CYBERSEGURANÇA 6

Prévia do material em texto

Capítulo 7: Proteção de um Domínio de Cibersegurança
Proteger o seu domínio é um processo contínuo para proteger a infraestrutura de rede de uma organização. Requer que os indivíduos se mantenham permanentemente vigilantes a ameaças e tomem medidas para evitar qualquer comprometimento. Este capítulo discute as tecnologias, processos e procedimentos que os profissionais de cibersegurança usam para defender os sistemas, dispositivos e dados que compõem a infraestrutura de rede.
Uma rede segura é tão forte quanto seu elo mais fraco. É importante proteger os dispositivos finais que residem na rede. A segurança do endpoint inclui proteger os dispositivos de infraestrutura de rede na rede local (LAN) e os sistemas finais, como estações de trabalho, servidores, telefones IP e pontos de acesso.
A blindagem do dispositivo é uma tarefa crítica quando proteger a rede. Envolve a implementação de métodos de comprovados de proteção física de dispositivos de rede. Alguns desses métodos envolvem proteger o acesso administrativo, manter palavra-passe e implementar comunicações seguras.
Segurança de Sistemas Operativos
O sistema operativo desempenha um papel crítico na operação de um sistema computacional e é o alvo de muitos ataques. A segurança do sistema operativo tem um efeito em cascata na segurança global de um sistema computacional.
Um administrador blinda um sistema operativo modificando a configuração por omissão por forma a torná-lo mais seguro a ameaças externas. Este processo inclui a remoção dos programas e serviços desnecessários. Outro requisito crítico de blindagem dos sistemas operativo é a aplicação de patches e atualizações de segurança. Os patches e atualizações de segurança são correções que as empresas lançam num esforço para mitigar vulnerabilidades e corrigir falhas nos seus produtos.
Uma organização deve ter uma abordagem sistemática para lidar com as atualizações do sistema através do(a):
	Estabelecimento de procedimentos de monitorização das informações relacionadas com a segurança
	Avaliação das atualizações quanto à aplicabilidade
	Planeamento da instalação de atualizações e patches às aplicações
	Instalação de atualizações usando um plano documentado
Outro requisito crítico para a segurança de sistemas operativos é identificar as potenciais vulnerabilidades. Isso pode ser realizado estabelecendo uma referência base sobre o seu funcionamento normal. Estabelecer uma referência base permite ao administrador fazer a comparação de como sistema está funcionando versus a sua expectável referência base de funcionamento.
O Microsoft Baseline Security Analyzer (MBSA) avalia as atualizações de segurança ausentes e as configurações de segurança que estão incorretas no Microsoft Windows. O MBSA verifica as palavras-passe ou senhas em branco, simples ou inexistentes, as configurações de firewall, o estado da conta de convidado, os detalhes da conta de administrador, os registos de eventos de segurança, os serviços desnecessários, as partilhas de rede e as configurações do registo. Depois de blindar o sistema operativo, o administrador cria as políticas e procedimentos para manter um elevado nível de segurança.
Antimalware
O malware ou código malicioso inclui vírus, worms, cavalos de Tróia, keyloggers, spyware e adware. Todos invadem a privacidade, roubam informações, danificam o sistema ou excluem e corrompem dados.
É importante proteger os computadores e os dispositivos móveis usando software antimalware de origem respeitável. Estão disponíveis os seguintes tipos de programas antimalware, contra software malicioso:
	Proteção antivírus - O programa monitoriza continuamente a existência de vírus. Quando detecta um vírus, o programa alerta o utilizador e tenta colocar em quarentena ou excluir o vírus, como se mostra na Figura 1.
	Proteção de Adware — O programa procura continuamente por programas que exibem publicidade em um computador.
	Proteção contra Phishing — O programa bloqueia os endereços IP de websites de phishing conhecidos e alerta o utilizador sobre sites suspeitos.
	Proteção contra Spyware — O programa procura por keyloggers e outro software de espionagem (spyware).
	Fontes confiáveis/não confiáveis — O programa avisa o utilizador sobre programas inseguros que tentam instalar ou websites inseguros antes do utilizador os visitar.
Podem ser necessários vários programas diferentes e múltiplos scans para remover completamente todo o software malicioso. Execute apenas um programa de proteção contra malware de cada vez.
Várias organizações de segurança respeitáveis, como McAfee, Symantec e Kaspersky, oferecem proteção contra malware com tudo incluído para computadores e dispositivos móveis.
Seja cauteloso com os produtos antivírus falsos maliciosos que podem aparecer durante a navegação na Internet. A maioria desses produtos antivírus falsos exibe um anúncio ou pop-up que se parece com uma janela de alerta real do Windows, como se mostra na Figura 2. Geralmente, estes afirmam que tem malware a infectar o computador e pede ao utilizador para o remover. Clicando em qualquer lugar dentro da janela pode fazer começar o download e a instalação do malware.
O software não aprovado ou não compatível não é apenas software que um utilizador instala involuntariamente num computador. Este também pode vir de utilizadores que o pretendem instalar. Pode não ser malicioso, mas ainda assim pode violar a política de segurança. Este tipo de sistema não compatível pode interferir com o software da empresa, ou com os serviços de rede. Os utilizadores devem remover imediatamente software não aprovado.
Gestão de Patches
Patches são atualizações de código que os fabricantes fornecem para prevenir que um vírus ou worm recém-descoberto realize um ataque bem-sucedido. De tempos em tempos, os fabricantes combinam patches e upgrades numa atualização completa de uma aplicação chamado service pack. Muitos ataques devastadores de vírus poderiam ter sido muito menos graves se mais utilizadores tivessem descarregado e instalado o service pack mais recente.
O Windows procura regularmente no website do Windows Update por atualizações de alta prioridade que podem ajudar a proteger um computador contra as ameaças de segurança mais recentes. Estas atualizações incluem atualizações de segurança, atualizações críticas e service packs. Dependendo da configuração ativa, o Windows descarrega e instala automaticamente as atualizações de alta prioridade que o computador precisa ou notifica o utilizador à medida que essas atualizações se tornam disponíveis.
Algumas organizações podem querer testar um patch antes do implantar em toda a organização. A organização utilizaria um serviço para gerir os patches localmente em vez de usar o serviço de atualização on-line do fornecedor. Os benefícios do uso de um serviço automatizado de atualização de patches incluem o seguinte:
	Os administradores podem aprovar ou recusar atualizações
	Os administradores podem forçar a atualização de sistemas para uma data específica
	Os administradores podem obter relatórios sobre a atualização necessária para cada sistema
	Cada computador não precisa de se ligar ao serviço do fornecedor para descarregar os patches; um sistema obtém a atualização de um servidor local
	Os utilizadores não podem desativar ou contornar atualizações
Um serviço de patch automatizado fornece aos administradores uma configuração mais controlada.
Firewalls baseados no Anfitrião e Sistemas de Detecção de Intrusões
Uma solução baseada no anfitrião é uma aplicação de software que é executada num computador anfitrião local para o proteger. O software opera conjuntamente com o sistema operativo para ajudar a prevenir ataques.
Firewalls baseados no Anfitrião
Um firewall por software é um programa que é executado num computador para permitir ou negar o tráfego entre o computador e outros computadores ligados. O firewall por software aplica um conjunto de regras às transmissões de dados por meio de inspeção e filtragem de pacotes de dados. O Firewall do Windows é umexemplo de um firewall por software. O sistema operativo Windows instala-o por omissão durante a sua instalação.
O utilizador pode controlar o tipo de dados enviados de e para o computador abrindo ou bloqueando certas portas selecionadas. Os firewalls bloqueiam as ligações de rede de entrada e saída, a menos que sejam definidas exceções para abrir e fechar certas portas requeridas por um programa.
Na Figura 1, o utilizador seleciona as Regras de Direção de Entrada (Inbound Rules) para configurar o tipo de tráfego permitido passar através do sistema. A configuração de Regras de Direção de Entrada ajudará a proteger o sistema contra tráfego indesejado.
Sistemas de Deteção de Intrusão em Anfitriões
Um sistema de detecção de intrusão de anfitrião (HIDS) é um software que é executado num computador anfitrião que monitoriza atividades suspeitas. Cada servidor ou sistema de desktop que requer proteção precisará ter o software instalado, conforme se mostra na Figura 2. O HIDS monitoriza as chamadas do sistema e o acesso ao sistema de gestão de ficheiros para garantir que as solicitações não sejam o resultado de atividades maliciosas. Este pode também monitorizar as configurações do registo do sistema. O registro mantém informações de configuração sobre o computador.
O HIDS armazena localmente todos os dados de log. Este também pode afetar o desempenho do sistema porque é exigente em termos de recursos. Um sistema de detecção de intrusão em anfitrião não pode monitorizar o tráfego de rede que não atinja o sistema anfitrião, mas monitoriza o sistema operativo e os processos críticos do sistema específicos desse anfitrião.
Segurança de Comunicações
Quando se ligam à rede local e a ficheiros partilhados, a comunicação entre computadores permanece dentro dessa rede. Os dados permanecem seguros porque estão fora de outras redes e da Internet. Para comunicar e partilhar recursos através de uma rede que não é segura, os utilizadores empregam uma Rede Privada Virtual (VPN).
Uma VPN é uma rede privada que liga sites remotos ou utilizadores através de uma rede pública, como a Internet. O tipo mais comum de VPN acede a uma rede privada empresarial. A VPN usa ligações seguras dedicadas, encaminhadas pela Internet, desde a rede privada empresarial até ao utilizador remoto. Quando ligados à rede privada empresarial, os utilizadores tornam-se parte dessa rede e têm acesso a todos os serviços e recursos como se estivessem ligados fisicamente à LAN empresarial.
Os utilizadores de acesso remoto devem ter um cliente VPN instalado nos seus computadores para estabelecer uma ligação segura com a rede privada empresarial. O software cliente VPN cifra os dados antes de os enviar pela Internet para o gateway VPN na rede privada empresarial. Os gateways VPN estabelecem, gerem e controlam as ligações VPN, também conhecidas como túneis VPN.
Os sistemas operativos incluem um cliente VPN que o utilizador configura para uma ligação VPN.
WEP
Um dos componentes mais importantes da computação moderna são os dispositivos móveis. A maioria dos dispositivos encontrados nas redes atuais são portáteis, tablets, smartphones e outros dispositivos sem fios. Os dispositivos móveis transmitem dados usando sinais de rádio que qualquer dispositivo com uma antena compatível pode receber. Por esta razão, a indústria de computadores desenvolveu um conjunto de normas de segurança sem fios ou móveis, produtos e dispositivos. Estas normas cifram as informações transmitidas por dispositivos móveis através das ondas no ar.
Wired Equivalent Privacy (WEP) é uma das primeiras e amplamente utilizadas normas de segurança Wi-Fi. A norma WEP fornece proteção de autenticação e criptografia. As normas WEP estão obsoletas, mas muitos dispositivos ainda suportam WEP por questão de retro compatibilidade com versões anteriores. A norma WEP tornou-se um padrão de segurança Wi-Fi em 1999, quando as comunicações sem fios estava apenas na fase inicial. Apesar das revisões à norma e um aumento do tamanho da chave, a WEP sofreu de inúmeras vulnerabilidades de segurança. Os cibercriminosos podem quebrar palavras-passe WEP em minutos usando software gratuito disponível. Apesar das melhorias, o WEP mantém-se altamente vulnerável e os utilizadores devem atualizar os sistemas que ainda dependem do WEP.
WPA/WPA2
A seguinte grande melhoria à segurança sem fios foi a introdução do WPA e WPA2. O Wi-Fi Protected Access (WPA) foi a resposta da indústria de computadores às inseguranças do padrão WEP. A configuração mais comum de WPA é WPA-PSK (Chave Pré-partilhada). As chaves usadas pelo WPA são de 256 bits, um aumento significativo sobre as chaves de 64 bits e 128 bits usadas no sistema WEP.
A norma WPA forneceu várias melhorias de segurança. Primeiro, o WPA forneceu verificações de integridade de mensagem (MIC) que permitem detetar se um invasor tinha capturado e alterado dados passados entre o ponto de acesso sem fios e um cliente sem fios. Outra melhoria de segurança das chaves foi o protocolo Temporal Key Integrity Protocol (TKIP). A norma TKIP forneceu a capacidade de melhor manipular, proteger e alterar chaves de criptografia. O Advanced Encryption Standard (AES) substituiu o protocolo TKIP para uma melhor gestão de chaves e proteção de criptografia.
O WPA, tal como o seu antecessor WEP, incluia várias vulnerabilidades bastante conhecidas. Como resultado, em 2006 assistiu-se ao lançamento da norma Wi-Fi Protected Access II (WPA2). Uma das melhorias de segurança mais significativas do WPA face ao WPA2, foi o uso obrigatório dos algoritmos AES e a introdução do Protocolo de Código de Autenticação de Mensagens em Cadeia de Blocos de Cifra no Modo Contador ou o protocolo no modo CCM, como substituto do TKIP.
Autenticação Mútua
Uma das grandes vulnerabilidades das redes sem fios é o uso de pontos de acesso desonestos (rogue access points). Os Pontos de Acesso são os dispositivos que comunicam com os dispositivos sem fios e os ligam à rede cablada. Qualquer dispositivo que tenha um transmissor sem fios e uma interface com fios a uma rede pode potencialmente atuar como um ponto de acesso não autorizado ou desonesto. O ponto de acesso desonesto pode imitar um ponto de acesso autorizado. O resultado é que os dispositivos sem fios na rede estabelecem uma comunicação com o ponto de acesso desonesto em vez de com o ponto de acesso autorizado.
O impostor pode receber pedidos de ligação, copiar os dados contidos nos pedidos e encaminhá-los para o ponto de acesso de rede autorizado. Esse tipo de ataque man-in-the-middle é muito difícil de detectar e pode resultar no roubo de credenciais de login e dos dados transmitidos. Para evitar pontos de acesso desonestos, a indústria de computadores desenvolveu a autenticação mútua. A autenticação mútua, também chamada de autenticação bidireccional, é um processo ou tecnologia em que ambas as entidades envolvidas num link de comunicações se autenticam entre si. Num ambiente de rede sem fios, o cliente autentica-se no ponto de acesso e o ponto de acesso autentica-se no cliente. Essa melhoria dotou os clientes da capacidade de detectar pontos de acesso desonestos antes de se ligar ao dispositivo não autorizado.
Controlo de Acesso a Ficheiros
As permissões são regras configuradas para limitar o acesso a pastas ou ficheiros a um utilizador individual ou a um grupo de utilizadores. A figura lista as permissões disponíveis para os ficheiros e pastas.
Princípio do Menor Privilégio
Os utilizadores devem ser limitados apenas aos recursos que necessitem num sistema computacional ou numa rede. Por exemplo, eles não devem ser capazes de aceder a todos os ficheiros num servidor se só precisam de acesso a uma única pasta. Pode ser mais fácil fornecer aos utilizadores acesso a toda a unidade, mas é mais seguro limitar o acesso apenas à pasta que precisam para realizar o seu trabalho. Este é o princípio do menor privilégio. Limitar o acesso aos recursos também impede que programas maliciosos acedam a estes recursos se o computador do utilizador for infectado.
Restringiras Permissões de Utilizador
Se um administrador negar as permissões a uma partilha de rede a um utilizador ou grupo, essa negação substituirá quaisquer outras configurações de permissão. Por exemplo, se o administrador negar a permissão a alguém a uma partilha de rede, o utilizador não poderá aceder a essa partilha, mesmo que o utilizador seja o administrador ou faça parte do grupo de administradores. A política de segurança local deve descrever quais os recursos e o tipo de acesso permitidos para cada utilizador e grupo.
Quando um utilizador altera as permissões de uma pasta, ela tem a opção de aplicar as mesmas permissões a todas as subpastas. Esta é a propagação de permissões. A propagação de permissões é uma maneira fácil de aplicar permissões a vários ficheiros e pastas rapidamente. Depois das permissões da pasta primária (parent) tiverem sido definidas, as pastas e ficheiros criados dentro da pasta primária herdam as permissões da pasta primária.
Além disso, a localização dos dados e a ação executada nos dados determinam a propagação da permissão:
	Os dados movidos para o mesmo volume manterão as permissões originais
	Os dados copiados para o mesmo volume herdarão novas permissões
	Os dados movidos para um volume diferente herdarão novas permissões
	Os dados copiados para um volume diferente herdarão nova permissão
Cifragem de Ficheiros
A Criptografia é uma ferramenta usada para proteger os dados. A criptografia transforma dados usando um algoritmo complicado para torná-los ilegíveis. Uma chave especial retorna as informações ilegíveis de volta em dados legíveis. Certos programas de software cifram ficheiros, pastas e até mesmo unidades de suporte de dados (drives) inteiras.
O Sistema de cifração ou Encriptação de Ficheiros (EFS), é uma funcionalidade do Windows que pode cifrar os dados. A implementação Windows de EFS vincula-o diretamente a uma conta de utilizador específica. Só o utilizador que cifrou os dados poderá aceder aos ficheiros e pastas cifrados.
Um utilizador também pode optar por cifrar um disco rígido inteiro no Windows usando um recurso chamado BitLocker. Para usar o BitLocker, pelo menos dois volumes devem estar presentes num disco rígido.
Antes de usar o BitLocker, o utilizador precisa de habilitar o Trusted Platform Module (TPM) na BIOS. O TPM é um chip especializado instalado na placa-mãe. O TPM armazena informações específicas do sistema hospedeiro, como chaves de cifração, certificados digitais e senhas. Aplicações, como o BitLocker, que usam criptografia podem fazer uso do chip TPM. Clique em Administração TPM para ver os detalhes do TPM, como se mostra na Figura.
O BitLocker To Go cifra as unidades removíveis. O BitLocker To Go não usa um chip TPM, mas continua a fornecer criptografia para os dados e requer uma senha.
Backups de Dados e Sistema
Uma organização pode perder dados se os cibercriminosos roubarem os dados, o equipamento falhar ou ocorrer um desastre. Por esse motivo, é importante realizar um backup de dados regularmente.
Um backup de dados armazena uma cópia das informações de um computador para um suporte de backup removível. O operador armazena o suporte de backup num local seguro. A realização de backup de dados é uma das formas mais eficazes de proteção contra perda de dados. Se o hardware do computador falhar, o utilizador poderá restaurar os dados do backup logo que o sistema esteja novamente funcional.
A política de segurança da organização deve incluir backups de dados. Os utilizadores devem realizar backups de dados regularmente. Os backups de dados geralmente são armazenados fora do local atual para proteger o suporte de backup se algo acontecer à instalação principal.
Estas são algumas considerações para os backups de dados:
	Frequência - Os backups podem levar muito tempo a realizar. Por vezes, é mais fácil fazer um backup completo mensal ou semanal e, de seguida, fazer backups parciais frequentes de quaisquer dados que tenham sido alterados desde o último backup completo. No entanto, ter muitos backups parciais aumenta o tempo necessário para restaurar os dados.
	Armazenamento — Para maior segurança, transportar os backups para um local de armazenamento externo aprovado numa base diária, semanal ou mensal, conforme requerido pela política de segurança.
	Segurança — Proteger os backups com palavras-passe. De seguida, o operador insere a palavra-passe antes de restaurar os dados do suporte de backup.
	Validação — Validar os backups para garantir a integridade dos dados.
Triagem e Bloqueio de Conteúdo
O software de controlo de conteúdo restringe o conteúdo que um utilizador pode aceder usando um navegador Web pela Internet. O software de controlo de conteúdo pode bloquear sites que contenham certos tipos de material, como pornografia ou conteúdo religioso ou político controversos. Um progenitor pode implementar software de controlo de conteúdo no computador usado por uma criança. As bibliotecas e escolas também implementam o software para impedir o acesso a conteúdos considerados censuráveis.
Um administrador pode implementar os seguintes tipos de filtros:
	Filtros de navegador através de uma extensão de navegador criada por terceiros
	Filtros de email através de um filtro num cliente ou servidor de email
	Filtros do lado do cliente instalados num computador específico
	Filtros de conteúdo num router que impedem a entrada de tráfego na rede
	Filtragem de conteúdo num dispositivo de rede (appliance) semelhante ao de um router
	Filtragem de conteúdo na cloud
Os mecanismos de busca, como o Google, oferecem a opção de ativar um filtro de segurança para excluir hiperligações inapropriadas nos resultados da pesquisa.
Clique aqui para ver uma comparação dos fornecedores de software de controlo de conteúdo.
Clonagem de Disco e Congelamento Profundo
Estão disponíveis muitas aplicações de terceiros para restaurar um sistema de volta a um estado padrão. Isto permite que o administrador proteja o sistema operativo e os ficheiros de configuração de um sistema.
A clonagem de disco copia o conteúdo do disco rígido do computador para um ficheiro imagem. Por exemplo, um administrador cria as partições necessárias num sistema, formata a partição e instala de seguida o sistema operativo. Instala todo o software aplicacional necessário e configura todo o hardware. De seguida, o administrador usa o software de clonagem de disco para criar o ficheiro imagem. O administrador pode usar a imagem clonada da seguinte forma:
	Para limpar automaticamente um sistema e restaurar uma imagem master limpa
	Para implantar novos computadores dentro da organização
	Para fornecer um backup completo do sistema
Clique aqui para uma comparação do software de clonagem de disco.
Deep Freeze “congela” a partição do disco rígido. Quando um utilizador reinicia o sistema, o sistema reverte para sua configuração congelada. O sistema não salva nenhuma alteração que o utilizador faz, portanto, todas as aplicações instaladas ou ficheiros salvos são perdidos quando o sistema é reiniciado.
Se o administrador precisar de alterar a configuração do sistema, este deve primeiro “descongelar” a partição protegida desativando o Deep Freeze. Depois de fazer as alterações, deve reativar o programa. O administrador pode configurar o Deep Freeze para reiniciar após um utilizador efetuar o logout, encerrar após um período de inatividade ou num horário agendado.
Estes produtos não oferecem proteção em tempo real. Um sistema permanece vulnerável até que o utilizador ou um evento agendado reinicie o sistema. Um sistema infectado com código malicioso, porém, obtém um arranque fresco assim que o sistema é reiniciado.
Cabos e Cadeados de Segurança
Existem vários métodos de proteção física de equipamento informático:
	Usar cadeados de cabos com equipamento, como se mostra na Figura 1.
	Manter as salas de telecomunicações trancadas.
	Colocar o equipamento em gaiolas de segurança.
Muitos dispositivos portáteis e monitores de computador caros têm um braço de segurança de aço especialconstruído para usar em conjunto com os cadeados de cabo.
O tipo mais comum de fechadura de porta é uma fechadura com uma chave. Esta não bloqueia automaticamente quando a porta se fecha. Além disso, um indivíduo pode colocar um cartão de plástico fino, como um cartão de crédito, entre a fechadura e o revestimento da porta para forçar a abertura da porta. As fechaduras das portas em edifícios comerciais são diferentes das fechaduras das portas residenciais. Para segurança adicional, uma trava de segurança fornece segurança extra. Qualquer bloqueio que exija uma chave, no entanto, representa uma vulnerabilidade se as chaves forem perdidas, roubadas ou duplicadas.
Uma fechadura com código de segurança, como a da Figura 2, usa botões que um utilizador pressiona numa determinada sequência para abrir a porta. É possível programar uma fechadura com código de segurança. Isto significa que o código de um utilizador só pode funcionar durante determinados dias ou determinados horários. Por exemplo, uma fechadura com código de segurança só pode permitir o acesso do Bob à sala do servidor entre as 7h e as 18h de segunda a sexta-feira. Uma fechadura com código de segurança também pode manter um registro de quando a porta abriu, e o código usado para a abrir.
Temporizadores de Logout
Um funcionário pode levantar-se e deixar o seu computador para fazer uma pausa. Se o funcionário não tomar nenhuma ação para proteger a sua estação de trabalho, qualquer informação nesse sistema fica vulnerável a um utilizador não autorizado. Uma organização pode tomar as seguintes medidas para impedir acessos não autorizados:
Tempo de Inatividade e Bloqueio de Ecrã
Os funcionários podem ou não fazer log out do computador quando deixam o local de trabalho. Portanto, é uma prática recomendada de segurança configurar um temporizador de inatividade que, automaticamente, encerra a sessão do utilizador e bloqueia o ecrã. O utilizador deve fazer login novamente para desbloquear a tela.
Horários de Login
Nalgumas situações, uma organização pode querer que os funcionários façam login durante horários específicos, como das 7h às 18h. O sistema bloqueia logins durante as horas fora do horário permitido para login.
Rastreamento GPS
O Sistema de Posicionamento Global (GPS) usa satélites e computadores para determinar a localização de um dispositivo. A tecnologia GPS é um recurso padrão nos smartphones que fornece o rastreamento da posição em tempo real. O rastreamento GPS pode identificar um local dentro de 100 metros. Esta tecnologia está disponível para rastrear crianças, idosos, animais de estimação e veículos. Utilizar o GPS para localizar um telemóvel sem a permissão do utilizador, é uma invasão de privacidade e é ilegal.
Muitas apps de telemóvel usam rastreamento GPS para rastrear a localização de um telefone. Por exemplo, o Facebook permite que os utilizadores façam check-in num local, que é depois visível às pessoas das suas redes sociais.
Inventário e Etiquetas RFID
A Identificação por Radiofrequência (RFID) usa ondas de rádio para identificar e acompanhar objetos. Os sistemas de inventário RFID usam tags anexadas a todos os itens que uma organização deseja rastrear. As etiquetas contêm um circuito integrado que se liga a uma antena. As etiquetas RFID são pequenas e exigem muito pouca energia, portanto não precisam de uma bateria para armazenar a informação a trocar com um leitor. O RFID pode ajudar a automatizar o rastreamento de ativos ou bloquear, desbloquear ou configurar dispositivos eletrónicos sem fios.
Os sistemas RFID operam dentro de diferentes frequências. Os sistemas de baixa frequência têm uma faixa de leitura mais curta e taxas de leitura de dados mais lentas, mas não são tão sensíveis à interferência de ondas de rádio causadas por líquidos e metais que estejam presentes. Frequências mais altas têm uma taxa de transferência de dados mais rápida e intervalos de leitura mais longos, mas são mais sensíveis à interferência de ondas de rádio.
Administração do Acesso Remoto
Acesso remoto refere-se a qualquer combinação de hardware e software que permite aos utilizadores aceder remotamente a uma rede interna local.
Com o sistema operativo Windows, os técnicos podem usar a Área de Trabalho Remota e a Assistência Remota para reparar e atualizar computadores. A Área de Trabalho Remota, como se mostra na figura, permite que os técnicos visualizem e controlem um computador a partir de um local remoto. A Assistência Remota permite que os técnicos assistam os clientes com problemas desde um local remoto. A Assistência Remota também permite que o cliente vejam no ecrã a reparação ou a atualização em tempo real.
O processo de instalação do Windows não habilita a área de trabalho remota por omissão. Habilitar esta funcionalidade abre a porta 3389 e pode resultar numa vulnerabilidade se um utilizador não necessitar deste serviço.
Telnet, SSH e SCP
O Secure Shell (SSH) é um protocolo que fornece uma ligação de administração segura (criptografada) a um dispositivo remoto. O SSH deve substituir Telnet durantes as ligações de administração. O Telnet é um protocolo mais antigo que usa transmissão de texto claro inseguro tanto durante a autenticação de login (nome de utilizador e palavra-passe) como na transmissão de dados entre os dispositivos em comunicação. O SSH fornece segurança para ligações remotas, fornecendo criptografia forte quando um dispositivo se autentica (nome de utilizador e palavra-passe) e para transmitir dados entre os dispositivos em comunicação. O SSH usa a porta TCP 22. O Telnet usa a porta TCP 23.
Na Figura 1, os cibercriminosos monitorizam os pacotes usando o Wireshark. Na figura 2, os cibercriminosos capturam o nome de utilizador e a palavra-passe do administrador da sessão Telnet a partir do texto claro.
A Figura 3 mostra a visão do Wireshark de uma sessão SSH. Os cibercriminosos seguem a sessão usando o endereço IP do dispositivo do administrador, mas na Figura 4, a sessão cifra o nome do utilizador e a sua palavra-passe.
O Secure Copy (SCP) transfere com segurança ficheiros de computador entre dois sistemas remotos. O SCP usa o SSH para transferência de dados (incluindo o elemento de autenticação), de modo que o SCP garante a autenticidade e a confidencialidade dos dados durante o trânsito.
Segurança de Portas e Serviços
Os cibercriminosos exploram os serviços em execução num sistema porque sabem que a maioria dos dispositivos executa mais serviços ou programas do que necessitam. Um administrador deve examinar todos os serviços para verificar a sua necessidade e avaliar os seus riscos. Remova quaisquer serviços desnecessários.
Um método simples que muitos administradores usam para ajudar a proteger a rede contra acesso não autorizado é desabilitar todas as portas não utilizadas num switch. Por exemplo, se um switch tem 24 portas e há três ligações Fast Ethernet em uso, é uma boa prática desabilitar as 21 portas não utilizadas.
O processo de ativação e desativação de portas pode ser demorado, mas aumenta a segurança na rede e vale a pena o esforço.
Contas Privilegiadas
Os cibercriminosos exploram as contas privilegiadas porque são as contas com mais poder da organização. As contas privilegiadas têm as credenciais para obter acesso aos sistemas e fornecem acesso elevado e irrestrito. Os administradores usam estas contas para implantar e gerir os sistemas operativos, aplicações e dispositivos de rede. A figura resume os tipos de contas privilegiadas.
A organização deve adotar as melhores práticas seguintes para proteger contas privilegiadas:
	Identificar e reduzir o número de contas privilegiadas
	Aplicar o princípio do menor privilégio
	Estabelecer um processo de revogação de direitos quando os funcionários saem ou mudam de emprego
	Eliminar contas partilhadas com palavras-passe que não expiram
	Armazenamento seguro de palavras-passe
	Eliminar credenciais partilhadas para vários administradores
	Alterar automaticamente palavras-passe de conta privilegiadas todos os 30 ou 60 dias
	Gravar sessões privilegiadasImplementar um processo para alterar palavras-passe embebidas para scripts e contas de serviço
	Registar todas as atividades do utilizador
	Gerar alertas para comportamento incomum
	Desativar contas privilegiadas inativas
	Usar autenticação multifator para todo o acesso administrativo
	Implementar um gateway entre o utilizador final e os ativos sensiveis para limitar a exposição da rede a malware
Bloquear as contas privilegiadas é fundamental para a segurança da organização. A proteção destas contas precisa de ser um processo contínuo. Uma organização deve avaliar este processo para fazer os ajustes necessários para melhorar a segurança.
Políticas de Grupo
Na maioria das redes que usam computadores Windows, um administrador configura o Active Directory com Domínios num Windows Server. Os computadores Windows são membros de um domínio. O administrador configura uma Política de Segurança de Domínio que se aplica a todos os computadores que se associam. As políticas de conta são definidas automaticamente quando um utilizador faz login no Windows.
Quando um computador não faz parte de um domínio do Active Directory, o utilizador configura as políticas por meio da Política de Segurança Local do Windows. Em todas as versões do Windows exceto o Home edition, introduza secpol.msc no comando Executar para abrir a ferramenta da Política de Segurança Local.
Um administrador configura as políticas de conta de utilizador, como as políticas de palavra-passe e políticas de bloqueio, expandindo Diretivas de Conta > Política de Palavra-Passe. Com as configurações mostradas na Figura 1, os utilizadores devem alterar suas palavras-chave a cada 90 dias e usar a nova palavra-passe por pelo menos um (1) dia. As palavras-passe devem conter oito (8) caracteres e três das seguintes quatro categorias: letras maiúsculas, letras minúsculas, números e símbolos. Por fim, o utilizador pode reutilizar uma palavra-passe após 24 palavra-passes únicas.
Uma política de bloqueio de conta bloqueia um computador durante a duração configurada quando ocorrem muitas tentativas de login incorretas. Por exemplo, a política mostrada na Figura 2 permite que o utilizador incorpore o nome de utilizador e/ou a palavra-passe errados cinco vezes. Após cinco tentativas, a conta bloqueia os utilizadores por 30 minutos. Após os 30 minutos, o número de tentativas é reposto a zero e o utilizador pode tentar fazer login novamente.
Mais configurações de segurança estão disponíveis expandindo a pasta Políticas Locais. Uma Política de Auditoria cria um ficheiro de log de segurança usado para rastrear os eventos apresentados na Figura 3.
Ativar os Registos e Alertas
Um log regista todos os eventos à medida que estes ocorrem. As entradas do registo compõem um ficheiro log, e uma entrada contém todas as informações relacionadas com um evento específico. Os registos relacionados com a segurança do computador têm crescido de importância.
Por exemplo, um log de auditoria rastreia as tentativas de autenticação do utilizador e um log de acesso fornece todos os detalhes sobre pedidos por ficheiros específicos num sistema. Os logs do Sistema de Monitorização podem determinar como ocorreu um ataque e se as defesas implantadas foram bem-sucedidas.
Com o aumento do enorme número de ficheiros de log gerados para fins de segurança do computador, a organização deve considerar um processo de gestão de logs. A gestão de logs determina o processo de geração, transmissão, armazenamento, análise e eliminação de dados de log de segurança do computador.
Logs dos Sistemas Operativos
O sistema operativo registra eventos que ocorrem devido a ações operacionais executadas pelo sistema operativo. Os eventos do sistema incluem os seguintes:
	Os pedidos de clientes e as respostas do servidor, como as autenticações de utilizadores bem-sucedidas
	As informações de utilização que contêm o número e o dimensão das transações num determinado período de tempo
Logs de Segurança Aplicacional
As organizações usam software de segurança baseado em rede ou baseado num sistema para detectar atividades mal-intencionadas. Este software gera um registo de segurança para fornecer dados de segurança do computador. Os logs são úteis para realizar análises de auditoria e identificar tendências e problemas de longo prazo. Os logs também permitem que uma organização forneça documentação mostrando que está em conformidade com as leis e requisitos regulamentares.
Alimentação
Um problema crítico na proteção dos sistemas de informação são os sistemas de energia elétrica e considerações de energia. Um fornecimento contínuo de energia elétrica é fundamental nas atuais enormes instalações de servidores e para armazenamento de dados. Algumas regras gerais na construção de sistemas de alimentação elétrica eficazes são:
	Os data centers devem estar numa fonte de alimentação diferente do resto do edifício
	Fontes de energia redundantes: duas ou mais alimentações provenientes de duas ou mais subestações elétricas
	Condicionamento de energia
	Os sistemas de energia de backup são frequentemente necessários
	UPS deve estar disponível para desligar os sistemas de forma normal
Uma organização deve-se proteger de vários problemas aquando o projeto dos seus sistemas de fornecimento de energia elétrica.
O Excesso de Energia
	Spike: sobretensão momentânea
	Surge: sobretensão prolongada
Perda de Potência
	Falha: perda momentânea de energia
	Blackout: perda completa de energia
Degradação de Energia
	SAG/DIP: queda de tensão momentânea
	Brownout: queda de tensão prolongada
	Corrente de Inrush: energia de arranque inicial
Aquecimento, Ventilação e Ar Condicionado (HVAC)
Os sistemas HVAC são fundamentais para a segurança das pessoas e sistemas de informação nas instalações da organização. No projeto de modernas instalações TI, estes sistemas desempenham um papel muito importante na segurança global. Os sistemas HVAC controlam o ambiente (temperatura, humidade, fluxo de ar e filtragem de ar) e devem ser projetados e operados juntamente com outros componentes do data center, como hardware computacional, cablagem, armazenamento de dados, proteção contra incêndios, sistemas de segurança física e energia. Quase todos os dispositivos de hardware de computador físico vêm com requisitos ambientais que incluem intervalos aceitáveis de temperatura e humidade. Os requisitos ambientais aparecem no documento das especificações de um produto ou num guia de planeamento físico. É fundamental manter esses requisitos ambientais para evitar falhas no sistema e prolongar a vida útil dos sistemas de TI. Sistemas de climatização comercial e outros sistemas de gestão de edifícios agora ligam-se à Internet para monitorização e controlo remoto. Eventos recentes mostraram que esses sistemas (muitas vezes chamados de “sistemas inteligentes”) também levantam grandes implicações de segurança.
Um dos riscos associados aos sistemas inteligentes é que os indivíduos que acedem e gerem ao sistema trabalham para uma entidade contratada ou para um fornecedor terceirizado. Como os técnicos de AVAC precisam de ser capazes de encontrar informações rapidamente, os dados cruciais tendem a ser armazenados em muitos lugares diferentes, tornando-os acessíveis a ainda mais pessoas. Tal situação permite que uma ampla rede de indivíduos, incluindo até mesmo associados de empreiteiros, ganhe acesso às credenciais de um sistema HVAC. A interrupção desses sistemas pode representar um risco considerável para a segurança da informação da organização.
Monitorização de Hardware
A monitorização de hardware é frequentemente encontrada em farms de grande servidores. Um farm de servidores é uma instalação que aloja centenas ou milhares de servidores para empresas. O Google tem muitas farms de servidores em todo o mundo para fornecer serviços ideais. Mesmo empresas menores estão construindo farms de servidores locais para alojar o número crescente de servidores de que precisam para realizar os seus negócios. Os sistemas de monitorização de hardwaresão usados para monitorizar a integridade desses sistemas e para minimizar o tempo de inatividade do servidor e da aplicação. Os modernos sistemas de monitorização de hardware usam portas USB e de rede para transmitir a condição de temperatura do CPU, status da fonte de alimentação, velocidade e temperatura da ventoinha, status da memória, espaço em disco e status da placa de rede. Os sistemas de monitorização de hardware permitem que um técnico monitorize centenas ou milhares de sistemas a partir de um único terminal. Há medida que o número de farms de servidores continua a crescer, os sistemas de monitorização de hardware tornaram-se uma contramedida de segurança essencial.
Centros de Operação
O Centro de Operação de Rede (NOC) é um ou mais locais que contêm as ferramentas que fornecem aos administradores um status detalhado da rede da organização. O NOC é a base do alicerce para a depuração e solução de problemas de rede, monitorização de desempenho, distribuição e atualizações de software, administração de comunicações e administração de dispositivos.
O Centro de Operações de Segurança (SOC) é um site dedicado que monitoriza, avalia e defende os sistemas de informação da organização, como sites, aplicações, bases de dados, data centers, redes, servidores e sistemas de utilizadores. Um SOC é uma equipa de analistas de segurança que detetam, analisam, respondem, relatam e evitam incidentes de cibersegurança.
Ambas as entidades usam uma estrutura de camada hierárquica para manipular eventos. A primeira camada lida com todos os eventos e escala qualquer evento que não possa manipular para o segundo nível. A equipa do Nível 2 analisa o evento em detalhe e tentar resolvê-lo. Se não puderem, esta escala o evento para o Nível 3, os especialistas na matéria.
Para medir a eficácia geral de um centro de operações, uma organização realizará simulacros e exercícios realistas. Um exercício de simulação de mesa é um passo-a-passo estruturado por uma equipa para simular um evento e avaliar a eficácia do centro. Uma medida mais eficaz é simular uma intrusão de pleno direito sem aviso. Isto envolve o uso de uma Equipa Vermelha, ou Red Team, um grupo independente de indivíduos que desafia os processos dentro de uma organização, para avaliar a eficácia da organização. Por exemplo, a Equipa Vermelha deve atacar um sistema de missão crítica e incluir reconhecimento e ataque, escalonamento de privilégios e acesso remoto.
Switches, Routers e Dispositivos de Rede
Os dispositivos de rede (appliances) são entregues sem palavras-passe ou senhas por omissão. Altere as palavras-passe por omissão antes de ligar qualquer dispositivo à rede. Documente as alterações aos dispositivos de rede e registe as alterações. Por fim, examine todos os logs de configuração.
As seções seguintes discutem várias medidas que um administrador pode tomar para proteger os vários dispositivos de rede.
Switches
Switches de rede são o coração de uma rede moderna de comunicação de dados. A principal ameaça aos switches de rede são o roubo, a invação e acesso remoto, os ataques contra protocolos de rede como ARP/STP ou os ataques contra desempenho e disponibilidade. Várias contramedidas e controlos podem proteger os routers de rede, incluindo melhoria da segurança física, configurações avançadas, uso de protocolos de encaminhamento seguros com autenticação, e atualizações do sistemas e patches adequados, conforme necessário. Outro controlo efetivo é a implementação da segurança de portas. Um administrador deve proteger todas as portas do switch (interfaces) antes de colocar o switch para uso em produção. Uma forma de proteger portas é através da implementação de uma funcionalidade chamada segurança de porta, ou port-security. A segurança de portas limita o número de endereços MAC válidos permitidos numa porta. O switch permite o acesso de dispositivos com endereços MAC legítimos, enquando nega outros endereços MAC.
VLANs
As VLANs forneçem uma forma de agrupar dispositivos de uma rede LAN e em switches individuais. As VLANs usam ligações lógicas em vez de ligações físicas. As portas individuais de um switch podem ser atribuídas a uma VLAN específica. Outras portas podem ser usadas para interligar fisicamente switches e permitir o tráfego de multiplas VLAN entre switches. Estas portas são chamadas de troncos.
Por exemplo, o departamento de RH pode precisar de proteger dados confidenciais. As VLAN permitem que um administrador segmente as redes com base em fatores como a função, equipa de projeto ou aplicação, sem considerar a localização física do utilizador ou dispositivo, conforme se mostra na Figura 1. Os dispositivos dentro de uma VLAN atuam como se estivessem na sua própria rede independente, mesmo que partilhem uma infraestrutura comum com outras VLANs. Uma VLAN pode separar grupos que têm dados confidenciais do resto da rede, diminuindo as possibilidades de violações de informações confidenciais. Os troncos permitem que os indivíduos na VLAN HR sejam ligados fisicamente aos vários switches.
Existem muitos diferentes tipos de vulnerabilidades e ataques às VLAN. Estes podem incluir atacar os protocolos VLAN e de Trucking. Os detalhes destes ataques estão além do âmbito deste curso. Os hackers também podem atacar o desempenho e a disponibilidade da VLAN. As contramedidas comuns incluem monitorização das alterações e desempenho das VLAN, configurações avançadas e patches regulares ao sistema e atualizações ao IOS.
Firewalls
Os Firewalls são soluções de hardware ou software que aplicam políticas de segurança de rede. Um firewall filtra o tráfego não autorizado ou potencialmente perigoso de entrar na rede. Um firewall simples fornece recursos básicos de filtragem de tráfego usando listas de controlo de acesso (ACLs). Os administradores usam ACLs para impedir o tráfego ou permitir somente o tráfego especificado nas suas redes. Uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços ou protocolos. As ACLs fornecem uma forma poderosa de controlar o tráfego na direção de entrada ou de saída de uma rede. Os firewalls mantêm os ataques fora de uma rede privada e são um alvo comum de hackers para vencer as suas proteções. A principal ameaça aos firewalls são roubo, hacking e acesso remoto, ataques contra ACLs ou ataques contra desempenho e disponibilidade. Várias contramedidas e controlos podem proteger os firewalls, incluindo melhoria da segurança física, configurações avançadas, acessos remotos seguros com autenticação, e atualizações de sistema e patches adequados, conforme for necessário.
Routers
Os routers formam a espinha dorsal da Internet e comunicações entre diferentes redes. Os routers comunicam uns com os outros para identificar o melhor caminho possível para entregar o tráfego a redes diferentes. Os routers usam protocolos de encaminhamento para tomar a decisão de encaminhamento. Os routers podem também integrar outros serviços, como recursos de comutação e firewall. Essas operações tornam os routers como alvos primordiais. A principal ameaça aos routers de rede são roubo, invação e acesso remoto, ataques contra protocolos de encaminhamento como os protocolos RIP/OSPF ou ataques contra desempenho e disponibilidade. Várias contramedidas e controlos podem proteger os routers de rede, incluindo melhoria da segurança física, configurações avançadas, uso de protocolos de encaminhamento seguros com autenticação, e atualizações de sistemas e patches adequados, conforme necessário.
Dispositivos Móveis e Sem fios
Os dispositivos móveis e sem fios tornaram-se o tipo de dispositivos predominante na maioria das redes modernas. Fornecem mobilidade e conveniência, mas representam uma série de vulnerabilidades. Como vulnerabilidades incluem o roubo, invasão e acesso remoto não autorizado, sniffing, ataques man-in-the-middle e ataques contra desempenho e disponibilidade. A melhor maneira de proteger uma rede sem fios é usar autenticação e criptografia. A norma original sem fios, a 802.11, introduziu dois tipos de autenticaçãocomo se mostra na figura:
	Autenticação de sistema aberto - Qualquer dispositivo sem fios pode-se ligar à rede sem fios. Usar este método em situações em que a segurança não é motivo de preocupação.
	Autenticação de chave partilhada - Fornece mecanismos para autenticar e cifrar os dados entre um cliente sem fios e um AP ou router sem fios.
As três técnicas de autenticação por partilha de chave para WLAN são as seguintes:
	Wired Equivalent Privacy (WEP) - Esta era a especificação 802.11 original para a segurança de WLANs. No entanto, a chave de criptografia nunca muda ao trocar pacotes, facilitando a invasão.
	Wi-Fi Protected Access (WPA) - Esta norma usa WEP, mas protege os dados com o algoritmo de criptografia TKIP (Temporal Key Integrity Protocol) muito mais forte. TKIP muda a chave para cada pacote, tornando muito mais difícil de hackear.
	IEEE 802.11i/WPA2 - IEEE 802.11i é agora a norma da indústria usada para proteger as WLANs. O 802.11i e o WPA2 usam o Advanced Encryption Standard (AES) para criptografia, que é atualmente o protocolo de criptografia mais forte.
Desde 2006, qualquer dispositivo que ostente o logotipo Wi-Fi Certified é certificado pela WPA2. Consequentemente, as modernas WLAN devem sempre usar a norma 802.11i/WPA2. Outras contramedidas incluem segurança física reforçada e atualizações regulares do sistema e patches de dispositivos.
Serviços de Rede e Encaminhamento
Os cibercriminosos usam os serviços de rede vulneráveis para atacar um dispositivo ou usá-lo como parte do ataque. Para verificar se há serviços de rede inseguros, reveja se um dispositivo tem portas abertas usando um scanner de portas. Um port scanner é uma aplicação que prova um dispositivo quanto às portas abertas enviando uma mensagem para cada porta e aguardando por uma resposta. A resposta indica como a porta é usada. Os cibercriminosos também usarão port scanners pelo mesmo motivo. A proteção dos serviços de rede garante que apenas as portas necessárias estejam expostas e disponíveis.
Dynamic Host Control Protocol (DHCP)
O DHCP usa um servidor para atribuir automaticamente um endereço IP e outras informações de configuração aos dispositivos de rede. Na verdade, o dispositivo está obtendo uma permissão do servidor DHCP para usar a rede. Os atacantes podem visar servidores DHCP para negar o acesso aos dispositivos na rede. A Figura 1 fornece uma lista de verificação de segurança do DHCP.
Domain Name System (DNS)
O DNS resolve um URL do Uniform Resource Locator ou endereço de site (http://www.cisco.com) para o endereço IP do site. Quando os utilizadores digitam um endereço web na barra de endereços, dependem dos servidores DNS para resolver o endereço IP real desse destino. Os invasores podem ter como alvo os servidores DNS para negar o acesso aos recursos da rede ou redirecionar o tráfego para sites desonestos. Clique na Figura 2 para ver uma lista de verificação de segurança do DNS. Utilize um serviço seguro e autenticação entre servidores DNS para protegê-los contra esses ataques.
Internet Control Messaging Protocol (ICMP)
Os dispositivos de rede usam o ICMP para enviar mensagens de erro como um serviço solicitado não está disponível ou que o anfitrião não conseguiu alcançar o router. O comando ping é um utilitário de rede que usa o ICMP para testar a conetividade de um anfitrião numa rede. O Ping envia mensagens ICMP ao anfitrião e aguarda por uma resposta. Os cibercriminosos podem alterar o uso do ICMP para os propósitos maléficos listados na Figura 3. Os ataques de negação de serviço usam ICMP, de modo que muitas redes filtram determinados pedidos ICMP para evitar tais ataques.
Routing Information Protocol (RIP)
O RIP limita o número de saltos permitidos num caminho numa rede desde o dispositivo de origem ao destino. O número máximo de saltos permitidos para o RIP é quinze. O RIP é um protocolo de encaminhamento usado para trocar informações de encaminhamento sobre quais as redes que cada router pode atingir e quão distantes tais redes estão. O RIP calcula a melhor rota baseada na contagem do número de saltos. A Figura 4 lista as vulnerabilidades RIP e as defesas do RIP contra ataques. Os hackers podem ter como alvos os routers e o protocolo RIP. Os ataques aos serviços de encaminhamento podem afetar o desempenho e a disponibilidade. Alguns ataques podem até resultar em redirecionamento de tráfego. Use serviços seguros com autenticação e implemente patches e atualizações do sistema para proteger serviços de encaminhamento, como o RIP.
Protocolo de hora da rede (NTP)
Ter o tempo correto dentro das redes é importante. As etiquetas temporais (timestamps) corretas rastreiam com precisão os eventos de rede, como as violações de segurança. Além disso, a sincronização do relógio é fundamental para a interpretação correta dos eventos dentro dos ficheiros de dados do syslog assim como para certificados digitais.
O protocolo Network Time Protocol (NTP) é um protocolo que sincroniza os relógios dos sistemas informáticos através de redes de dados. O NTP permite que os dispositivos de rede sincronizem as suas configurações de tempo com um servidor NTP. A Figura 5 lista os vários métodos usados para fornecer o clocking seguro para a rede. Os cibercriminosos atacam os servidores de tempo para interromper a comunicação segura que depende de certificados digitais e para ocultar informações de ataque, como timestamps precisos.
Equipamento VoIP
Voz sobre IP (VoIP) usa redes como a Internet para fazer e receber chamadas telefónicas. O equipamento necessário para VoIP inclui uma ligação com a Internet e um telefone. Várias opções estão disponíveis para o dispositivo telefónico:
	Um telefone tradicional com um adaptador (o adaptador atua como uma interface de hardware entre um telefone analógico tradicional e uma linha VoIP digital)
	Um telefone habilitado para VoIP
	Software VoIP instalado num computador
A maioria dos serviços VoIP consumidor usa a Internet para realizar as chamadas telefónicas. Muitas organizações, no entanto, usam as suas redes privadas porque fornecem maior segurança e qualidade de serviço. A segurança VoIP é tão confiável quanto a segurança de rede subjacente. Os cibercriminosos visam esses sistemas para obter acesso a serviços telefónicos gratuitos, espiar chamadas telefônicas ou para afetar o desempenho e a disponibilidade do serviço.
Implemente as seguintes contramedidas para proteger o VoIP:
	Cifre os pacotes das mensagens de voz para proteger contra espionagem.
	Use SSH para proteger gateways e switches.
	Altere todas as palavras-passe por omissão.
	Use um sistema de deteção de intrusão para detetar ataques como envenenamento por ARP.
	Use a autenticação forte para mitigar a falsificação do registo (os cibercriminosos encaminham todas as chamadas recebidas para a vítima), o proxy representando (engana a vítima para esta comunicar com um proxy desonesto estabelecido pelos cibercriminosos), e o sequestro de chamada (a chamada é interceptada e redirecionada para um caminho diferente antes da chegada ao destino).
	Implemente firewalls que reconhecem VoIP para monitorar fluxos e filtrar sinais anormais.
Quando a rede vai a baixo, as comunicações de voz também vão a baixo.
Câmeras
Uma câmera Internet envia e recebe dados através de uma rede LAN e/ou pela Internet. Um utilizador pode visualizar remotamente vídeo ao vivo usando um navegador Web numa ampla variedade de dispositivos, incluindo sistemas de computador, portáteis, tablets e smartphones.
As câmeras vêm em várias formas, incluindo a câmera de segurança tradicional. Outras opções incluem câmeras de Internet discretamente escondidas em rádios de relógio, livros ou leitores de DVD.
As câmeras de Internet transmitem vídeo digital através de uma ligação de dados. A câmera liga-se diretamente à rede e tem tudo o que é necessário para transferir as imagens através da rede. A figura lista as melhores práticas para os sistemas de câmera.
Equipamento de Videoconferência
O equipamento de Videoconferência permite que dois ou maislocais comuniquem simultaneamente usando tecnologias de telecomunicações. Estas tecnologias tiram proveito das novas normas de vídeo de alta definição. Produtos como o Cisco TelePresence permitem que um grupo de pessoas num local possam conferenciar com um grupo de pessoas noutros locais em tempo real. A videoconferência é agora parte das operações normais do dia-a-dia em indústrias como a área médica. Os médicos podem rever os sintomas do paciente e consultar especialistas para identificar potenciais tratamentos.
Muitas farmácias locais empregam assistentes médicos que se podem ligar ao vivo a médicos usando videoconferência para agendar visitas ou respostas de emergência. Muitas organizações na área do fabrico manual estão usando a teleconferência para ajudar engenheiros e técnicos a executar operações complexas ou tarefas de manutenção. Os equipamentos de videoconferência podem ser extremamente caros e são alvos de constantes ataques por assaltantes e cibercriminosos. Clique aqui para assistir a um vídeo demonstrando o poder dos sistemas de videoconferência. Os cibercriminosos visam estes sistemas para espiar chamadas de vídeo ou afetar o desempenho e a disponibilidade.
Sensores de Rede e IoT
Um dos setores que mais cresce na tecnologia da informação é o uso de dispositivos inteligentes e sensores. A indústria de computadores identifica este setor como a Internet das Coisas (IoT). Empresas e consumidores usam dispositivos IoT para automatizar processos, monitorizar condições ambientais e alertar o utilizador sobre condições adversas. A maioria dos dispositivos IoT liga-se a uma rede via tecnologia sem fios, isto inclui câmeras, fechaduras de portas, sensores de proximidade, lâmpadas e outros tipos de sensores usados para recolher informações sobre um ambiente ou o status de um dispositivo. Vários fabricantes de aparelhos usam a IoT para informar os utilizadores sobre que peças precisam de substituição, que os componentes estão falhando ou que os consumíveis estão se esgotando.
As empresas usam estes dispositivos para rastrear o inventário, os veículos e as pessoas. Os dispositivos IoT contêm sensores geoespaciais. Um utilizador pode localizar globalmente, monitorizar e controlar variáveis ambientais, tais como a temperatura, humidade e iluminação. A indústria IoT representa um enorme desafio para os profissionais de segurança da informação, porque muitos dispositivos IoT capturam e transmitem informações confidenciais. Os cibercriminosos visam esses sistemas para interceptar dados ou afetar o desempenho e a disponibilidade.
Cercas e Barricadas
As barreiras físicas são a primeira coisa que vem à mente quando se pensa em segurança física. Esta é a camada mais externa de segurança, e estas soluções são as mais visíveis publicamente. Um sistema de segurança de perímetro normalmente consiste nos seguintes componentes:
	Sistema de Vedação do Perímetro
	Sistema de porta de segurança
	Postes de amarração (um poste curto usado para proteger contra intrusões de veículos, como se mostra na Figura 2)
	Barreiras de entrada de veículos
	Abrigos de guarda
Uma cerca é uma barreira que envolve áreas seguras e designa os limites da propriedade. Todas as barreiras devem atender a requisitos específicos de projeto e especificações de fabrico. Áreas de alta segurança geralmente exigem um “protetor superior”, como arame farpado ou fio de concertina. Ao projetar o perímetro, os sistemas de cercas usam as seguintes regras:
	1 metro (3-4 ft.) só irá dissuadir invasores casuais
	2 metros (6-7 pés) são muito altos para se escalado por invasores casuais
	2,5 metros (8 pés) oferecerão atraso limitado a um intruso determinado
Os seguranças superiores fornecem um dissuasor adicional e podem atrasar o intruso cortando severamente o intruso; no entanto, os atacantes podem usar um cobertor ou colchão para aliviar essa ameaça. Os regulamentos locais podem restringir o tipo de sistema de cercas que uma organização pode usar.
Cercas requerem manutenção regular. Os animais podem cavar sob a cerca ou a terra pode cair, deixando a cerca instável, proporcionando fácil acesso para um intruso. Inspecione sistemas de cercas regularmente. Não estacionar veículos perto de cercas. Um veículo estacionado perto da cerca pode ajudar o intruso a subir ou a danificar cerca. Clique aqui para obter recomendações adicionais às cercas.
Biometria
A Biometria descreve os métodos automatizados de reconhecimento de um indivíduo baseados numa característica fisiológica ou comportamental. Os sistemas de autenticação biométrica incluem medições da face, impressão digital, geometria manual, íris, retina, assinatura e voz. As tecnologias biométricas podem ser a base de soluções de identificação e verificação pessoal altamente seguras. A popularidade e o uso de sistemas biométricos aumentaram devido ao aumento do número de violações de segurança e fraude de transações. A Biometria fornece transações financeiras confidenciais e privacidade de dados pessoais. Por exemplo, a Apple usa tecnologia de impressão digital nos seus smartphones. A impressão digital do utilizador desbloqueia o dispositivo e permite o acesso a várias aplicações, como serviços bancários on-line ou aplicações de pagamento.
Quando se comparam os sistemas biométricos, existem vários fatores importantes a serem considerados, incluindo a precisão, a velocidade ou taxa de transmissão, aceitação pelos utilizadores, singularidade do órgão biométrico e ação, resistência à falsificação, confiabilidade, requisitos de armazenamento de dados, tempo de inscrição e intrusão do varrimento ou leitura. O fator mais importante é a precisão. A precisão é expressa em tipos e taxas de erro.
A primeira taxa de erros é Erros do Tipo I ou rejeições falsas. Um Erro Tipo I rejeita uma pessoa que se regista e é um utilizador autorizado. No controlo de acesso, se o requisito é manter os bandidos fora, falsa rejeição é o erro menos importante. No entanto, em muitas aplicações biométricas, falsas rejeições podem ter um impacto muito negativo no negócio. Por exemplo, o banco ou a loja de retalho precisa autenticar a identidade do cliente e o saldo da conta. Uma falsa rejeição significa que a transação ou venda é perdida e o cliente fica chateado. A maioria dos banqueiros e retalhistas estão dispostos a permitir que algumas falsas aceitações, desde que hajam falsas rejeições mínimas.
A taxa de aceitação é indicada como uma percentagem e é a taxa em que um sistema aceita indivíduos ou impostores não inscritos como utilizadores autênticos. A falsa aceitação é um erro de Tipo II. Os erros do tipo II permitem que os bandidos entrem, por isso são normalmente considerados como o erro mais importante para um sistema de controlo de acesso biométrico.
O método mais utilizado para medir a precisão da autenticação biométrica é o ponto de equilibrio CER (Crossover Error Rate). O CER é a taxa onde a taxa de rejeição falsa e a taxa de aceitação falsa são iguais como se observa na figura.
Crachás e Logs de Acesso
Um cartão de acesso permite que um indivíduo obtenha acesso a uma área com pontos de entrada automatizados. Um ponto de entrada pode ser uma porta, um torniquete, um portão ou outra barreira. Os cráchás ou cartões de acesso usam várias tecnologias, como uma fita magnética, código de barras ou biometria.
Um leitor de cartão lê um número contido no cartão de acesso. O sistema envia o número para um computador que toma decisões de controlo de acesso com base na credencial fornecida. O sistema regista a transação para recuperação posterior. Os relatórios revelam quem entrou em quais pontos de entrada e a que horas.
Seguranças e Escoltas
Todos os controlos de acesso físico, incluindo sistemas de dissuasão e deteção, em última análise, dependem de pessoal para intervir e parar o ataque real ou intrusão. Em instalações de sistemas de informações altamente seguras, os seguranças controlam o acesso às áreas sensíveis da organização. O benefício de usar seguranças é que eles podem adaptar-se mais do que os sistemas automatizados.Os seguranças podem aprender e distinguir muitas diferentes condições e situações e tomar decisões no próprio local. Os guarda costas ou seguranças são a melhor solução para controlo de acesso quando a situação requer uma resposta instantânea e apropriada. No entanto, os seguranças nem sempre são a melhor solução. Existem inúmeras desvantagens no uso de guardas costas ou seguranças, incluindo o custo e a capacidade de monitorizar e registar um alto volume de tráfego. O uso de seguranças também introduz o erro humano à equação.
Vigilância Eletrónica e Videovigilância
A Vigilância Eletrónica e Videovigilância pode complementar ou, em alguns casos, substituir os seguranças. O benefício da vigilância eletrónica e por vídeo é a capacidade de monitorizar áreas mesmo quando nenhum segurança ou pessoal está presente, a capacidade de gravar e registar vídeos e dados de vigilância por longos períodos e a capacidade de incorporar deteção de movimento e notificação.
A vigilância eletrónica e videovigilância também pode ser mais precisa na captura de eventos mesmo depois de ocorrerem. Outra grande vantagem da vigilância eletrónica e videovigilância é esta fornecer pontos de vista não facilmente obtidos com seguranças. Também pode ser muito mais económico usar câmeras para monitorizar todo o perímetro de uma instalação. Num ambiente altamente seguro, uma organização deve colocar vigilância eletrónica e por vídeo em todas as entradas, saídas, baías de carga, escadas e áreas de recolha de lixo. Na maioria dos casos, a vigilância elétronica e videovigilância complementam os seguranças.
Vigilância RFID e Sem fios
Gerir e localizar ativos importantes do sistema de informação são um desafio fundamental para a maioria das organizações. O crescimento do número de dispositivos móveis e dispositivos IoT tornou esta tarefa ainda mais difícil. O tempo gasto na procura de equipamentos críticos pode levar a atrasos ou tempo de inatividade dispendiosos. O uso de etiquetas na identificação de ativos por radiofrequência (RFID) pode ser uma mais valia para a equipa de segurança. Uma organização pode colocar leitores RFID nos caixilhos das portas de áreas seguras para que não fiquem visíveis para os indivíduos.
O benefício das etiquetas de ativos RFID é que estas podem rastrear qualquer ativo que deixe fisicamente uma área segura. Os novos sistemas de etiquetas de ativos RFID podem ler várias etiquetas em simultâneo. Os sistemas RFID não exigem linha de vista para varrer as etiquetas. Outra vantagem do RFID é a capacidade de ler etiquetas que não são visíveis. Ao contrário dos códigos de barras e das etiquetas legíveis por seres humanos que devem estar fisicamente localizadas e visíveis para leitura, as etiquetas RFID não precisam de estar visíveis para se digitalizar. Por exemplo, etiquetar um PC por baixo de uma mesa exigiria que o pessoal rasteje sob a mesa para localizar fisicamente e visualizar a etiqueta ao usar um processo manual ou de código de barras. O uso de uma etiqueta RFID permitiria que o pessoal digitalizasse a etiqueta sem necessidade de a ver.
Capítulo 7: Proteção de um Domínio de Cibersegurança
Este capítulo discutiu as tecnologias, processos e procedimentos que os profissionais de cibersegurança usam para defender os sistemas, dispositivos e dados que compõem a infraestrutura de rede.
A Blindagem de um dispositivo anfitrião inclui proteger o sistema operativo, implementar uma solução antivírus e usar soluções baseadas no computador anfitrião, como firewalls e sistemas de deteção de intrusões.
O Blindagem do servidor inclui a administração de acesso remoto, a proteção de contas privilegiadas e os serviços de monitorização.
A proteção de dados inclui controlo de acesso a ficheiros e implementação de medidas de segurança para garantir a confidencialidade, integridade e disponibilidade dos dados.
A Blindagem de dispositivos também envolve a implementação de métodos comprovados para proteger fisicamente dispositivos de rede. A Proteção de um domínio de cibersegurança é um processo contínuo para proteger a infraestrutura de rede de uma organização e requer uma vigilância constante contra ameaças.
Capítulo 8: Tornar-se um Especialista em Cibersegurança
O avanço da tecnologia forneceu uma série de dispositivos usados na sociedade numa base diária que interconecta o mundo. Esse aumento da conectividade, porém, resulta em maior risco de roubo, fraude e abuso em toda a infraestrutura tecnológica. Este capítulo categoriza a infraestrutura de tecnologia da informação em sete domínios. Cada domínio requer os controles de segurança adequados para atender aos requisitos da tríade CIA.
O capítulo discute as leis que afetam os requisitos de tecnologia e segurança cibernética. Muitas dessas leis concentram-se em diferentes tipos de dados encontrados em vários setores e contêm conceitos de privacidade e segurança da informação. Várias agências dentro do governo dos EUA regulam a conformidade de uma organização com esses tipos de leis. O especialista em segurança cibernética precisa entender como a lei e os interesses da organização ajudam a orientar decisões éticas. A ética cibernética analisa o efeito do uso de computadores e tecnologia nos indivíduos e na sociedade.
As organizações empregam especialistas em segurança cibernética em várias posições diferentes, como testadores de penetração, analistas de segurança e outros profissionais de segurança de rede. Especialistas em segurança cibernética ajudam a proteger os dados pessoais e a capacidade de usar serviços baseados em rede. O capítulo discute o caminho para se tornar um especialista em segurança cibernética. Finalmente, este capítulo discute várias ferramentas disponíveis para especialistas em segurança cibernética.
Ameaças e Vulnerabilidades Comuns ao Utilizador
O Domínio do Utilizador inclui os utilizadores que acessam o sistema de informações da organização. Os utilizadores podem ser funcionários, clientes, donos de negócios e outros indivíduos que precisam de acesso aos dados. Os utilizadores geralmente são o elo mais fraco nos sistemas de segurança da informação e representam uma ameaça significativa à confidencialidade, integridade e disponibilidade dos dados da organização.
Práticas de utilizadores arriscadas ou insatisfatórias muitas vezes prejudicam até mesmo o melhor sistema de segurança. Veja a seguir as ameaças comuns de utilizador encontradas em muitas organizações:
	Sem conhecimento da segurança — os utilizadores devem estar cientes de dados confidenciais, políticas e procedimentos de segurança, tecnologias e contramedidas fornecidas para proteger os sistemas de informação e informação.
	Políticas de segurança mal aplicadas — todos os utilizadores devem estar cientes das políticas de segurança e das consequências do não cumprimento das políticas da organização.
	Roubo de dados — o roubo de dados pelos utilizadores pode custar às organizações financeiramente, resultando em danos à reputação de uma organização ou representando uma responsabilidade legal associada à divulgação de informações confidenciais.
	Downloads não autorizados — muitas infecções e ataques de rede e estações de trabalho remontam a utilizadores que descarregam e-mails, fotos, músicas, jogos, aplicações, programas e vídeos não autorizados para estações de trabalho, redes ou dispositivos de armazenamento.
	Mídia não autorizada — o uso de mídias não autorizadas como CDs, drives USB e dispositivos de armazenamento em rede pode resultar em infeções e ataques de malware.
	VPNs não autorizadas — VPNs podem ocultar o roubo de informações não autorizadas. A criptografia normalmente usada para proteger a confidencialidade cega a equipa de segurança de TI à transmissão de dados sem autoridade adequada.
	Sites não autorizados — o acesso a sites não autorizados pode representar um risco para os dados, dispositivos e a organização do utilizador. Muitos sites solicitam que os visitantes descarreguem scripts ou plugins que contêm código malicioso ou adware. Alguns desses sites podem assumir ocontrole de dispositivos como câmeras e aplicativos.
	Destruição de sistemas, aplicações ou dados — destruição acidental ou deliberada ou sabotagem de sistemas, aplicações e dados representam um grande risco para todas as organizações. Ativistas, funcionários insatisfeitos e concorrentes do setor podem excluir dados, destruir dispositivos ou configurar dispositivos incorretos para tornar os sistemas de dados e informações indisponíveis.
Nenhuma solução técnica, controles ou contramedidas tornam os sistemas de informação mais seguros do que os comportamentos e processos das pessoas que usam esses sistemas.
Gestão das ameaças do utilizador
As organizações podem implementar várias medidas para gerir ameaças de utilizadores:
	Conduza um treino de consciencialização de segurança exibindo cartazes de consciencialização de segurança, inserindo lembretes em saudações de banner e enviando lembretes por e-mail aos funcionários.
	Eduque os utilizadores anualmente sobre políticas, manuais de equipe e atualizações de manuais.
	Vincule a consciencialização de segurança aos objetivos de análise de desempenho
	Ative a filtragem de conteúdo e a verificação antivírus para anexos de e-mail.
	Use a filtragem de conteúdo para permitir ou negar nomes de domínio específicos de acordo com as Políticas de Uso Aceitável (AUP).
	Desative unidades de CD internas e portas USB.
	Ative verificações antivírus automáticas para unidades de mídia inseridas, ficheiros e anexos de e-mail.
	Restrinja o acesso dos utilizadores apenas aos sistemas, aplicações e dados necessários para executar seu trabalho.
	Minimize as permissões de gravação/exclusão apenas para o proprietário dos dados.
	Acompanhe e monitore o comportamento anormal dos funcionários, o desempenho errático do trabalho e o uso da infraestrutura de TI fora do horário de trabalho.
	Implemente procedimentos de bloqueio de controle de acesso com base no monitoramento e conformidade da AUP.
	Ative a monitorização do sistema de detecção de intrusões/sistema de prevenção de intrusões (IDS/IPS) para posições e acesso confidenciais dos funcionários.
A tabela mostrada na figura corresponde às ameaças do domínio do utilizador com as contramedidas usadas para geri-lo.
Ameaças Comuns aos Dispositivos
Um dispositivo é qualquer computador desktop, laptop, tablet ou smartphone que se conecte à rede.
Os seguintes representam uma ameaça para os dispositivos:
	Estações de trabalho sem supervisão — estações de trabalho deixadas ligadas e sem supervisão representam um risco de acesso não autorizado a recursos de rede
	Downloads de utilizadores — ficheiros descarregados, fotos, músicas ou vídeos podem ser um veículo para código malicioso
	Software não corrigido — vulnerabilidades de segurança de software fornecem fraquezas que os criminosos cibernéticos podem explorar
	Malware — novos vírus, worms e outros códigos maliciosos surgem diariamente
	Mídia não autorizada — os utilizadores que inserem unidades USB, CDs ou DVDs podem introduzir malware ou correr o risco de comprometer os dados armazenados na estação de trabalho
	Violação de Política de Uso Aceitável — políticas estão em vigor para proteger a infraestrutura de TI da organização
Gestão de Ameaças ao Dispositivo
As organizações podem implementar várias medidas para gerir ameaças a dispositivos:
	Estabeleça políticas para proteção por palavra-passe e limites de bloqueio em todos os dispositivos.
	Ativar o bloqueio da tela durante períodos de inatividade.
	Desabilite direitos administrativos para utilizadores.
	Defina políticas, padrões, procedimentos e diretrizes de controle de acesso.
	Atualize e corrija todos os sistemas operativos e aplicações de software.
	Implemente soluções antivírus automatizadas que examinam o sistema e atualizam o software antivírus para fornecer proteção adequada.
	Desative todas as portas de CD, DVD e USB.
	Habilite verificações automáticas de antivírus para qualquer CD, DVD ou unidade USB inserida.
	Usar filtragem de conteúdos.
	Exigir treino anual de conscientização de segurança ou implementar campanhas e programas de conscientização de segurança que sejam executados ao longo do ano.
A tabela mostrada na figura corresponde às ameaças de domínio do dispositivo com as contramedidas usadas para geri-las.
Ameaças Comuns à LAN
A rede local (LAN) é uma coleção de dispositivos interconectados usando cabos ou ondas de rádio. O domínio LAN requer controles fortes de segurança e acesso, já que os utilizadores podem aceder os sistemas, aplicações e dados da organização a partir do domínio LAN.
O seguinte representa uma ameaça para a LAN:
	Acesso à LAN não autorizado — armários de rede, data centers e sala de computadores devem permanecer seguros
	Acesso não autorizado a sistemas, aplicações e dados
	Vulnerabilidades de software do sistema operativo de rede
	Atualizações do sistema operativo de rede
	Acesso não autorizado por utilizadores desonestos em redes sem fios
	Exploração de dados em trânsito
	Servidores LAN com hardware ou sistemas operativos diferentes — gerir e solucionar problemas de servidores torna-se mais difícil com configurações variadas
	Sondagem de rede não autorizada e varredura de portas
	Firewall mal configurada
Gestão de ameaças à LAN
As organizações podem implementar várias medidas para gerir ameaças à rede local:
	Armários de rede seguros, centros de dados e salas de computadores. Negue acesso a qualquer pessoa sem as credenciais adequadas.
	Defina políticas, padrões, procedimentos e diretrizes rígidas de controle de acesso.
	Restringir privilégios de acesso para pastas e ficheiros específicos com base na necessidade.
	Exigir palavras-passe ou autenticação para redes sem fios.
	Implemente a criptografia entre dispositivos e redes sem fio para manter a confidencialidade.
	Implemente padrões de configuração do servidor LAN.
	Realizar testes de penetração pós-configuração.
	Desative o ping e a varredura de porta.
A tabela mostrada na figura corresponde acima de ameaças de domínio LAN com as contramedidas usadas para controlá-las.
Ameaças comuns à nuvem privada
O Domínio da Nuvem Privada inclui servidores privados, recursos e infraestrutura de TI disponíveis para membros de uma organização através da Internet.
O seguinte representa uma ameaça para a nuvem privada:
	Sondagem de rede não autorizada e varrimento de portas
	Acesso não autorizado a recursos
	Vulnerabilidade do software do sistema operativo de router, firewall ou dispositivo de rede
	Erro de configuração do router, firewall ou dispositivo de rede
	Utilizadores remotos que acessam a infraestrutura da organização e descarregam dados confidenciais
Gerir as ameaças à nuvem privada
As organizações podem implementar várias medidas para gerir ameaças à nuvem privada:
	Desabilite ping, sondagem e varrimento de portas.
	Implementar sistemas de detecção e prevenção de intrusões.
	Monitore anomalias de tráfego IP de entrada.
	Atualize dispositivos com correções de segurança e patches.
	Realize testes de penetração após a configuração.
	Teste o tráfego de entrada e de saída.
	Implemente um padrão de classificação de dados.
	Implemente monitoramento de transferência de ficheiros e verificação para tipo de ficheiro desconhecido.
A tabela mostrada na figura corresponde às ameaças do Private Cloud Domain com as contramedidas usadas para geri-las.
Ameaças comuns à nuvem pública
O Domínio da Nuvem Pública inclui serviços hospedados por um provedor de nuvem, provedor de serviços ou provedor de Internet. Os provedores de nuvem implementam controles de segurança para proteger o ambiente de nuvem, mas as organizações são responsáveis por proteger os seus recursos na nuvem. Existem três modelos de serviço diferentes a partir dos quais uma organização pode escolher:
	Software como serviço (SaaS) — um modelo baseado em assinatura que fornece acesso a software que é hospedado centralmente e acedido pelos utilizadores através de um navegador da web.