Unidade 2

Prévia do material em texto

26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 1/35
SEGURANÇA E AUDITORIA DESEGURANÇA E AUDITORIA DE
SISTEMASSISTEMAS
AMEAÇAS,AMEAÇAS,
VULNERABILIDADES, ATAQUESVULNERABILIDADES, ATAQUES
CIBERNÉTICOS E RISCOSCIBERNÉTICOS E RISCOS
Autor: Me. Ariel da Silva Dias
Revisor : Ja ime Gross Garc ia
I N I C I A R
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 2/35
introdução
Introdução
Iniciamos este conteúdo destacando que nossas vidas estão cercadas por
riscos, um exemplo disso, é quando compramos um carro, estamos
suscetíveis a algum tipo de ameaça (roubo, colisão). Entretanto, podemos
diminuir o risco, ou seja, fazer algo que não nos cause um grande prejuízo
(por exemplo, contratar um seguro). Caso ocorra um roubo, não teremos
grandes prejuízos, pois passaremos essa responsabilidade para a seguradora.
Sendo assim, o exemplo apresentado pode ser aplicado aos sistemas de
informações, pois a segurança da informação tem o objetivo de analisar,
conhecer e gerenciar os riscos aos quais uma empresa está exposta. Em
alguns momentos, ocorrerão ataques de diversos tipos: sua empresa está
preparada?
Por isso, nesta unidade, exploraremos os conceitos de risco, ameaça e
vulnerabilidade, bem como o conceito e os diversos tipos de ataques a um
sistema de informação.
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 3/35
Uma ameaça refere-se a um incidente novo ou descoberto recentemente, que
tem o potencial de prejudicar um sistema ou sua empresa, em geral. Existem
três tipos principais de ameaças (KIM, 2014):
Ameaças naturais : inundações, furacões ou tornados.
Ameaças não intencionais : um funcionário que acessa
incorretamente as informações privilegiadas (ou às quais não poderia
ter acesso).
Ameaças intencionais : spyware, malware , empresas de adware ou
ações de um funcionário insatisfeito.
AmeaçasAmeaças
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 4/35
Worms e vírus são classi�cados como ameaças porque podem causar danos à
sua organização, por meio da exposição a um ataque automatizado, em
oposição a um perpetrado por seres humanos. No ano de 2017, o WannaCry
Ransomware Attack começou a bombardear computadores e redes em todo
o mundo, e desde então, tem sido descrito como o maior ataque desse tipo.
Os cibercriminosos estão, constantemente, criando novas maneiras criativas
de comprometer seus dados (KIM, 2014; GALVÃO, 2015).
Essas ameaças podem ser incontroláveis e, geralmente, difíceis ou
impossíveis de identi�car com antecedência. Mesmo assim, certas medidas
ajudam a avaliar ameaças regularmente, para que você possa estar melhor
preparado quando uma situação acontecer. Nesse contexto, vejamos algumas
maneiras de fazer isso:
Garantir que os membros da sua equipe se mantenham
informados sobre as tendências atuais em segurança cibernética,
para que possam identi�car rapidamente novas ameaças. Por isso,
podem receber treinamentos internos na empresa, podem (e devem)
ser motivados a se inscrever em blogs e podcasts que abordam esses
saiba mais
Saiba mais
“Segundo uma empresa de segurança de TI,
SonicWall, em 2018, houve um registro de 6
bilhões de ameaças a sistemas ao redor do
mundo. Em seu relatório semestral, a
empresa estima que foram registrados 6
bilhões de ameaças a sistemas de rede pelo
mundo de janeiro a junho”.
Leia o conteúdo na íntegra, no site indicado a
seguir e saiba mais sobre o assunto:
ACESSAR
https://www.sonicwall.com/pt-br/news/annual-sonicwall-cyber-threat-report-details-rise-in-worldwide-targeted-attacks/
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 5/35
problemas, além de ingressarem em associações pro�ssionais, para
que possam se bene�ciar com a divulgação de feeds de notícias,
conferências e seminários on-line .
Realizar avaliações regulares de ameaças , para determinar as
melhores abordagens para proteger um sistema contra uma ameaça
especí�ca, além de avaliar diferentes tipos de ameaças.
Realizar testes de penetração , modelando ameaças do mundo real
para descobrir vulnerabilidades.
Ameaças Cibernéticas
Os anos 1990 propiciaram um novo termo cibernético, pois a palavra
"ciberespaço" surgiu para de�nir um espaço físico inventado a partir do que
algumas pessoas queriam acreditar que existia por trás das atividades
eletrônicas dos dispositivos de computação.
Atualmente, o termo é quase exclusivamente usado para descrever questões
de segurança da informação. Como é difícil visualizar de que maneira os sinais
digitais que atravessam um �o podem representar um ataque, decidimos
visualizar o fenômeno digital como físico.
As ameaças cibernéticas nunca são estáticas, pois há milhões delas sendo
criadas todos os anos. Contudo, a maioria das ameaças segue um
determinado padrão e estão se tornando cada vez mais potentes.
Por exemplo, há uma nova geração de ameaças de "dia zero" que são capazes
de surpreender as defesas, pois não possuem assinaturas digitais detectáveis.
Outra tendência preocupante é a contínua "melhoria" do que os especialistas
denominam "Ameaças Persistentes Avançadas" (APTs). Conforme o Business
Insider descreve, os APTs são a melhor maneira de de�nir os hackers que se
in�ltram nas redes e mantém a 'persistência' – uma conexão que não pode
ser interrompida simplesmente por atualizações de software ou pela
reinicialização de um computador.
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 6/35
Motivação de Ameaças
Vimos que ameaça é um possível incidente não desejado cuja ação é fruto de
um agente que pode ser um terceiro (por exemplo, um cracker), entrando na
rede privada de uma organização por meio de uma porta no �rewall
desprotegida. Ou de um funcionário gerando um erro, sem intenção, e em
consequência, revelando informações altamente sigilosas.
Todos os agentes, sejam terceiros ou membros da empresa, possuem
motivos que os levam a procurar vulnerabilidades nas organizações (ou
pessoas). Nesse contexto, Kim (2014) lista uma série de motivações para esses
agentes realizarem seus intentos:
Empregados : motivado por vingança, o empregado pode deixar
portas abertas nos servidores, ou, simplesmente, cooperar para a
inclusão de certos dispositivos. A NASA (Agência Espacial Norte-
Americana) sofreu um tipo semelhante de ataque: um ex-funcionário
adicionou um microcontrolador (dispositivo de hardware e software
desenvolvido para controlar um hardware , a �m de realizar ações
bem especí�cas) na rede da agência americana, para obter dados
sobre viagem a Marte e posicionamento de satélites e antenas
(GUIMARÃES et al . 2019).
Concorrência/espionagem : muitas organizações guardam com
sigilo suas informações sobre a estratégia de negócio, novos
produtos e investimentos. Esses dados, se expostos, permitirão que
empresas concorrentes criem produtos ainda melhores. Por isso,
considere, por exemplo, uma empresa que investiu milhões de reais
em pesquisa para desenvolver um smartphone que utiliza 50% menos
de bateria (em comparação aos demais do mercado), além de possuir
um alto grau de desempenho. Porém, sua concorrente contratou um
cracker /funcionário in�ltrado, para obter o estudo técnico desse
smartphone . A empresa concorrente desenvolverá o smartphone sem
ter gastado os mesmos milhões que a outra empresa. Ou seja, a
concorrente, se tiver sucesso, terá a oportunidade de desenvolver
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 7/35
um produto com uma maior tecnologia e com um custo bem
reduzido.
Notoriedade : quebrar a segurança de um site considerado seguro
ou roubar dados de alguma personalidade famosa e compartilhar na
internet são ações típicas de quem tem a intenção de se
autopromover e ganhar respeito dentro da comunidade de crackers .
Falhas de equipamento : como exemplo de ameaça acidental,
podemos citar um HD queimado, pois apesar de sua especi�cação
determinar a quantidadede anos em que é con�ável, nada impeça
que falhe.
Falhas de software : é uma grande porta aberta para a realização de
inúmeros ataques. Mesmo que não ocorra a intenção de incluir
pontos de vulnerabilidade no software , é possível causar um grande
impacto na organização. Como exemplo, podemos citar o uso da
injeção de SQL, em que é possível incluir comandos SQL em campos
de texto para apagar ou obter alguma informação.
saiba mais
Saiba mais
Adrian Lamo é um dos hackers mais
perigosos da última década, pois é
responsável por invadir os sistemas de
grandes organizações, como: The New York
Times, Microsoft, Google e Yahoo. A polícia,
após uma longa investigação de 15 meses,
conseguiu prendê-lo. O hacker usava
computadores públicos (cafés/bibliotecas),
para efetuar seus ataques. Após ser preso,
fez um acordo com a polícia para a
investigação de crimes cibernéticos.
Fonte: Terra.com.br
ACESSAR
https://www.terra.com.br/noticias/tecnologia/infograficos/hackers/hackers-01.htm#:~:text=Adrian%20Lamo%2C%2029%20anos%2C%20se,e%20denunciou%20Lamo%20ao%20FBI
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 8/35
Tipos de Ameaças à Cibersegurança
Praticamente, todas as ameaças cibernéticas se enquadram em uma das
motivações apresentadas anteriormente. Em termos de técnicas de ataque,
atores mal-intencionados têm uma abundância de opções. Sendo assim,
existem diversos tipos de ameaças cibernéticas, que são (GALVÃO, 2015; KIM,
2014; KOLBE, 2017):
Malware : software que executa uma tarefa maliciosa em um dispositivo ou
rede de destino, por exemplo, corrompendo dados ou assumindo o controle
de um sistema.
Spyware : malware que coleta informações, geralmente, para rastrear o uso
da Internet e exibir anúncios pop-up .
Vírus : malware que é copiado e infecta o computador e arquivos.
Worm : malware que se replica automaticamente e envia-se para outros
computadores na sua rede.
Phishing : um ataque por e-mail , que envolve enganar o destinatário, para
revelar informações con�denciais ou baixar malware , ao clicar em um
hiperlink na mensagem.
Lança Phishing : uma forma mais so�sticada de phishing , pela qual o invasor
aprende sobre a vítima e personi�ca alguém que conhece ou con�a.
Ataque “Man in the Middle” (MitM) : um invasor estabelece uma posição
entre o remetente e o destinatário das mensagens eletrônicas e as intercepta,
talvez alterando-as em trânsito. O remetente e o destinatário acreditam que
estão se comunicando diretamente entre si. Um ataque MitM pode ser usado
nas forças armadas, para confundir um inimigo.
Trojans : nomeado com base na história da Grécia antiga, Cavalo de Troia, ou
Trojan, é um tipo de malware que entra no sistema de destino, por exemplo,
um software padrão, mas libera o código malicioso uma vez dentro do
sistema host.
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 9/35
Ransomware : um ataque que envolve criptografar dados no sistema de
destino e exigir um resgate em troca de permitir que o usuário tenha acesso
aos dados novamente. Esses ataques variam de incômodos de baixo nível a
incidentes graves, como o bloqueio de toda a cidade dos dados do governo
municipal de Atlanta, em 2018.
Ataques de negação de serviço (DoS – Denial of Service) : o objetivo é
sobrecarregar um serviço, levando ao colapso. Por exemplo, em um sistema
de compras de ingresso on-line , em que um único atacante realiza milhares
de requisições, executadas ao mesmo tempo, para pedir o mesmo local de
uma arquibancada. Chegará um momento em que o servidor não conseguirá
atender à demanda e �cará o�-line .
Ataque de negação de serviço ou DDoS (Distributed Denial of Service
Attack) : A diferença com o ataque anterior é que o invasor controla muitos
(talvez milhares) de dispositivos (também chamados dispositivos zumbis) e os
utiliza para invocar as funções de um sistema de destino, por exemplo, um
site , causando a falha em razão de uma sobrecarga de demanda. A diferença
entre DoS e DDoS é que, no primeiro, temos apenas um atacante, enquanto
no segundo existem muitos.
Ataques em dispositivos IoT (Internet of Thinks) : dispositivos de IoT, como
sensores industriais, são vulneráveis a diversos tipos de ameaças cibernéticas.
Isso inclui hackers que assumem o controle do dispositivo para torná-lo parte
de um ataque DDoS e acesso não autorizado aos dados coletados pelo
dispositivo. Dado seu número, distribuição geográ�ca e sistemas operacionais
frequentemente desatualizados, os dispositivos de IoT são o principal alvo de
agentes mal-intencionados.
Falta de política de controle de acesso : uma organização deve criar sua
política de controle de acesso e limitar o acesso de determinados
arquivos/pasta para um grupo de pessoas. Além disso, restringir sites com
conteúdo impróprio. Caso a organização não tenha uma política de controle
de acesso, usuários indevidos terão acesso a arquivos con�denciais e também
poderão inserir algum vírus por meio de sites maliciosos.
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 10/35
Violações de dados : uma violação de dados é um roubo de dados por um
ator malicioso. Os motivos para violações de dados incluem crime (roubo de
identidade), desejo de constranger uma instituição (por exemplo, Edward
Snowden) e espionagem.
Uso de portas dos fundos ( backdoors ) : alguns desenvolvedores podem
colocar brechas em seus sistemas para ter acesso total às informações, sem
precisarem passar por todos os sistemas de segurança. O grande problema é
que se terceiros encontrarem a falha poderão instalar seus próprios
backdoors e inutilizar o sistema. Existem vários softwares que auxiliam a
veri�car as portas dos fundos, e um deles é o Netcat.
Alterações acidentais sobre os dados : realizar modi�cações acidentais de
forma parcial nos dados pode gerar eventos inesperados, bem como de
armazenamento incorreto. Um exemplo de armazenamento/solução
incorreto é o não uso de BigDecimal (Java) para a realização de cálculos
�nanceiros. Podem-se encontrar vários problemas.
Malware em aplicativos móveis : os dispositivos móveis são vulneráveis a
ataques de malware , assim como outros hardwares de computação. Os
invasores podem incorporar malware em downloads de aplicativos, sites para
celular ou e-mails de phishing e mensagens de texto. Uma vez comprometido,
um dispositivo móvel pode fornecer, ao ator mal-intencionado, acesso a
informações pessoais, dados de localização, contas �nanceiras e muito mais.
Rootkit : disfarça-se de arquivos normais, que "se escondem à vista", para
que o software antivírus os ignore. O objetivo, geralmente, é roubar as
informações de identidade do computador, para obter o controle de um
sistema. É difícil detectá-lo e removê-lo.
Engenharia social : quando os golpistas (atacantes) induzem as pessoas a
fornecerem informações que permitem o acesso a contas (Figura 1), redes e
sistemas. Também pode ser muito mais fácil enganar uma pessoa do que
enganar um sistema. Os ataques de engenharia social ocorrem em uma ou
mais etapas. Um criminoso, primeiramente, investiga a vítima pretendida para
reunir as informações necessárias, como pontos de entrada em potencial e
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 11/35
protocolos de segurança fracos, necessários para prosseguir com o ataque.
Em seguida, o atacante se move para ganhar a con�ança da vítima e fornecer
estímulos para ações subsequentes, que violam as práticas de segurança,
como revelar informações con�denciais ou conceder acesso a recursos
críticos.
saiba mais
Saiba mais
O Brasil é o país que mais sofre com spam no
mundo. Nos últimos anos, sofreu um
aumento de 81% nesse tipo de ligação. E as
campeãs de ligação tipo spam são as
operadoras telefônicas, pois são
responsáveis pela geração de 33% de todas
as ligações indesejadas.
Fonte: Payão (2018).
ACESSAR
Figura 1 - Ataque de engenharia social
Fonte: Cipoli (2019, on-line).
https://www.tecmundo.com.br/seguranca/137287-brasil-pais-mais-sofre-ligacoes-spam-mundo.htm26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 12/35
praticarVamos Praticar
Assinale a alternativa que indica o termo genérico para programas de computador
que podem causar estragos em seus dispositivos.
a) Spyware.
b) Softbots.
c) Phishing.
d) Malware.
e) Atackbot.
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 13/35
Uma vulnerabilidade refere-se a uma fraqueza conhecida de um ativo
(recurso), que pode ser explorado por um ou mais atacantes. Em outras
palavras, é um problema conhecido, que permite que um ataque seja bem-
sucedido. Por exemplo, quando um membro da equipe é mandado embora
(não faz mais parte do quadro de funcionários da empresa) e você se esquece
de desativar o acesso a contas externas, alterar logins ou remover nomes dos
cartões de crédito da empresa, isso deixa a organização aberta a ameaças
intencionais e não intencionais. No entanto, a maioria das vulnerabilidades é
explorada por atacantes automatizados e não por um humano, digitando no
outro lado da rede (KIM, 2014; STALLINGS, 2015).
Por isso, testar vulnerabilidades é fundamental para garantir a segurança
contínua de seus sistemas. Ao identi�car pontos fracos, você pode
desenvolver uma estratégia para uma resposta rápida. Sendo assim, neste
momento, destacaremos algumas perguntas a serem feitas ao determinar
suas vulnerabilidades de segurança:
VulnerabilidadeVulnerabilidade
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 14/35
Seus dados são armazenados em backup e armazenados em um local
externo seguro?
Seus dados são armazenados na nuvem? Se sim, como exatamente
está sendo protegido contra vulnerabilidades da nuvem?
Que tipo de segurança de rede você tem para determinar quem pode
acessar, modi�car ou excluir informações de dentro da sua
organização?
Que tipo de proteção antivírus está em uso? As licenças estão
atualizadas? Está funcionando quantas vezes forem necessárias?
Você tem um plano de recuperação de dados no caso de uma
vulnerabilidade ser explorada?
Sobretudo, entender as vulnerabilidades é o primeiro passo para gerenciar os
riscos.
Veri�icação de Vulnerabilidade
A análise de vulnerabilidades permite a identi�cação precoce e con�ável de
pontos fracos da TI. Essas ferramentas dependem do fornecedor do software ,
identi�cando regularmente as ameaças e integrando-as ao banco de dados de
vulnerabilidades. Como essas ferramentas avaliam problemas de segurança
conhecidos anteriormente, também destacam ações restaurativas, para
corrigir essas falhas. A avaliação da vulnerabilidade concentra-se na
identi�cação con�ável de riscos e na correção de falhas de TI em toda a
empresa.
Uma ferramenta de veri�cação de vulnerabilidades:
utiliza uma abordagem ampla para identi�car falhas e
vulnerabilidades em toda a empresa;
veri�ca uma lista de riscos conhecidos, fornecidos por um banco de
dados de vulnerabilidades;
pode ser executada automaticamente e de forma programada;
é composta de quatro áreas principais: interface do usuário, lista de
vulnerabilidades, mecanismo de veri�cação e ferramenta de
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 15/35
relatório;
pode priorizar vulnerabilidades com base na gravidade, urgência e
facilidade de correção;
fornecerá sugestões para corrigir falhas identi�cadas.
Princípios de Teste de Penetração
O teste de penetração permite uma compreensão profunda de como o
ecossistema de TI pode ser violado, utilizando uma combinação de
ferramentas especializadas, juntamente com o entendimento da abordagem
de um hacker e outras técnicas como engenharia social, com o objetivo de
obter resultados sobre eventuais vulnerabilidades. Além disso, o teste de
penetração se concentra no modo como um ator ruim pode, realmente, violar
os sistemas de TI, por meio de um ataque direcionado.
Teste de penetração:
usa uma abordagem direcionada para tentar romper a segurança e
as defesas de TI;
tenta simular um ataque na vida real por hackers e outros maus
atores;
tenta obter acesso a sistemas críticos e a informações con�denciais;
adapta-se conforme a resistência e tenta encontrar novos vetores de
ataque;
não está tão preocupado com vulnerabilidades especí�cas
previamente identi�cadas;
usa uma variedade de software , hacks , scripts e outros métodos,
para penetrar nas defesas.
Diferenças entre Avaliação de
Vulnerabilidade e Teste de Penetração
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 16/35
Agora que explicamos os princípios de ambas as abordagens, exploraremos
suas principais diferenças:
as avaliações de vulnerabilidade são baseadas em lista; testes de
penetração são baseados em objetivos;
os testes de penetração são adaptáveis com base nesse teste único;
as avaliações de vulnerabilidade usam um método consistente e
baseado em ferramentas;
as avaliações de vulnerabilidade analisam uma ampla gama de riscos;
o teste de penetração emprega uma abordagem muito mais
direcionada.
As organizações devem usar o teste de penetração e as avaliações de
vulnerabilidade juntas, mas se você precisar priorizar, poderá analisar a
maturidade de suas operações de segurança de TI.
Maturidade de TI
Uma segurança de TI menos madura se bene�ciará mais das avaliações e
veri�cações de vulnerabilidades. Como essas ferramentas analisam todo o
ecossistema de TI, expõem os vetores de ataque e falhas de segurança mais
comuns; além disso, oferecem relatórios abrangentes e ações de mitigação, o
que pode tornar a alocação e a restauração de recursos mais rápidas e fáceis.
A veri�cação de vulnerabilidades é uma ferramenta ideal quando uma
organização sabe que possui problemas de segurança, mas não sabem onde
estão. Como são usadas vulnerabilidades previamente identi�cadas, podem-
se testar, rapidamente, e de modo completo, todos os seus sistemas, em
relação a essas vulnerabilidades.
Se uma organização já possui segurança de TI madura, a avaliação de
vulnerabilidade ainda pode ser útil. Mesmo um software bem estabelecido
pode ter bugs . Agendar veri�cações de segurança signi�ca que você pode
corrigir essas falhas conforme são relatadas. No entanto, novos projetos e
implementações também se bene�ciam da veri�cação de vulnerabilidades,
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 17/35
para que você possa testar e corrigir falhas no ambiente de desenvolvimento
ou teste antes de entrar em produção.
O teste de penetração é mais útil para organizações com uma forte
maturidade em suas operações de segurança de TI. Como o teste de
penetração é adaptado à sua infraestrutura, aplicativos e defesas exclusivos,
pode fornecer informações precoces sobre como um hacker comprometeria
seus sistemas. O teste de penetração também é ideal se você tiver
identi�cado ou repelido com êxito hackers anteriores, para que possa corrigir
falhas que permitiriam que eles penetrassem ainda mais nos sistemas.
praticarVamos Praticar
Assinale a alternativa que apresenta o melhor momento para executar uma
avaliação de vulnerabilidade versus um teste de penetração.
a) Sempre é necessário executá-los juntos, pois, quando se procura uma
visão mais ampla do ambiente, a visão mais focada �ca comprometida.
b) Avaliação de vulnerabilidade para quando você procura uma visão geral e
mais ampla do ambiente versus uma visão menor e mais focada do teste de
penetração.
c) Os testes de penetração estão cheios de falsos-positivos e não devem ser
usados; por outro lado, a visão mais focada do teste de vulnerabilidade deve
ser sempre executada.
d) Os testes de penetração são potencialmente prejudiciais para os
dispositivos, pois, se não forem corretamente executados, podem prejudicar
o sistema; por isso, não devem ser usados.
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 18/35
e) Os testes de penetração devem ser executados apenas para uma análise
estatística, sem se preocupar coma visão mais focada ou mais super�cial. É
um teste crítico.
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 19/35
Risco é de�nido como o potencial de perda ou dano quando uma ameaça
explora uma vulnerabilidade , e como exemplos incluem perdas �nanceiras,
perda de privacidade, danos à reputação, implicações legais e até perda de
vidas (KIM, 2014; STALLINGS, 2015).
O risco também pode ser de�nido da seguinte forma:
Para reduzir o potencial de risco, é necessário criar e implementar um plano
de gerenciamento de riscos. Sendo assim, neste momento, destacamos os
principais aspectos a serem considerados ao desenvolver sua estratégia de
gerenciamento de riscos:
Avaliar o risco e determinar as necessidades : quando se trata de
projetar e implementar uma estrutura de avaliação de riscos, é
fundamental priorizar as violações mais importantes, que precisam
ser tratadas. Embora a frequência possa diferir em cada organização,
RiscosRiscos
Risco = Ameaça x Vulnerabilidade
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 20/35
esse nível de avaliação deve ser feito regularmente e de forma
recorrente.
Incluir uma perspectiva total das partes interessadas : as partes
interessadas incluem os empresários, funcionários, clientes e até
fornecedores. Todos esses atores têm o potencial de impactar
negativamente a organização (ameaças em potencial), mas, ao
mesmo tempo, podem ser ativos para ajudar a mitigar os riscos.
Designar um grupo central de funcionários : responsáveis pelo
gerenciamento de riscos e determinar o nível de �nanciamento
apropriado para essa atividade.
Implementar políticas apropriadas e controles relacionados : e
garantir que os usuários �nais apropriados sejam informados de
toda e qualquer alteração.
Monitorar e avaliar a e�cácia da política e controle : as fontes de
risco estão sempre mudando, o que signi�ca que sua equipe deve
estar preparada para fazer os ajustes necessários na estrutura. Isso
também pode envolver a incorporação de novas ferramentas e
técnicas de monitoramento.
Avaliação de Riscos
As avaliações de risco são usadas para identi�car, estimar e priorizar riscos
para operações e ativos organizacionais resultantes da operação e uso de
sistemas de informação.
A avaliação de riscos é, principalmente, um conceito de negócios e trata-se de
dinheiro. Por isso, deve-se, primeiramente, pensar em como sua organização
ganha dinheiro, como funcionários e ativos afetam a lucratividade dos
negócios e quais riscos podem resultar em grandes perdas monetárias para a
empresa. Em seguida, em como aprimorar sua infraestrutura de TI para
reduzir os riscos que podem levar às maiores perdas �nanceiras para a
organização.
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 21/35
A avaliação básica de riscos envolve apenas três fatores: a importância dos
ativos em risco, da ameaça e a vulnerabilidade do sistema a essa ameaça.
Usando esses fatores, é possível avaliar o risco – a probabilidade de perda de
dinheiro por sua organização. Embora a avaliação de risco seja sobre
construções lógicas, não sobre números, é útil representá-la em uma fórmula:
No entanto, é importante lembrar que, se a vulnerabilidade ou a ameaça ou a
importância do ativo for igual a zero, o risco será igual a zero. Por exemplo, se
o fator de ameaça for alto e o nível de vulnerabilidade for alto, mas a
importância do ativo for zero (em outras palavras, não vale dinheiro para
você), seu risco de perder dinheiro será zero.
Sendo assim, existem algumas maneiras de coletar as informações
necessárias para avaliar o risco. Como exemplo, podemos citar:
gerenciar entrevistas com os proprietários de dados e outros
funcionários;
analisar seus sistemas e infraestrutura de TI;
revisar a documentação de segurança.
Iniciando a Avaliação de Risco
Para iniciar a avaliação de riscos, é importante executar as seguintes etapas:
Etapa 1 : encontrar todos os ativos valiosos, em toda a organização, que
possam ser prejudicados por ameaças, de uma maneira que resulte em uma
perda monetária. Vejamos alguns exemplos:
Servidores
Site da Web
Informações de contato do cliente
Documentos do parceiro
Segredos comerciais
Dados do cartão de crédito do cliente
Risco = vulnerabilidade do ativo x ameaça x importância do ativo
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 22/35
Etapa 2 : identi�car possíveis consequências. Para isso, devem-se determinar
quais perdas �nanceiras a organização sofreria e se um determinado ativo
fosse dani�cado. Vejamos, a seguir, algumas das consequências com as quais
você deve se preocupar:
perda de dados;
tempo de inatividade do sistema ou aplicativo;
consequências legais.
Etapa 3 : identi�car ameaças e seu nível. Como vimos, uma ameaça é
qualquer coisa que possa explorar uma vulnerabilidade para violar sua
segurança e causar danos aos seus ativos. Vejamos, a seguir, algumas
ameaças comuns:
desastres naturais;
falha no sistema;
interferência humana acidental;
ações humanas maliciosas (interferência, interceptação ou
representação).
Etapa 4 : identi�car as vulnerabilidades e avaliar a probabilidade de sua
exploração. Vimos que uma vulnerabilidade é uma fraqueza que permite que
alguma ameaça viole sua segurança e cause danos a um ativo. Pensar no que
protege seus sistemas de uma determinada ameaça (se a ameaça realmente
ocorrer, quais são as chances de que realmente dani�que seus ativos?).
Etapa 5 : avaliar o risco, de acordo com a fórmula lógica descrita
anteriormente nesta unidade, e atribuir-lhe um valor alto, moderado ou
baixo. Em seguida, desenvolver uma solução para todos os riscos altos e
moderados, juntamente com uma estimativa de custo.
Etapa 6 : criar um plano de gerenciamento de riscos usando os dados
coletados.
Etapa 7 : criar uma estratégia para aprimoramentos da infraestrutura de TI
para mitigar as vulnerabilidades mais importantes e obter aprovação do
gerenciamento.
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 23/35
Etapa 8 : de�nir processos de mitigação, pois pode melhorar a infraestrutura
de segurança de TI, mas não pode eliminar todos os riscos. Quando um
desastre acontece, você corrige, investiga por que aconteceu e tenta impedir
que ocorra novamente ou, pelo menos, torna as consequências menos
prejudiciais. Por exemplo, vejamos o processo de mitigação para uma falha do
servidor:
Evento (falha do servidor) → Resposta (use seu plano de recuperação de
desastre ou a documentação do fornecedor para colocar o servidor em
funcionamento) → Análise (determine por que esse servidor falhou) →
Mitigação (se o servidor falhar em razão do superaquecimento de
equipamentos de baixa qualidade, peça à sua gerência que compre
equipamentos melhores; se recusar, coloque monitoramento adicional, para
que você possa desligar o servidor de maneira controlada).
praticarVamos Praticar
Conforme a de�nição da palavra risco para a Segurança da Informação, assinale a
alternativa que indica sua de�nição.
a) É o ato de criar contramedidas, para garantir a segurança dos dados.
b) Riscos são problemas simples, que podem ser resolvidos sem muito custo.
c) É uma adversidade, porém deve-se apenas observá-lo.
d) Os riscos são sempre iguais, ou seja, ocasionam sempre os mesmos
impactos às organizações.
e) Probabilidade de que algo de ruim aconteça com um ativo (algo
importante), bem como o efeito causado por sua exposição.
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 24/35
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 25/35
O número de ameaças on-line é variado e não discrimina organizações e
pessoas ao procurar um alvo. Desde in�ltrações em infraestruturas e
violações de dados, até disparar phishing e força bruta. No entanto, é possível
proteger-se contra ameaças cibernéticas.
Prática de Defesas para Empresas
As práticas recomendadas paradefesa contra ameaças cibernéticas incluem
contramedidas básicas, mas extremamente importantes, como sistemas de
aplicação de patches (atualizações). Quando um fornecedor de tecnologia
descobre (ou é informada) uma falha de segurança em seu produto,
normalmente, escreve um código que corrige o problema.
Por exemplo, se a Microsoft descobrir que um hacker pode obter acesso root
ao Windows Server por meio de uma exploração de código, a empresa emitirá
um patch e o distribuirá a todos os proprietários de licenças do Windows
Server. Dentre muitos outros, fazem isso pelo menos uma vez por mês.
Práticas para Defesa ePráticas para Defesa e
Proteção CibernéticaProteção Cibernética
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 26/35
Muitos ataques falhariam se os departamentos de TI aplicassem todos os
patches de segurança em tempo hábil.
Uma série de novas tecnologias e serviços estão chegando ao mercado,
facilitando a montagem de uma defesa robusta contra ameaças cibernéticas,
que incluem:
serviços de segurança terceirizados;
sistemas que permitem a colaboração entre membros da equipe de
segurança;
ferramentas de simulação de ataque contínuo;
soluções pontuais para antiphishing e navegação segura.
Prática de Defesas para Indivíduos
Para indivíduos, as melhores práticas são simples. A boa notícia é que, na
maioria dos casos, algumas grandes organizações de segurança estão entre o
consumidor e o hacker , por exemplo, empresas de antimalware . Ainda,
existem medidas preventivas, que devem ser tomadas para ajudar a garantir
a segurança de suas informações:
Reveja suas senhas
Software antivírus
Cuidado contra-ataques de
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 27/35
phishing
Padrões e Melhores Práticas de
Governança de TI
Vejamos, a seguir, algumas normas e padrões desenvolvidos para auxiliar
gestores de TI no processo de segurança da informação:
Família ISO / IEC 27000 de Sistemas de Gerenciamento de
Segurança da Informação - o documento fornece uma visão geral
da família ISO / IEC 27000 de Sistemas de Gerenciamento de
Segurança da Informação, que consiste em normas e diretrizes inter-
relacionadas, já publicadas ou em desenvolvimento, e contém uma
série de aspectos estruturais signi�cativos componentes.
reflita
Re�ita
“Proteger dados privados é o processo de garantir sua
con�dencialidade. As organizações precisam usar controles de
segurança apropriados, especí�cos para essa questão. Usar
estação de trabalho automatizada, antivírus de servidor e
proteção contra software malicioso. Esse é o modo de manter
os vírus e software malicioso fora do seu computador”.
Re�ita sobre suas ações, tanto no ambiente de trabalho
quanto em casa e veja se você está mantendo a probabilidade
de vírus manter-se fora do seu computador.
Fonte: Kim (2014, p. 11).
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 28/35
ISO 27001 - o documento fornece os padrões ISO dos requisitos para
estabelecer, implementar, manter e melhorar continuamente um
sistema de gerenciamento de segurança da informação no contexto
da organização.
ISO 27002 - o documento apresenta o código de prática para
controles de segurança da informação.
COBIT - os Objetivos de Controle para Informação e Tecnologia
Relacionada (COBIT) são publicados pela Associação de Auditoria e
Controle de Sistemas de Informação do Conselho de Normas (ISACA)
e fornecem uma estrutura de controle para a governança e o
gerenciamento da TI corporativa.
Critérios comuns (também conhecidos como ISO / IEC 15408) - o
conjunto de critérios de avaliação é desenvolvido e alinhado com
organizações de padrões de segurança nacionais da Austrália,
Canadá, França, Alemanha, Japão, Holanda, Nova Zelândia, Espanha,
Reino Unido e EUA.
ITIL (ou ISO / IEC 20000 series) - o documento apresenta uma
coleção de melhores práticas em gerenciamento de serviços de TI
(ITSM), concentra nos processos de serviço de TI e considera o papel
central do usuário.
Recurso da política de segurança do SANS - esses recursos são
publicados pelo Instituto SANS, para o rápido desenvolvimento e
implementação de políticas de segurança da informação.
Normas, Diretrizes e Procedimentos da ISACA - é uma série de
padrões, diretrizes e procedimentos de auditoria de sistemas de
informação emitida pela Associação de Controle e Auditoria de
Sistemas de Informação do Conselho de Normas (ISACA).
Expectativas da RFC 2350 para resposta a incidentes de
segurança informática, da IETF (Internet Engineering Task Force)
- o documento é preparado pela IETF e lista o conjunto geral de
tópicos e questões que são de interesse das equipes de resposta a
incidentes de segurança de informação.
Controles críticos de segurança da SANS para defesa cibernética
e�caz - a lista de controles de segurança é publicada pelo Instituto
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 29/35
SANS, visando à melhoria da postura de risco contra ameaças do
mundo real, que teriam grande impacto.
praticarVamos Praticar
Normas como a ISO 27001 e 27002 visam de�nir padrões e boas práticas. Tais
medidas foram extraídas de uma série de observações de organizações e seus
resultados.  Quando o negócio de uma organização é bastante crítico e não há
opção de aceitar uma ameaça, deve-se, pelo menos, mitigá-la.
HINTZBERGEN J. et al. Fundamentos de Segurança da Informação, com base na
ISO 27001 e na ISO 27002 . [S.l]: Brasport, 2018.
Assinale a alternativa que indica a medida de proteção que melhor se enquadra na
a�rmação apresentada.
a) Aceitação.
b) Observação.
c) Preempção.
d) Seguro.
e) Instrução.
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 30/35
indicações
Material
Complementar
LIVRO
Testes de Invasão
Editora : Novatec
Autora : Georgia Weidman
ISBN : 8575224077
Comentário : Georgia Weidman, conhecida especialista
em segurança e pesquisadora, escreveu este livro, que
é um grande exemplo de como funciona a
vulnerabilidade de segurança de rede. Durante a
leitura, você se deparará, por exemplo, com o termo
pentesters : pro�ssionais de segurança que simulam
ataques em sistemas de informação com o objetivo de
encontrar vulnerabilidades. Muitas habilidades e
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 31/35
técnicas ligadas à invasão e teste de vulnerabilidade
serão abordados.
FILME
Jogos de Guerra
Ano : 1983
Comentário : o �lme apresenta a história de um jovem
que encontra uma backdoor (estudamos essa ameaça
nesta unidade) em um computador central militar, no
qual a realidade é confundida com o jogo,
possivelmente, começando a Terceira Guerra Mundial.
T R A I L E R
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 32/35
conclusão
Conclusão
Nesta unidade, destacamos os diversos tipos de ameaças/ataques aos quais
empresas e indivíduos estão suscetíveis. Sendo assim, as ameaças certamente
existem e estão �cando mais potentes e frequentes, e os atacantes são
variados, com muitos desequilíbrios preocupantes e, constantemente, na
busca por seus alvos.
Mesmo que uma empresa seja alvo de um poderoso ataque, ainda é possível
proteger ativos digitais críticos.
Por isso, é preciso planejamento e comprometimento de recursos. Entretanto,
uma boa equipe de operações de segurança ou um indivíduo proativo podem
acompanhar as ameaças cibernéticas mais graves e se defenderem.
referências
Referências
Bibliográ�cas
BUSSELL, J. Cyberspace. Encyclopedia Britannica . Disponível em:
https://www.britannica.com/topic/cyberspace . Acesso em: 20 out. 2019.
https://www.britannica.com/topic/cyberspace
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 33/35
CIPOLI, P. O que é Engenharia Social? Canaltech , [2019]. Disponível em:
https://canaltech.com.br/seguranca/O-que-e-Engenharia-Social/ . Acesso em:
21 nov. 2019.
DEZ HACKERS FAMOSOSE SEUS FEITOS. Terra , set. 2016. Disponível em:
https://www.terra.com.br/noticias/tecnologia/infogra�cos/hackers/index.htm .
Acesso em: 14 nov. 2019.
GALVÃO, M. Fundamentos em Segurança da Informação . São Paulo:
Pearson Education do Brasil, 2015. ISBN: 9788543009452. [Biblioteca Virtual].
GUILHERME, P. Os 7 mais famosos vírus de computador da história.
Techmundo , jul. 2013. Disponível em:
https://www.tecmundo.com.br/virus/41664-os-7-mais-famosos-virus-de-
computador-da-historia.htm . Acesso em: 14 nov. 2019.
GUIMARÃES, C. NASA foi hackeada porque havia um Raspberry Pi conectado à
rede. Olhar Digital , jun. 2019. Disponível em:
https://olhardigital.com.br/�que_seguro/noticia/nasa-foi-hackeada-porque-
havia-um-raspberry-pi-conectado-a-rede/87217 . Acesso em: 14 nov. 2019.
KIM, D.; SOLOMON, M. Fundamentos de segurança de sistemas de
informação . [S.l]: LTC, 2014. ISBN: 978-0-7637-9025-7. [Biblioteca Virtual].
KOLBE, A. Sistemas de segurança da informação na era do conhecimento
. Curitiba: Intersaberes, 2017. ISBN: 9788559723038. [Biblioteca Virtual].
MELLO, K.; TEIXEIRA, L. Por que estamos na era da proteção da informação.
Forbes , jan. 2109. Disponível em:
https://forbes.uol.com.br/negocios/2019/01/por-que-estamos-na-era-da-
protecao-da-informacao/ . Acesso em: 14 nov. 2019.
PAYÃO, F. Brasil é o país que mais sofre com ligações de SPAM no mundo.
Techtudo , dez. 2018. Disponível em:
https://www.tecmundo.com.br/seguranca/137287-brasil-pais-mais-sofre-
ligacoes-spam-mundo.htm . Acesso em: 14 nov. 2019.
https://canaltech.com.br/seguranca/O-que-e-Engenharia-Social/
https://www.terra.com.br/noticias/tecnologia/infograficos/hackers/index.htm
https://www.tecmundo.com.br/virus/41664-os-7-mais-famosos-virus-de-computador-da-historia.htm
https://olhardigital.com.br/fique_seguro/noticia/nasa-foi-hackeada-porque-havia-um-raspberry-pi-conectado-a-rede/87217
https://forbes.uol.com.br/negocios/2019/01/por-que-estamos-na-era-da-protecao-da-informacao/
https://www.tecmundo.com.br/seguranca/137287-brasil-pais-mais-sofre-ligacoes-spam-mundo.htm
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 34/35
SANTOS, A.; SILVA, R. Detecção de Ataques DDoS com Grá�cos de COntrole
e Bases de Regras Nebulosas . Disponível em: https://bit.ly/2vI95ab . Acesso
em: 12 nov. 2019.
STALLINGS, W. Criptogra�a e segurança de redes : princípios e práticas. 4.
ed. São Paulo: Pearson Education do Brasil, 2015. ISBN: 9788576051190.
[Biblioteca virtual].
THE 5 Pillars of Information Security and How to Manage Them. In�nit-o , abr.
2018. Disponível em: https://resourcecenter.in�nit-o.com/blog/the-5-pillars-of-
information-security-and-how-to-manage-them . Acesso em: 20 out. 2019.
WATTS, S. IT Security vulnerability vs threat vs risk: what are the di�erences?
BMC Blogs , jun. 2017. Disponível em: https://www.bmc.com/blogs/security-
vulnerability-vs-threat-vs-risk-whats-di�erence/ . Acesso em: 14 nov. 2019.
https://www.inf.ufsc.br/~bosco.sobral/downloads/I2TS%202010%20CD%20Proceedings/www.i2ts.org/papers/full_portugues/78861.pdf
https://resourcecenter.infinit-o.com/blog/the-5-pillars-of-information-security-and-how-to-manage-them
https://www.bmc.com/blogs/security-vulnerability-vs-threat-vs-risk-whats-difference/
26/04/2023, 19:19 Ead.br
https://ambienteacademico.com.br/mod/url/view.php?id=491661 35/35