicativo no sistema de um funcionário autorizado.
Gestão de ativos
O processo de gerenciamento de ativos classificados como valiosos por uma organização ao longo de seu ciclo de vida é conhecido como gerenciamento de ativos.
As organizações geralmente possuem procedimentos para cuidar dos servidores, roteadores, switches, desktops, laptops e outros hardwares.
Conforme mostramos no capítulo 1, práticas eficazes de gerenciamento de ativos ajudam a controlar vulnerabilidades, como fraquezas de arquitetura e design. O gerenciamento de ativos, neste contexto, inclui não apenas uma comparação de custos, mas também uma avaliação da compra proposta para avaliar se ela pode ser integrada à arquitetura de rede existente.
Todas as compras de ativos devem ser aprovadas para evitar deficiências de arquitetura e design e problemas de segurança decorrentes de ativos não gerenciados.
A expansão do sistema se refere a uma situação em que uma organização possui sistemas que excedem o que exige e alguns sistemas não são totalmente utilizados. Todos os computadores em uma organização precisam ser registrados no sistema de rastreamento de gerenciamento de ativos. Políticas eficazes de gerenciamento de ativos podem ajudar a prevenir a proliferação do sistema e ativos não documentados.
Problemas de autenticação
É muito provável que surjam problemas de segurança com o uso de senhas fracas. As organizações precisam impor o uso de senhas fortes e complexas. É prudente implementar uma política técnica que garanta o uso de senhas robustas e alterações periódicas de senha. Além disso, os funcionários não devem ter permissão para reutilizar senhas.
As organizações precisam implementar uma política de recuperação de senha segura e eficaz para funcionários que esquecem as senhas. Permitir a redefinição manual de senhas sem a verificação adequada da identidade do usuário pode fazer com que um invasor obtenha acesso não autorizado a uma conta.
Dispositivos biométricos fracos podem produzir taxa de aceitação falsa e erros de rejeição falsa. Um erro de aceitação falsa refere-se ao dispositivo aceitar uma pessoa não autorizada. Um erro de rejeição falsarefere-se ao sistema rejeitando um usuário autorizado.
Soluções de tecnologias de segurança
HIDS/HIPS
Um Sistema de Detecção de Intrusão baseado em Host (HIDS) é um dispositivo baseado em software instalado em um servidor ou estação de trabalho para proteger hosts individuais contra-ataques. É capaz de monitorar o tráfego da rede, identificando possíveis ameaças e protegendo arquivos importantes do sistema operacional. Com um HIDS, o tráfego passa pela NIC.
Alguns HIDS também são capazes de monitorar a atividade relacionada ao aplicativo em um sistema. Algumas organizações instalam HIDS em servidores com o objetivo de monitorar aplicativos de servidor.
Várias organizações instalam HIDS em estações de trabalho para aprimorar a proteção contra malware. Isso ocorre porque o HIDS pode frequentemente detectar um malware que o software antivírus pode não detectar.
Um Sistema de Prevenção de Intrusão baseado em Host (HIPS) faz o que um HIDS pode fazer e muito mais. Um HIPS é capaz de bloquear ataques detectados.
Antivirus
O software antivírus é um controle de segurança que ajuda a proteger o sistema contra malware. Ele fornece proteção em tempo real. Muitos aplicativos antivírus podem detectar, bloquear e remover vírus, cavalos de Troia, spyware, adware, worms e outros malwares. Esses aplicativos normalmente emitem um alerta quando um malware é detectado.
O software antivírus usa métodos baseados em assinatura e métodos heurísticos para detectar vírus. Os aplicativos baseados em heurística monitoram o comportamento e detectam malware não documentado com base em padrões de comportamento.
Os aplicativos antivírus podem ser configurados para executar verificações programadas regularmente. Eles também podem realizar verificações manuais.
Os aplicativos antivírus precisam ser atualizados regularmente com os patches atuais e as definições de assinatura lançadas pelo fornecedor.
Verificação de integridade de arquivo
Uma verificação de integridade do arquivo é executada para identificar os arquivos do sistema que foram modificados. Alguns aplicativos antivírus incluem verificadores de integridade de arquivo.
Os verificadores de integridade de arquivo usam um algoritmo de hash para verificar a integridade do arquivo. Hashes são calculados em arquivos de sistema e definidos como linha de base. O verificador de integridade de arquivo então faz o hash dos mesmos arquivos periodicamente e compara os hashes atuais com os hashes de linha de base. Se os hashes não corresponderem, é uma indicação de modificação do arquivo.
Um aplicativo antivírus emite um alerta ao identificar um arquivo modificado. Alguns alertas relacionados a modificações podem ser indicativos de ataques de rootkit.
As ferramentas de linha de comando também podem ser usadas para verificar a integridade dos arquivos do sistema. Os administradores do Windows podem usar o Microsoft File Checksum Integrity Verifier (fciv.exe) para verificar a integridade de cada arquivo em uma pasta ou grupo de pastas.
Firewall baseado em host
Um firewall baseado em host ajuda a proteger hosts como laptops, desktops e servidores contra invasões. Esse firewall monitora o tráfego que entra e sai de um host e o tráfego que passa pela NIC. Ele pode impedir um ataque a um host por meio da NIC.
Os sistemas operacionais geralmente vêm com firewalls que funcionam como firewalls baseados em host. Os sistemas operacionais da Microsoft agora têm firewalls baseados em host. As organizações também têm a opção de usar firewalls baseados em host disponíveis em outros fornecedores.
Os administradores podem configurar regras de entrada e saída em firewalls baseados em host para negar ou permitir tráfego de entrada específico e negar ou permitir tráfego de saída específico. Alguns firewalls baseados em host também são capazes de criptografar o tráfego.
Em sistemas Linux, os administradores configuram regras em iptables e variações de iptables, como ipv6tables. Juntas, essas regras funcionam como ACLs.
Os firewalls pessoais protegem sistemas individuais contra intrusões não autorizadas. Algumas organizações usam firewalls pessoais e firewalls baseados em rede para fornecer proteção aprimorada para seus sistemas. É crucial usar um firewall pessoal ao acessar a internet de um restaurante, hotel, aeroporto ou outro local público.
Lista de permissões de aplicativos
Whitelisting e blacklisting são técnicas empregadas para proteger hosts. Uma lista de permissões de aplicativos consiste em um diretório de todos os aplicativos autorizados a serem executados em um computador. Uma lista negra de aplicativos é um diretório de todos os aplicativos que devem ser bloqueados por um sistema.
As listas brancas e negras de aplicativos ajudam a evitar que os usuários instalem softwares não autorizados em suas estações de trabalho.
O sistema gera uma mensagem obscura, como um problema de permissão ou erro, quando um usuário não consegue instalar ou executar o software devido a uma lista negra ou lista branca. No entanto, os motivos da falha na instalação serão registrados no log do aplicativo.
Em sistemas Windows, as listas brancas e negras podem ser implementadas usando as Políticas de Restrição de Software dentro da Política de Grupo da Microsoft. A Política de Grupo bloqueará todos os aplicativos que não estão na lista de permissões. Com uma lista negra, a Política de Grupo permitirá aplicativos que não estão na lista.
Os aplicativos de gerenciamento de dispositivos móveis (MDM) também usam listas negras e brancas para permitir ou bloquear aplicativos em celulares.
Controle de mídia removível
A maioria das organizações implementa políticas de segurança que não permitem o uso de mídia removível, incluindo unidades flash USB.
As organizações implementam técnicas de DLP para controlar como os dispositivos de armazenamento removíveis são usados e para evitar que unidades flash USB sejam usadas.
Os tocadores de MP3 têm o mesmo tipo de memória flash que uma unidade USB. Alguns smartphones também possuem esse tipo de memória. Os usuários podem usar MP3 players ou smartphones para copiar arquivos de um sistema.
Um sistema DLP pode ser configurado para bloquear seletivamente o uso de unidades USB. Por exemplo, uma organização pode proibir a impressão e cópia de categorias específicas de conteúdo, como dados confidenciais. Uma solução DLP tem a capacidade de digitalizar todos os arquivos enviados para impressão e bloquear a impressão de qualquer arquivo classificado.
Ferramentas avançadas de malware
Agora estão disponíveis em alguns fornecedores, essas ferramentas usam uma combinação de diferentes tecnologias para evitar ataques a uma rede, conter e neutralizar um ataque e também minimizar os danos.
A ferramenta de Proteção Avançada contra Malware (AMP) da Cisco é um exemplo de aplicativo de proteção avançada contra malware. O AMP usa uma variedade de tecnologias, incluindo análises avançadas. AMP reúne inteligência global de ameaças da organização de inteligência de segurança da Cisco, feeds de inteligência de grade de ameaças e outras fontes. O AMP usa essa inteligência de ameaças junto com análises para conduzir uma análise da rede. Ele emite um alerta quando detecta malware.
Enquanto um ataque está em andamento, o AMP combina diferentes métodos para identificar e bloquear o desenvolvimento de ameaças e evitar que se espalhem ou mitigar o efeito do ataque.
A capacidade de análise contínua do AMP permite que ele encontre arquivos duvidosos e eventos relacionados à rede e identifique malware em funcionamento na rede.
Os profissionais de segurança revisam os registros para analisar eventos relatados por ferramentas de malware avançadas.
Ferramentas de gerenciamento de patch
As organizações implementam políticas de gerenciamento de patches para garantir que todos os sistemas operacionais e aplicativos tenham os patches atuais instalados. Isso aborda vulnerabilidades documentadas em sistemas e aplicativos e ajuda a reduzir o risco de ataques.
Os administradores controlam regularmente os patches, os testam e