Baixe o app para aproveitar ainda mais
Prévia do material em texto
Fundamentos em Segurança Cibernética Ofensiva_ Rivanildo Santos 2022 2 SUMÁRIO Capítulo 1. Introdução a Segurança da Informação e Cibernética ........... 5 Conceitos de Segurança da Informação ........................................................................... 5 Pilares de Segurança da Informação .................................................................................. 5 Ameaças, Riscos e Vulnerabilidades ................................................................................... 7 Medidas de Segurança ........................................................................................................... 10 Conceitos de Segurança Cibernética ............................................................................... 12 Red Team, Blue Team e Purple Team .............................................................................. 16 Capítulo 2. Governança e Política de Segurança da Informação ............ 19 Sistema de Gestão de Segurança da Informação (SGSI) ...................................... 19 Escopo de um Sistema de Gestão de Segurança da Informação (SGSI) ....... 21 Componentes de um SGSI conforme ISO/IEC 27001 (Controles do anexo A) ........................................................................................................................................................... 26 Controles para um Sistema de Gestão de Segurança da Informação (SGSI) ........................................................................................................................................................... 27 Gerenciamento de Incidentes de Segurança da Informação .............................. 28 Política de Segurança da Informação (PSI) ................................................................. 31 Práticas para criação da PSI ................................................................................................ 33 Capítulo 3. Normas ISO 27000 ............................................................................... 35 Conceitos básicos ..................................................................................................................... 35 Siglas Importantes................................................................................................................... 35 Normas da Família ISO/IEC 27000 .................................................................................. 36 Capítulo 4. Carreira Profissional e Certificações ............................................. 39 Tendências de Mercado e Regulamentações .............................................................. 39 Áreas de atuação de um Profissional de Cibersegurança ...................................... 41 Certificações de Segurança Cibernética ........................................................................ 46 Capítulo 5. Engenharia Social .................................................................................. 53 3 O que é Engenharia Social?.................................................................................................. 53 Como atua o Engenheiro Social? ....................................................................................... 54 Tipos de Engenharia Social? ................................................................................................ 55 Como se Proteger da Engenharia Social ........................................................................ 60 Capítulo 6. Introdução a Cloud Computing....................................................... 65 Definição de Cloud Computing ........................................................................................... 65 Características de Cloud Computing ............................................................................... 67 Modelos de Serviços de Cloud ............................................................................................ 69 Modelos de Implantação de Cloud ................................................................................... 73 Principais características da Cloud Pública: ................................................................. 76 Principais Benefícios e Limitações da Cloud ............................................................... 79 Capítulo 7. Introdução a Comandos básicos de Linux ................................. 82 Introdução ao Linux ................................................................................................................ 82 Primeiros Passos no Linux .................................................................................................... 84 Gerenciamento de Arquivos e Diretórios ....................................................................... 88 Permissões de Arquivos ......................................................................................................... 98 Gerenciamento de Contas de Usuários ........................................................................ 102 Lista de Comandos Importantes do Linux .................................................................. 107 Capítulo 8. Servidores WEB, Banco de Dados e Firewall .......................... 119 Servidores WEB........................................................................................................................ 119 Banco de Dados ....................................................................................................................... 120 Firewall ......................................................................................................................................... 127 Capítulo 9. Introdução aos Comandos Básicos de Linux ......................... 133 Metodologia Ágil para TI ..................................................................................................... 133 Principais Metodologias Ágeis .......................................................................................... 134 Qual o propósito em adotar Metodologias Ágeis? ................................................... 144 Referências ...................................................................................................................... 147 1 5 Capítulo 1. Introdução a Segurança da Informação e Cibernética Conceitos de Segurança da Informação Informação – É o dado ou conjunto de dados que tem significado em algum contexto para o receptor. Fonte: Foundations of Information Security, Van Haren. Sistemas de Informação – No contexto de segurança da informação, um sistema de informação é todo o conjunto de meios, procedimentos, regras e pessoas que asseguram o fornecimento de informações para um processo de negócio. Fonte: Foundations of Information Security, Van Haren. Segurança da Informação – É a proteção de informações contra uma ampla gama de ameaças, a fim de garantir a continuidade do negócio, minimizar o risco do negócio e maximizar o retorno sobre os investimentos e oportunidades de negócio. Fonte: Foundations of Information Security, Van Haren. Segurança da Informação – É a preservação de confidencialidade, integridade e disponibilidade da informação. Fonte: ISO /IEC 27000:2018 Pilares de Segurança da Informação Os pilares da segurança da informação se aplicam a todas as suas dimensões: da informação, cibernética, defensiva, ofensiva, dentre outras: 6 Figura 1 – Pilares de Segurança da Informação. Fonte: https:// treinaweb.com.br A confiabilidade da informação é determinada por vários aspectos relacionados à segurança da informação, como: Confidencialidade. Integridade. Disponibilidade. Autenticidade. Não-repúdio. Privacidade. 7 Ameaças, Riscos e Vulnerabilidades Ameaças Potencial causa de um incidente indesejado que pode resultar em dano a um sistema ou organização. Fonte: ISO/IEC 27000:2018. A ameaça podeser um atacante ou um evento que explora uma vulnerabilidade. A entidade que retira vantagem de uma vulnerabilidade é conhecia como um agente de ameaça. Exemplos: Acesso não autorizado a arquivos. Travamento de servidor. Invasão na rede por crackers (hacker do mal). Tempestade. Funcionário cometendo erro não intencional. Funcionário irritado. 8 Figura 2 – Agente de Ameaça (hacker do mal). Fonte: https://braziljournal.com/. Vulnerabilidade Fraqueza de um ativo ou controle que pode ser explorada por uma ou mais ameaças. Fonte: ISO/IEC 27000:2018 A vulnerabilidade caracteriza a ausência ou fraqueza de uma garantia que pode ser explorada. Exemplos: Desktop sem proteção de senha. E-mails enviados sem nenhum tipo de criptografia. Portas abertas no firewall. Antivírus desatualizado. Baixo nível de segurança física que permite qualquer um a entrar na sala dos servidores. Figura 3 – Vulnerabilidades. https://braziljournal.com/ 9 Fonte: https://braziljournal.com/. Riscos É a probabilidade de um agente de ameaça tirar proveito de uma vulnerabilidade e do impacto no negócio correspondente. Fonte: livro Foundations of Information Security. O risco amarra a ameaça, vulnerabilidade e chance de exploração ao resultante impacto no negócio. Exemplos: Se um firewall tem várias portas abertas, então há uma probabilidade maior de um intruso utilizar alguma porta para acessar a rede de uma forma não autorizada. Se os usuários não são informados sobre os processos e procedimentos, então há uma probabilidade maior de um funcionário cometer um erro intencional ou não, que pode acabar destruindo dados. Figura 4 – Riscos. https://braziljournal.com/ 10 Medidas de Segurança As medidas de segurança são garantias técnicas ou administrativas ou ações para evitar, combater ou minimizar a perda ou indisponibilidade de ativos de informação devido às ameaças que atuam sobre as suas correspondentes vulnerabilidades. As medidas modificam um risco, e podem ser selecionadas a partir da norma ISO/IEC 27002 ou de outras referências que a empresa utiliza. Após uma análise de riscos, um conjunto de medidas apropriadas devem ser selecionadas. Para riscos em que a decisão de tratamento do risco tenha sido aplicar medidas apropriadas, estas medidas devem: Ser selecionadas e implementadas para atender às necessidades identificadas por uma avaliação de riscos. Assegurar que os riscos sejam reduzidos a um nível aceitável tendo em conta: 11 Conformidade com legislações e regulamentos nacionais e internacionais. Objetivos organizacionais. Requisitos operacionais. A necessidade de equilibrar o investimento na implantação e operação de medidas. Deve-se ter em mente que nenhum conjunto de medidas pode alcançar a segurança completa em toda a organização. Figura 5 – Medidas de Segurança. Fonte: Internet. Categorias de Medidas de Segurança Para criar um plano de segurança, podemos considerar sete categorias diferentes de medidas: 12 Figura 6 – Categorias de Medidas de Segurança. Fonte: Foundations of Information Security, Van Haren. Tipos de Medidas de Segurança As medidas de segurança podem ser classificadas em três tipos: Conceitos de Segurança Cibernética O que é Segurança Cibernética? A segurança cibernética é um conjunto de ações sobre pessoas, tecnologias e processos contra os ataques cibernéticos. Por vezes, nomeada como segurança digital ou segurança de TI, é uma ramificação na segurança da informação. A segurança cibernética é a prática de proteger os ativos de informação, contra ameaças cibernéticas ou ataques maliciosos. 13 A segurança cibernética deve ser trabalhada em vários níveis desde a segurança das redes físicas e dos aplicativos, até a educação do usuário final. A segurança cibernética ou cibersegurança é uma área que atua no ambiente digital, na prevenção, mitigando e recuperação frente aos ataques cibernéticos. Figura 7 – Segurança Cibernética. Fonte: Internet. O que são Ataques Cibernéticos? Em computadores e redes de computadores, um ciberataque, também chamado de ataque cibernético, é qualquer tentativa de expor, alterar, desativar, destruir, roubar ou obter acesso não autorizado ou fazer uso não autorizado de um dispositivo. Quais os tipos de Ataques Cibernéticos? Os ataques cibernéticos nas redes podem acontecer de diferentes formas e podem enganar ou passar despercebidas pelos usuários, que acabam caindo em golpes. Existem muitas formas de ataques cibernéticos, então vamos citar alguns como exemplo: https://www.youtube.com/channel/UCPubv5cHSgkRrCIgi5RfRuw 14 1. Ransomware Esse tipo de ataque ocorre quando uma pessoa acessa um site sem segurança, dentro da rede da empresa. Além disso, anexos de e-mails não confiáveis também podem causar esse problema. O ransomware criptografa todos os arquivos da máquina infectada. Desse modo, é cobrado um valor, conhecido como resgate, pela devolução da máquina ou das informações, funciona como uma forma de sequestro. 2. Phishing A atenção às páginas visitadas e aos links clicados é importante também para evitar o phishing. Nesse caso, são criados gatilhos para que o usuário se direcione a um site, que, por sua vez, apresenta baixa segurança. Em ataques como o phishing, são roubados dados importantes da rede, como senhas, informações pessoais, conteúdos financeiros, entre vários outros. 3. Ataques de Força Bruta As senhas utilizadas para login nos sites também podem ser ameaçadas. Isso acontece, principalmente, durante os ataques de força bruta. Trata-se de tentativas de invasão de sistemas, por meio de estratégias que ajudam a descobrir o nome dos usuários e a chave de acesso. OWASP e o Top 10 Web Application Security Risks A OWASP (Open Web Application Security Project) é uma das maiores e mais respeitadas organizações quando o assunto é a segurança de software. Sem fins lucrativos, ela reúne projetos que envolvem comunidades das diferentes regiões do planeta com o propósito de aumentar a proteção web. Um dos seus projetos mais conhecidos, o OWASP Top 10, engloba as 10 vulnerabilidades mais reportadas no meio digital, e como elas são 15 categorizadas. Até a lista de 2021, a última classificação da organização datava de 2017, e era amplamente utilizada até o novo relatório. Na imagem abaixo você confere as principais mudanças entre as duas versões: A01:2021 – Broken Access Control. A02:2021 – Cryptographic Failures. A03:2021 – Injection. A04:2021 – Insecure Design. A05:2021 – Security Misconfiguration. A06:2021 – Vulnerable and Outdated Components. A07:2021 – Identification and Authentication Failures. A08: 2021 – Software and Data Integrity Failures. A09:2021 – Security Logging and Monitoring Failures. A10:2021 – Server-Side Request Forgery. 16 Figura 8 – OWASP Top 10. Fonte: https://owasp.org/. Red Team, Blue Team e Purple Team Os times de segurança cibernética podem ser agrupados em três grandes verticais: Figura 8 – Times de Segurança Cibernética. Fonte: Twitter, @proxyblue. Principais atribuições de cada time: Red Team Simula ataques. Atua continuamente buscando vulnerabilidades e explorando falhas. Executa testes Black / Gray box. Não tem acesso prévio / liberado aos sistemas atacados. Atua, sempre, com permissão (escrita) prévia. https://owasp.org/ 17 Blue Team Cria, implanta e monitora controles para evitar ataques. Identifica e reage a incidentes. Corrige e reporta falhas. Tem amplo conhecimento e acesso ao ambiente interno. Purple Team Cria, implanta e monitora controles para evitar ataques. Identifica e reage a incidentes. Corrige e reportafalhas. Tem amplo conhecimento e acesso ao ambiente interno. 2 19 Capítulo 2. Governança e Política de Segurança da Informação Sistema de Gestão de Segurança da Informação (SGSI) O que é um SGSI? É um sistema de gestão corporativo voltado para a Segurança da Informação, que inclui toda a abordagem organizacional usada para proteger a informação empresarial e seus critérios de Confidencialidade, Integridade e Disponibilidade. O SGSI é uma abordagem sistemática, que inclui estratégias, planos, políticas, medidas, controles e diversos instrumentos usados para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. Essa abordagem baseia-se na avaliação de risco e níveis de aceitação de risco da organização, projetados para tratar e gerenciar os riscos com eficácia. Não necessariamente inclui um sistema automatizado. 20 Figura 8 – SGSI. Fonte: https://www.tjsc.jus.br. O sistema de gestão de segurança da informação – SGSI, é um sistema fundamentado nas normas da família NBR ISO/IEC 27000, que inclui toda a abordagem institucional usada para proteger a informação de acordo com seus princípios e atributos de confidencialidade, disponibilidade, integridade, responsabilidade, autenticidade e criticidade. E estabelece os seguintes processos organizacionais: Classificação da Informação: inventariar e classificar as informações de acordo com sua confidencialidade e associá-las a um proprietário da informação. Gestão de Riscos de Segurança da Informação: objetiva minimizar os riscos associados à informação, apresentando as medidas de segurança necessárias e realizando a avaliação contínua por meio de análise sistemática e periódica. https://www.tjsc.jus.br/ 21 Gestão de Resposta a Incidentes em Segurança da informação: visa à continuidade do negócio, tentando reduzir a um nível aceitável a interrupção causada por desastres ou falhas, principalmente nos ativos que suportam os processos críticos de informação do órgão. Controle de Acesso à Informação: o acesso (lógico e físico) deve ser controlado e estar de acordo com as normas e os procedimentos definidos. Segurança da Informação em Recursos Humanos e Conscientização em Segurança da Informação: promove a validação das evidências de cumprimento da PSI/PJSC e a definição de utilização e responsabilidade com o uso das informações. Segurança em Recursos de Tecnologia da Informação e Comunicações (TIC): corresponde ao inventário e gestão dos ativos críticos de tecnologia da informação e da comunicação. O Sistema de Gestão de Segurança da Informação é nada mais do que vários processos de segurança interligados – quanto melhor estes processos são definidos e inter-relacionados, menos incidentes de segurança haverá na organização. Escopo de um Sistema de Gestão de Segurança da Informação (SGSI) Modelo PDCA O modelo adotado para a estrutura do SGSI é baseado no PDCA (Plan-Do-Check-Act) e contempla quatro partes fundamentais: 22 Planejamento: normatização e documentação de processos e procedimentos. Execução: implementação das ações do planejamento. Avaliação e correção: para determinar se a execução foi realizada de acordo com o planejado e identificar necessidades de melhorias. Registro: foco nas lições aprendidas com o registro de ocorrências e a prática de análises de tendência para prevenção, além da divulgação de resultados. A norma ISO 27001 adota o modelo PDCA (Plan-Do-Check-Act) para descrever a estrutura de um SGSI. A imagem a seguir, junto com descrição de cada uma das etapas provavelmente irá ajudá-lo a ganhar um pouco mais de intimidade com o conceito. Figura 9 – PDCA. Fonte: https://www.portalgdti.com.br. https://www.portalgdti.com.br/ 23 Estabelecer o SGSI É a etapa que dá vida ao SGSI. Suas atividades devem estabelecer políticas, objetivos, processos e procedimentos para a gestão de segurança da informação. São os instrumentos estratégicos fundamentais para que a organização possa integrar a segurança da informação às políticas e objetivos globais da organização. Requisitos da Norma ISO 27001 para esta etapa: Definição do escopo do SGSI (a quais processos organizacionais, departamentos e partes interessadas se aplica). A Política do SGSI (que inclui objetivo, diretrizes, alinhamento ao negócio, critérios de avaliação de riscos, dentre outros aspectos). Abordagem de gestão (a metodologia da organização utilizada para identificação, análise, avaliação e tratamento de riscos). Objetivos de controle e controles selecionados (a empresa deve declarar quais medidas foram selecionadas para tratar a segurança da informação). Declaração de aplicabilidade (com os objetivos de controle selecionados). Implementar o SGSI Consiste em implementar e operar a política de segurança, os controles / medidas de segurança, processos e procedimentos. Requisitos da Norma ISO 27001 para esta etapa: Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a Gestão de Riscos. 24 Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades. Implementar os controles selecionados. Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis. Implementar programas de conscientização e treinamento. Gerenciar as operações do SGSI. Gerenciar os recursos para o SGSI. Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação. Monitorar e analisar criticamente o SGSI Reúne as práticas necessárias para avaliar a eficiência e eficácia do sistema de gestão e apresentar os resultados para a análise crítica pela direção. A política de segurança é usada para comparar e desempenho alcançado com as diretrizes definidas. Requisitos da Norma ISO 27001 para esta etapa: Executar procedimentos de monitoração e análise crítica. Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança 25 da informação, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas. Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos. Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados. Conduzir auditorias internas do SGSI a intervalos planejados. Realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI. Atualizar os planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica. Registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI. Manter e melhorar continuamente o SGSI Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. Requisitos da Norma ISO 27001 para esta etapa: Implementar as melhorias identificadas no SGSI. Executar as ações preventivas e corretivas apropriadas. 26 Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização. Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder. Assegurar-se de que as melhorias atinjam os objetivos pretendidos. Componentes de um SGSI conforme ISO/IEC 27001 (Controles do anexo A) 14 Sessões da ISO 27002 A norma contém 14 seções de controles de Segurança da Informação, de um total de 35 objetivos de controles e 114 controles de segurança. Cada seção definindo os controles de SI, contém um ou mais objetivos de controle. Cada seção principal contém um objetivo de controle declarando o que se espera ser alcançado; e um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle. Cada controle possui um conjunto de diretrizes de implementação, as quais apresentam informações mais detalhadas para apoiar a implementação do controle e alcançar o objetivo do controle. 27 Figura 10 – Componentes de um SGSI. Fonte: ISACA. Controles para um Sistema de Gestão de Segurança da Informação (SGSI) Anexo A da ISO/IEC 27001 O Anexo A da ISO/IEC 27001 tem um catálogo de 114 controles de segurança em 14 grupos e 35 objetivos de controle, os quais a organização deve selecionar de acordo com a sua aplicabilidade (para tratar os riscos). 28 Os controles são detalhados na ISO: Figura 11 – Controles do Anexo A. Fonte: ISO 27001 / 27002 Gerenciamento de Incidentes de Segurança da Informação O que é um Incidente de segurança da informação? Indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Fonte: ISO /IEC 27000:2018. Alguns exemplos de Incidentes de Segurança: Uso impróprio: Uso de e-mail corporativo para spam ou promoção de negócios pessoais. 29 Instalação de softwares não autorizados. Uso de pendrive de forma não autorizada. Impressão não autorizada de documentos. Vazamento de dados: Exposição não autorizada de dados pessoais e informações privadas. Credenciais roubadas ou comprometidas. Tentativas de acesso não autorizado a sistemas ou dados, como por exemplo: Tentar ou realizar acesso utilizando credenciais de terceiros. Má utilização de um sistema. Provocar falhas no sistema que impeçam um acesso autorizado. Ataques de negação de serviço: Forçar um sistema a reinicializar ou consumir excessivamente recursos (como memória ou processamento por exemplo) de forma que ele não possa mais fornecer seu serviço. Obstruir mídia de comunicação entre os utilizadores de forma a não se comunicarem adequadamente. Vírus e outros códigos maliciosos. Sequestro de dados (ransomware). Desfiguração de sites. Modificações em um sistema, sem conhecimento, instruções ou consentimento prévio do proprietário. 30 Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso. O que é Gerenciamento de incidente de segurança da informação? Processos para detectar, relatar, avaliar, responder, tratar e para aprender com incidentes de segurança da informação. Fonte: ISO /IEC27000:2018. Objetivos do Gerenciamento de Incidentes: Garantir que eventos e fragilidades da segurança da informação associados a sistemas de informação sejam comunicados de forma a permitir a tomada de ações corretivas. Aplicar procedimentos formais para relatos de eventos e procedimentos de escalação. 31 Figura 12 – Gestão de Incidentes. Fonte: LinkedIn. Política de Segurança da Informação (PSI) O que é uma PSI? É um documento que registra os princípios e as diretrizes de segurança adotados pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos. Contém diretrizes que determinam as linhas mestras que devem ser seguidas pela organização, para que sejam asseguradas a segurança dos recursos computacionais e suas informações. Convém ser escrita como um resumo de fatos-chave. A PSI pode extrapolar o escopo abrangido pelas áreas de sistemas de informação e pelos recursos computacionais. Ela não precisa ficar restrita à área de TI. 32 Principais tópicos abordados em uma PSI: Definição de segurança de informações e de sua importância. Declaração do comprometimento da alta administração com a PSI. Objetivos de segurança da organização. Definição de responsabilidades gerais na gestão de segurança de informações. Orientações sobre análise e gerência de riscos. Princípios de conformidade dos sistemas computacionais com a PSI. Padrões mínimos de qualidade que esses sistemas devem possuir. Princípios de supervisão constante das tentativas de violação da segurança de informações. Consequências de violações de normas estabelecidas na política de segurança. Princípios de gestão da continuidade do negócio. Plano de treinamento em segurança de informações. No nível mais baixo, convém que a política de segurança da informação seja apoiada por políticas de tópicos específicos, tais como: Controle de acesso. Classificação e tratamento da informação. Segurança física e do ambiente. Tópicos orientados aos usuários finais: 33 – Uso aceitável dos ativos. – Mesa limpa e tela limpa. – Transferência de informações. – Dispositivos móveis e trabalho remoto. – Restrições sobre o uso e instalação de software. – Backup. – Transferência da informação. Proteção contra códigos maliciosos. Gerenciamento de vulnerabilidades técnicas. Controles criptográficos. Segurança nas comunicações. Proteção e privacidade da informação de identificação pessoal. Relacionamento na cadeia de suprimentos. Práticas para criação da PSI Esta política convém ser: Redigida em conformidade com os requisitos do negócio, bem como com a legislação e com a regulamentação pertinentes. Aprovada pelo Conselho Administrativo. Publicada para todos os funcionários e todas as partes externas relevantes, tais como clientes e fornecedores. – Em forma de folheto. – Em versão completa na intranet. A Política de Segurança da Informação deve ser criada com base em Regulamentos, Procedimentos, Diretrizes e Normas, como a ISO/IEC 27000. 3 35 Capítulo 3. Normas ISO 27000 Conceitos básicos Normas: têm como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço. Políticas: contêm orientações para alcançar conformidade com os objetivos de negócio. Regulamentações: são exigências estabelecidas por leis e regulamentos de setor. Baseline: nível mínimo de proteção nos sistemas críticos. A ISO/IEC 27001 e 27002 podem ser consideradas uma linha de base de proteção da segurança da informação. Ou seja, quando a empresa não sabe por onde começar, pode implementar os controles propostos por essas normas. Diretrizes: Em um contexto estratégico, podem ser interpretadas como ações ou caminhos a serem seguidos em determinados momentos. Orientam o que deve ser feito e como, para que se alcancem os objetivos estabelecidos na política [ISO 27002]. Procedimentos: são instruções no nível operacional. Siglas Importantes O que significa a palavra ISO? A sigla ISO denomina a International Organization for Standardization, ou seja, Organização Internacional de Padronização. 36 Portanto, é um meio de promover a padronização de produtos e serviços,utilizando normas internacionais para melhoria contínua. Figura 13 – Siglas Importantes. Fonte: Internet. Normas da Família ISO/IEC 27000 A ISO/IEC 27000 é um conjunto de certificações de segurança da informação e proteção de dados para empresas e órgãos públicos. Elas servem como base para a criação de um Sistema de Gestão de Segurança da Informação (SGSI) em organizações de pequeno, médio e grande porte. A série ISO/IEC 27000 (também conhecida como 'Família de normas GSI' ou 'ISO27K') inclui normas de segurança da informação publicadas em conjunto pela ISO e pela IEC. Existem mais de 40 normas nessa família. 37 Quais são os princípios da ISO 27000? Destacamos anteriormente que os preceitos presentes na ISO 27000 convertem para normas em relação à segurança dos dados. Entre os principais princípios presentes nessa norma estão a disponibilidade, a integridade, a confidencialidade e a autenticidade. Figura 14 – Normas da Família ISO/IEC 27000. Fonte: http://www.iso.org. http://www.iso.org/ 4 39 Capítulo 4. Carreira Profissional e Certificações Tendências de Mercado e Regulamentações A segurança e privacidade na internet sempre foi uma grande preocupação da sociedade. Contudo, com o aumento exponencial do mercado digital nos últimos anos, esses cuidados precisam agora ser redobrados. O tema é de tal relevância que até mesmo os Estados e entidades governamentais começaram a intervir diretamente e regulamentar o setor por meio de leis. Figura 15 – Cyber Security. Fonte: https://acaditi.com.br. Regulamentações E seguindo a tendência mundial, em agosto de 2018 o governo brasileiro sancionou uma lei que regula a captação e tratamento de dados pessoais. Conhecida como LGPD, a Lei Geral de Proteção de Dados foi inspirada na regulamentação semelhante aprovada pela União Europeia, a https://acaditi.com.br/ 40 GPDR (General Data Protection Regulation). Com isso, o Brasil faz parte dos mais de 120 países que têm uma legislação específica para o tratamento de dados. A LGPD, ou Lei 3.709/18, estabelece nove bases legais para legitimar o tratamento de dados pessoais pelas empresas, visando assegurar a seus clientes a proteção dos dados pessoais de suas empresas e a total conformidade com as novas regulamentações. Contudo, no caso de empresas que lidam com grandes quantidades de dados, a própria LGPD recomenda que haja um profissional especializado em cibersegurança e legislação, e que saiba não só orientar e prevenir, mas agir em caso de algum ataque. Por esses motivos, atualmente a carreira para quem deseja trabalhar com cibersegurança apresenta uma série de oportunidades. Figura 16 – LGPD. Fonte: Blog Webde. 41 Áreas de atuação de um Profissional de Cibersegurança Cibersegurança A cibersegurança é um conjunto de ações e técnicas para proteger sistemas, programas, redes e equipamentos de invasões. Dessa forma, é possível garantir que dados valiosos não vazem ou sejam violados em ataques cibernéticos. Esses ataques podem ter a intenção de acessar servidores, roubar senhas, sequestrar dados ou até mesmo fraudar transações financeiras. A internet está cada vez mais complexa e isso abre mais pontos de vulnerabilidade aos sistemas. Por esse motivo, a cibersegurança pode ser dividida em diversos setores, cada um com uma responsabilidade diferente. Segurança da Rede O profissional desse setor é responsável por garantir que todos os componentes de rede da empresa estejam protegidos contra ameaças e possíveis vazamentos de informações, ou seja, costuma ser a primeira linha de defesa da organização. Para trabalhar nesse departamento, é necessário ter conhecimento em protocolos de segurança de rede e sobre as ameaças mais comuns a esses sistemas. 42 Figura 17 – Segurança da Rede. Fonte: Fibracem. Segurança de Informações e Dados Quem atua nessa área precisa proteger os dados da empresa, inclusive os dos usuários, contra roubos, mudanças e remoção. Para ser um bom especialista nesse tipo de cibersegurança, o profissional precisa ter conhecimento em gerenciamento de riscos, políticas ISO e arquitetura de segurança. 43 Figura 18 – Segurança de Informações e Dados. Fonte: Databel. Segurança da Nuvem Com tantos arquivos e dados sendo compartilhados na nuvem, não é à toa que existe uma área da cibersegurança totalmente dedicada para a situação. O profissional dessa área garante que os usuários façam o uso seguro de aplicativos, da web e de transferência de arquivos. Para atuar nesse setor é interessante conhecer linguagens de programação, como a Phyton, e plataformas de serviços na nuvem, como a Microsoft Azure, Google Cloud Platform (GCP) e Amazon Web Services (AWS). 44 Figura 18 – Segurança de Informações e Dados. Fonte: Kaspersky. Segurança de Aplicação Nesse departamento, o especialista fica responsável por encontrar e ajustar vulnerabilidades no código-fonte dos computadores, web e dispositivos móveis. É interessante que esse profissional seja familiarizado com, pelo menos, uma linguagem de programação. 45 Figura 19 – Segurança de Aplicação. Fonte: Convisoappsec. Segurança de Endpoints Esse setor permite aos servidores se comunicarem de forma segura com os terminais, o que pode incluir dispositivos pessoais. Os profissionais dessa área da cibersegurança estão diretamente envolvidos em desenvolver e configurar plataformas de proteção, garantindo a continuidade do negócio. 46 Figura 20 – Segurança de Endpoints. Fonte: Canaltech. Certificações de Segurança Cibernética Certificações Profissionais Certificações de segurança cibernética podem ser uma ótima maneira de fast-tracking para sua carreira. O curso certo pode ajudar você a obter aquela promoção tão desejada. No cenário de negócio a certificação se refere a um conjunto de avaliações práticas e teóricas implementadas pelas empresas de treinamento e pelas marcas fabricantes para nivelar a habilidade de cada profissional, para trabalhar com determinado tipo de método tecnológico. As certificações podem apresentar diferentes níveis de classificação, partindo do básico até o mais avançado, podendo exigir alto investimento e processos longos de preparação. Por outro lado, o profissional impulsiona a sua carreira se tornando uma referência para as melhores empresas do mercado. Por se tratar de um 47 diferencial, merece toda a atenção de empresas que precisam qualificar os seus colaboradores e dos profissionais que sonham em crescer na profissão. Figura 21 – Certificações Profissionais. Fonte: Tecjump. Certificações Profissionais Certificações de segurança cibernética podem ser uma ótima maneira de fast-tracking para sua carreira. O curso certo pode ajudar você a obter aquela promoção tão desejada. CISSP (Certified Information Systems Security Professional) A Certified Information Systems Security Professional é uma das certificações de segurança mais reconhecidas no mercado mundial e atesta suas habilidades em segurança da informação de sistemas. A prova de certificação da isc2.org (ISC)² contém cerca de 250 questões sobre oito áreas da segurança da informação, que devem ser respondidos em até seis horas. Seu nível de dificuldade é alto e, por isso, o candidato deve estudar muito antes de tentar obter o seu certificado. 48 C|CISO (Certified Chief Information Security Officer) Essa é uma certificação inovadora, responsável por atestar os conhecimentos específicos em segurança da informação de gestores e executivos da área. Desenvolvida pela EC-Concil, o objetivo dessa certificação é repassar o conhecimento de profissionais com grande carga de experiência para as novas gerações de executivos de segurança da informação.A prova é composta de 250 questões relacionadas a cinco domínios e tem duração de quatro horas. É preciso alcançar 70% de acerto para obter a certificação. É necessário ainda realizar a comprovação de cinco anos de experiência na área de segurança da informação. CISM (Certified Information Security Manager) A Certified Information Security Manager é uma das certificações para profissionais que são responsáveis por projetar, construir e gerenciar a segurança da informação nas organizações e que têm experiência nas seguintes áreas: Governança de Segurança da Informação. Gerenciamento de Riscos. Desenvolvimento de um Programa de Segurança da Informação. Gestão de Programas de Segurança da Informação. Gestão de Incidentes e Respostas em Segurança da Informação. A prova de certificação da ISACA consiste em 150 perguntas de múltipla escolha, que cobrem o respectivo esboço do conteúdo do exame criado a partir da análise mais recente do conteúdo do exame. Os candidatos têm até 4 horas (240 minutos) para concluir o exame. 49 CEH (Certified Ethical Hacker) A Certified Ethical Hacker é uma certificação em segurança da informação desenvolvida e fornecida pela EC-Council. Atestada a capacidade de ataque do profissional e o seu conhecimento acerca de todas as metodologias e ferramentas utilizadas pelos hackers no processo de invasão e roubo de informação. O programa CEH permite que o profissional certificado possa ser identificado como um “hacker ético”, um profissional que utiliza seus conhecimentos acerca de diversas ferramentas de ataques para realizar um levantamento e análise de vulnerabilidade dos sistemas da empresa. A prova CEH é composta de 125 questões de múltipla escolha, que testará suas habilidades em ameaças à segurança da informação e vetores de ataque, detecção de ataques, prevenção de ataques, procedimentos, metodologias e muito mais! Os candidatos têm até 4 horas (240 minutos) para concluir o exame. CompTIA Security + CompTIA Security + é a primeira certificação de segurança que um candidato deve obter. Ele estabelece o conhecimento básico necessário para qualquer função de segurança cibernética e fornece um trampolim para trabalhos de segurança cibernética de nível intermediário. Security + incorpora as melhores práticas na solução de problemas práticos, garantindo que os candidatos tenham habilidades práticas de resolução de problemas de segurança necessárias para: Avalie a postura de segurança de um ambiente corporativo e recomende e implemente soluções de segurança apropriadas. Monitore e proteja ambientes híbridos, incluindo nuvem, celular e IoT. 50 Operar com consciência das leis e políticas aplicáveis, incluindo princípios de governança, risco e conformidade. Identificar, analisar e responder a incidentes e eventos de segurança. A prova CompTIA Security + é composta de 90 questões de múltipla escolha! Os candidatos têm até 1h:30min. (90 minutos) para concluir o exame. CCSP (Certified Cloud Security Professional) O CCSP foi pensando para garantir que os profissionais de segurança em nuvem tenham conhecimentos, habilidades e capacidades de auditoria necessárias para avaliar infraestruturas de nuvem e garantir um alto nível de segurança. O CCSP mostra que você possui as habilidades e conhecimentos técnicos avançados para projetar, gerenciar e proteger dados, aplicativos e infraestrutura na nuvem usando as melhores práticas, políticas e procedimentos estabelecidos pelos especialistas em segurança cibernética do (ISC)². A prova CCSP é composta de 125 questões de múltipla escolha! Os candidatos têm até 3 horas (180 minutos) para concluir o exame. EXIN Information Security Officer (ISO) A certificação Information Security Officer fornece os conhecimentos e competências adequados para quem pretende tornar-se ou já é um Information Security Officer. Quando você é certificado pelo EXIN como Oficial de Segurança da Informação, você é amplamente testado não apenas nos requisitos de Gerenciamento de Segurança da Informação (com base no padrão ISO/IEC 27001), mas também em novos requisitos, como Proteção de Dados e Blockchain. 51 O EXIN ISO é uma trilha composta por 2 certificações de nível de fundamentos e 1 de nível avançado. Certificações de Nível Foundation do EXIN, possuem 40 questões e tem duração de 60 minutos. Certificações de Nível Professional do EXIN, possuem 30 questões e tem duração de 2 horas (120 minutos) e requer apresentação de um trabalho prático. Figura 22 – EXIN Information Security Officer. Fonte: EXIN. 5 53 Capítulo 5. Engenharia Social O que é Engenharia Social? Muito se fala sobre as ameaças cibernéticas, que aproveitam de vulnerabilidades dos sistemas para invadir as redes e roubar dados de usuários. Porém, não são só falhas virtuais que podem causar problemas para a população. Erros humanos podem acontecer e comprometer informações, e é isso que a engenharia social tenta causar. Engenharia social é uma técnica usada por criminosos virtuais para induzir usuários desavisados a enviar dados confidenciais, infectar seus computadores com malware ou abrir links para sites maliciosos. Nos crimes virtuais esses golpes geralmente atingem pessoas desavisadas ou sem muita experiência no mundo virtual. As vítimas podem ter desde seus dados roubados até mesmo seus computadores infectados com vírus. Além disso, os ataques podem acontecer tanto online quanto por telefone ou outros tipos de comunicação. Figura 23 – Engenharia Social. Fonte: atlasgov.com. file:///C:/Users/Usuario/Documents/igti/Templates%20Artefatos/0%20-%20XPE%20TEMPLATES/3.%20Apostila/atlasgov.com 54 Como atua o Engenheiro Social? Troia, século XIII a.C. Os gregos haviam desistido da luta contra os troianos. Como prova de amizade, deram-lhes um presente: um enorme cavalo de madeira, tomado pelo povo troiano como símbolo da vitória. Dentro da estátua, contudo, havia diversos guerreiros gregos, esperando pelo momento certo para atacar os troianos desprevenidos. Em uma única noite os gregos venceram uma guerra que durou por quase dez anos. O engenheiro social atua de maneira idêntica. Nesta técnica, o cibercriminoso usufrui da ingenuidade e do descuido da própria vítima para quebrar os mecanismos de segurança dos equipamentos dela ou da organização em que ela trabalha. As iscas, porém, não são estátuas de madeira, mas links para download de arquivos, e-mails indicando sites de procedência duvidosa, entre outras coisas. E assim começa o ciberataque. Existem casos também em que a engenharia social é utilizada verbalmente, por ligações e conversas pessoalmente, ou em atividades furtivas, como invasões em espaços restritos de organizações e espionagens. Na maioria das vezes, no entanto, trata-se de algo que incentive uma ação da vítima, como quando os troianos aceitaram sem desconfiança alguma o suposto “presente” dos gregos. Porém, esse método de enganação pode assumir diferentes formas, o que nos leva ao próximo tópico. 55 Figura 24 – Engenharia Social: Linha do Tempo. Fonte: atlasgov.com. Tipos de Engenharia Social? Existem vários tipos de ataques de engenharia social, sempre tentando usar situações humanas para induzir a pessoa a cometer algum erro. No caso dos engenheiros sociais, o “presente” pode ser dado de diferentes maneiras e em distintos pacotes. Figura 24 – Engenharia Social - “O Presente”. file:///C:/Users/Usuario/Documents/igti/Templates%20Artefatos/0%20-%20XPE%20TEMPLATES/3.%20Apostila/atlasgov.com 56 Fonte: atlasgov.com. Phishing Nos últimos anos a pescaria se tornou um dos esportes mais praticados nos meios digitais – mas não de peixes, de pessoas. Isso porque o Phishing, uma estratégia de ciberataque utilizada com frequência porcriminosos cibernéticos, tem feito diversas vítimas no mundo. Essa prática consiste em conduzir pessoas por meio de fraudes a realizar uma ação – normalmente, um download de um arquivo malicioso e aparentemente legítimo, por onde malwares são introduzidos na máquina da vítima. As iscas são dadas por e-mails, SMS, links suspeitos, promoções falsas, entre outros. As mais comuns são campanhas por e-mail que atingem especialmente funcionários de empresas. Segundo um estudo feito pela Kaspersky, o Brasil foi líder mundial em phishing em 2020, ficando à frente de Portugal, França, Tunísia e Guiana Francesa. O levantamento também mostrou que cerca de 20% dos brasileiros tentaram acessar links de phishing pelo menos uma vez no ano. file:///C:/Users/Usuario/Documents/igti/Templates%20Artefatos/0%20-%20XPE%20TEMPLATES/3.%20Apostila/atlasgov.com 57 Smishing “Parabéns! Você foi premiado! Nunca mais precisará se preocupar com custos por ligações e internet móvel, pois você acaba de receber R$10.000,00 em créditos! Para obtê-los, basta clicar no link abaixo...” O trecho acima é uma das milhares mensagens de texto enviadas por SMS para a prática do Smishing, que seguindo a mesma lógica do Phishing, explora a ingenuidade e o descuido das vítimas. Ao abrirem o link indicado, abre-se também um caminho pelo qual o equipamento da vítima poderá ser infectado por malwares e por onde dados sigilosos poderão ser roubados. Vishing É a versão verbal do phishing, usada em ligações telefônicas. Usualmente, o golpista utiliza disfarces e cria pretextos para obter os dados da vítima no outro lado da linha (como no exemplo do tópico sobre pretextings). Além disso, o Vishing costuma iniciar de onde o Phishing parou. Eis que você procura, por exemplo, por soluções para um problema no software com o qual trabalha. Depois de algumas pesquisas, encontra um técnico de informática que pode lhe ajudar por um valor razoável (foi o mais barato que você encontrou). O portal aparenta ser de procedência duvidosa, mas você acessa os links sem se importar com isso. A sua interação com os links no portal aciona a atenção do cibercriminoso que, depois, conversa com você por ligação e lhe convence a fornecer dados do cartão de crédito para pagar o serviço prestado. O indivíduo desaparece e, dias depois, você percebe que foi vítima de um golpe. 58 Quid pro quo Quid pro quo é uma expressão latina que significa "tomar uma coisa por outra". No contexto de Segurança da Informação é o ciberataque em que a vítima é levada a acreditar em uma mentira, como de que o computador dela foi infectado com um malware, por exemplo. Então, uma “solução” para o suposto problema é oferecida, induzindo a vítima a baixar o malware do invasor. Baiting Eis que, inesperadamente, um sujeito tem a sorte grande de receber um incrível prêmio pelo e-mail: um material exclusivo – que ele não solicitou - sobre uma pesquisa de mercado com dados muito interessantes – de um remetente que ele não conhece. Basta fazer download do arquivo, sem estresse e sem burocracia. Sorte? Ou devo dizer azar? Ele foi vítima de um ataque Baiting! Normalmente, essa técnica explora a curiosidade da vítima, presenteando-lhe com arquivos que, no fim das contas, nada mais eram que uma farsa, uma porta de entrada para malwares se instalarem no equipamento da pessoa. Pretexting Duas pessoas conversam ao telefone. De um lado da linha, o atendente explica que o cartão de crédito da pessoa com quem está falando foi clonado e utilizado para uma compra de R$ 3.000,00. O proprietário do cartão fica em choque. Rapidamente, o atendente oferece uma solução imediata: “passe seus dados bancários e cancelaremos em apenas alguns minutos a compra realizada no seu nome”. Algo lhe soa estranho nessa história? Provavelmente sim. Conhecida como “Pretexting”, essa técnica tem sido utilizada com frequência em 59 diversos golpes. O objetivo do golpista é criar um cenário que funcione como pretexto para obter informações confidenciais da vítima. Sextorsão A Sextorsão, de acordo com o portal SaferNet, “é a ameaça de se divulgar imagens íntimas para forçar alguém a fazer algo – ou por vingança, ou humilhação ou para extorsão financeira. É uma forma de violência grave, que pode levar a consequências extremas”. Esse tipo de crime cibernético é realizado por meio de relacionamentos on-line. A vítima é estimulada a ter conversas de conotação sexual e levada a compartilhar imagens íntimas, utilizadas depois contra ela para a extorsão de dinheiro ou outros para outros fins. Dumpster diving Também conhecido como Trashing, o Dumpster diving ocorre quando criminosos vasculham o lixo da empresa em busca de informações sigilosas que possam lhe dar alguma oportunidade de obter dinheiro por meio de extorsão, roubo ou golpe. Em função disso, muitas organizações picam todos os documentos antes de os descartar. Shoulder surfing Traduzido do inglês como “surfar no ombro”, essa prática é muito usada por golpistas que, por trás das vítimas, vigiam dados utilizados para acessar contas bancárias, e-mails, ou usar cartões de crédito. Como precaução contra isso sempre verifique se há algum desconhecido atrás de você ao utilizar senhas e logins, principalmente em espaços públicos. Se você costuma trabalhar em shoppings, cafés ou coworkings, é algo para se atentar. 60 Tailgating Há um motivo lógico para que alguns ambientes de uma organização tenham controle de acesso: é uma prevenção contra o contato de pessoas não-autorizadas com informações confidenciais. Contudo, já aconteceram casos em que criminosos se passaram por colaboradores com autorização, passando pelo complexo de segurança sem ser detectado e tendo acesso a diversos dados sigilosos. Essa atividade é conhecida como Tailgating. Para se proteger disso é necessário reforçar o esquema de segurança da empresa. Uma boa sugestão é a identificação biométrica ou por íris, que inutiliza os cartões de acesso em crachás (materiais que podem ser roubados com facilidade). Figura 25 – Engenharia Social. Fonte: Valuehost. Como se Proteger da Engenharia Social É difícil se defender da engenharia social, já que essas fraudes são feitas para explorar impulsos e erros humanos, que não são tão simples de arrumar quanto uma atualização de software. Porém, existem várias dicas que podem ajudar você a melhor identificar e se prevenir de tentativas de golpe. Na maioria das vezes são procedimentos para checar a veracidade das informações recebidas, um processo necessário e importante. 61 Confira a fonte Recebeu um e-mail de uma empresa? Cheque o remetente. Achou uma unidade USB do nada em sua mesa? Tente traçar a origem do dispositivo antes de o conectar em seu computador. Checar a fonte é um processo que não demanda muito esforço e que pode poupar muito estresse no futuro. Até pequenos detalhes, como erros ortográficos em uma suposta comunicação oficial de um banco, podem levantar suspeitas, então fique de olho. Em último caso, entre em contato por telefone ou outro meio legítimo com quem supostamente está pedindo algo. Suas dúvidas com certeza serão sanadas e você permanecerá seguro. Veja o que eles sabem sobre você Você recebeu um telefonema do banco e ele não começou com o atendente fazendo perguntas de segurança, mas sim perguntando seu nome ou algum outro dado pessoal? É bem possível que era um golpe. Até comunicações por e-mail contam com pequenos detalhes para identificar que são reais, como no caso da Nota Fiscal Gaúcha, que sempre tem uma frase de segurança escolhida pelo usuário no cabeçalho do e-mail. A falta dessas informações deve ser observada sempre. Mantenha a calma A engenharia social muitas vezes depende de um senso de urgência. Em um exemplo fora do mundo digital, se você recebeum telefonema falando que sua mãe foi sequestrada, sua primeira reação é ficar desesperado. Porém, se você se acalma e entra em contato com ela, o bandido perde toda a vantagem que tinha no golpe. Os criminosos esperam que os seus alvos, tanto no mundo digital quanto no real, não pensem muito no que está acontecendo. Se você conseguir manter a calma e procurar, por exemplo, pelo contato oficial da 62 empresa que está supostamente entrando em contato com você, você verá com facilidade como é fácil quebrar os objetivos dos criminosos. Peça identificação Recebeu um telefonema que de cara já está pedindo várias informações pessoais? Pergunte com quem o telefonista trabalha e qual o nome dele, ou desligue e vá entrar em contato com os números oficiais da instituição. Não aceite de cara os questionamentos, trate com cuidado os seus dados e sempre investigue o que realmente está acontecendo. Use um bom filtro de spam Sempre confira se seu e-mail está com um bom filtro de spam. Vários filtros usam diversos tipos de informação para determinar quais mensagens podem ser maliciosas. Eles também contam com um banco de dados que permite identificar links suspeitos ou anexos perigosos, além de possuírem uma lista de IP de remetentes suspeitos, que são automaticamente bloqueados caso cheguem na sua caixa de entrada. Proteja seus dispositivos Como dito no começo dessa sessão, se defender de ataques de engenharia social não é um processo fácil. Porém, caso você caia em um, se seus dispositivos estiverem com antivírus em dia e com as atualizações de software mais atuais, o impacto de uma invasão pode ser diminuído. Além disso, evite usar a mesma senha em todas as contas. Se as credenciais forem variadas, no caso de um vazamento ocorrer, menos informações ou acessos estarão comprometidos. Também faça uso da autenticação de dois fatores para que só a senha não seja o suficiente para acessar os serviços. Pense na sua presença digital Vivemos em uma época onde as pessoas compartilham muitas informações nas redes sociais, e isso pode ser perigoso. Bancos e outras instituições podem usar como uma pergunta de segurança para recuperação 63 da conta algo como “nome do primeiro animal de estimação”. Se você compartilhou esse dado no Instagram, é possível que os criminosos saibam a resposta, e a usem para invadir suas contas. Alguns ataques de engenharia social também tentam ganhar sua confiança usando eventos recentes compartilhados em redes sociais para chamar sua atenção. As recomendações gerais para evitar essas situações são para sempre checar a privacidade das redes sociais, deixando as postagens configuradas para “apenas amigos” e tomar cuidado com o que está sendo publicado na internet. Essa cautela deve ser expandida para várias outras situações on-line, como um currículo digital, onde é uma boa opção esconder endereço, número de telefone e data de nascimento, para que essas informações não sejam de acesso público. 6 65 Capítulo 6. Introdução a Cloud Computing Definição de Cloud Computing Cloud Computing (Computação em nuvem) é um termo coloquial para a disponibilidade sob demanda de recursos do sistema de computador, especialmente armazenamento de dados e capacidade de computação, sem o gerenciamento ativo direto do utilizador. O termo geralmente é usado para descrever centros de dados disponíveis para muitos utilizadores pela Internet. A definição aceita amplamente para cloud computing foi estabelecida pelo NIST (National Institute of Standards and Technology) em uma publicação especial: A ABNT ISO/IEC 17788 fornece uma visão de cloud computing acompanhada de um conjunto de termos e definições. Nesta norma é fornecida a seguinte definição: 66 A nuvem (cloud) é o nome genérico dado à computação em servidores disponíveis na Internet a partir de diferentes provedores. Figura 26 – Computação em Nuvem. Fonte: Wikipédia. Termos básicos associados à Cloud: 67 Figura 27 – Termos associados à Cloud. Fonte: ABNT ISO/IEC 17788. Características de Cloud Computing De acordo com o NIST, o modelo de cloud computing tem 5 características essenciais, 3 modelos básicos de serviço e 4 modelos de implantação: As 5 características essenciais que distinguem a cloud computing de outros modelos de computação, de acordo com a definição do NIST, são: 68 A definição de computação em nuvem do Instituto Nacional de Padrões e Tecnologia (NIST), são “cinco características essenciais”: Autoatendimento sob demanda – Um consumidor pode utilizar unilateralmente recursos de computação, como tempo de servidor e armazenamento de rede, conforme necessário, automaticamente, sem exigir interação humana com cada provedor de serviços. Amplo acesso à rede – Os recursos estão disponíveis na rede e são acedidos por meio de mecanismos padrão que promovem o uso por plataformas heterogêneas (por exemplo, telefones celulares, tablets, notebooks e estações de trabalho). Pool de recursos – Os recursos de computação do provedor são agrupados para atender a vários consumidores usando um modelo de multilocação, com diferentes recursos físicos e virtuais atribuídos e reatribuídos dinamicamente de acordo com a demanda do consumidor. Elasticidade rápida – Os recursos podem ser provisionados e liberados elasticamente, em alguns casos automaticamente, para escalar rapidamente para fora e para dentro de acordo com a 69 demanda. Para o consumidor, os recursos disponíveis para utilização muitas vezes parecem ilimitados e podem ser apropriados em qualquer quantidade e a qualquer momento. Serviço medido – Os sistemas em nuvem controlam e otimizam automaticamente o uso de recursos, aproveitando um recurso de medição em algum nível de abstração apropriado ao tipo de serviço (por exemplo, armazenamento, processamento, largura de banda e contas de utilizador ativas). O uso de recursos pode ser monitorado, controlado e relatado, fornecendo transparência tanto para o provedor quanto para o consumidor do serviço utilizado. Modelos de Serviços de Cloud Existem três principais modelos de serviço de acordo com o NIST: SaaS – “Software as a Service” ou Software como Serviço (em português): o software como um serviço oferece um produto completo, executado e gerenciado pelo provedor de serviços. Na maioria dos casos as pessoas que se referem ao software como um serviço estão se referindo às aplicações de utilizador final. Com uma oferta de SaaS, não é necessário pensar sobre como o serviço é mantido ou como a infraestrutura subjacente é gerenciada, você só precisa pensar em como usará este tipo específico de software. (ex.: Google Docs e Microsoft SharePoint Online). 70 Figura 28 – SaaS - Software as a Service. Fonte: Heymel. PaaS – “Platform as a Service” ou Plataforma como Serviço (em português): dá aos desenvolvedores as ferramentas necessárias para criar e hospedar aplicativos Web. A PaaS foi desenvolvida para proporcionar aos utilizadores o acesso aos componentes necessários para desenvolver e operar rapidamente aplicativos Web ou móveis na Internet, sem se preocupar com a configuração ou gerenciamento da infraestrutura subjacente dos servidores, armazenamento, redes e bancos de dados (ex.: IBM Bluemix, Windows Azure e Jelastic). A definição do NIST de computação em nuvem define Plataforma como um serviço como: a capacidade oferecida ao consumidor é implementar na infraestrutura em nuvem os aplicativos criados ou adquiridos ou controlados pelo consumidor criados usando linguagens de programação, bibliotecas, serviços e ferramentas suportados pelo provedor. O consumidor não controla a infraestrutura de nuvem subjacente, incluindo rede, servidores, sistemas operacionais ou armazenamento,mas tem controle sobre os aplicativos implantados e possivelmente configurações para o ambiente de hospedagem de aplicativos. 71 Figura 29 – PaaS - Platform as a Service. Fonte: Movidesk. IaaS – “Infrastructure as a Service” ou Infraestrutura como Serviço (em português). Este modelo algumas vezes é conhecido como Hardware como um serviço ( HaaS ). É uma forma de entregar infraestrutura de computação (servidores, storage, tecnologia de redes, balanceadores de carga etc.) como um serviço sob demanda. Em vez de comprar estes recursos, os clientes podem pagar pelo seu uso. Exemplos de provedores de IaaS: Amazon - Elastic Compute Cloud (EC2). RackSpace Cloud. GoGrid. Windows Azure. 72 IBM Cloud. Google Compute Engine. Características de Infraestrutura como um serviço (IaaS): Recursos de infra são distribuídos como serviço. Permite elasticidade dinâmica. O cliente não gerencia e controla a infraestrutura de cloud de sustentação, mas tem controle sobre sistemas operacionais, armazenamento, aplicativos instalados e algum controle limitado sobre componentes de rede específicos. A vantagem é que o cliente pode instalar qualquer plataforma requerida no servidor virtual contratado. Requer mais envolvimento do pessoal de TI interno para contratação e configuração. É o modelo que permite menor dependência sob o fornecedor. Permite a virtualização de desktops (é um tipo de serviço oferecido). 73 Figura 30 – PaaS - Platform as a Service. Fonte: Senasnerd. Modelos de Implantação de Cloud O modelo de implantação em nuvem se refere a forma em que a computação em nuvem pode ser organizada, com base no controle e no compartilhamento de recursos físicos ou virtuais. Há quatro tipos de modelos de implantação que são geralmente aceitos, com base no NIST: Cloud Pública, Cloud Privada, Cloud Híbrida e Cloud Comunitária: 74 Figura 31 – Modelos de Implantação de Cloud. Fonte: researchgate. Cloud Privada – É o modelo de implantação de nuvem no qual os serviços de nuvem são aquelas com uma infraestrutura construídas exclusivamente para um cliente do serviço de nuvem e os recursos são controlados por tal cliente do serviço de nuvem. Diferentemente de um data center privado virtual, a infraestrutura utilizada pertence ao utilizador e, portanto, ele possui total controle sobre 75 como as aplicações são implementadas na nuvem. Uma nuvem privada é, em geral, construída sobre um data center privado. Figura 32 – Cloud Privada. Fonte: tiexames. Principais características da Cloud Privada: Atende as 5 características essenciais de cloud computing. Oferece maior privacidade e segurança dos dados. O acesso aos serviços pode ser limitado à rede interna (intranet). Possibilita aproveitar investimentos já realizados em hardware, software e espaço no data center. Otimiza o custo de recursos computacionais existentes, tais como servidores. Facilita o cumprimento de regulamentos ou leis referentes à privacidade de dados, que exigem que eles sejam armazenados internamente, não podendo ser armazenados por um terceiro ou fora do país. Oferece maior controle sobre o gerenciamento de serviços. 76 O custo total de propriedade (TCO) é alto e geralmente proibitivo para empresas de pequeno porte. Cloud Pública – É o modelo de implantação de nuvem no qual os serviços de nuvem estão disponíveis, potencialmente, a qualquer cliente do serviço de nuvem e os recursos são controlados pelo provedor do serviço de nuvem. Geralmente, os provedores de serviços de nuvem pública, como o Amazon Web Services (AWS), a Oracle, a Microsoft e o Google, possuem e operam a infraestrutura em seus data centers, e o acesso é geralmente feito pela Internet. A AWS, Oracle, Microsoft e o Google, também oferecem serviços de conexão direta chamados “AWS Direct Connect”, “Oracle FastConnect”, “Azure ExpressRoute” e “Cloud Interconnect”, respectivamente. Essas conexões exigem que os clientes comprem ou concedam uma conexão privada a um ponto de “peering” oferecido pelo provedor de nuvem. Figura 33 – Cloud Pública. Fonte: CentralServer. Principais características da Cloud Pública: Compartilhamento de recursos (multi-inquilinos). 77 Redução do TCO. Implantação mais rápida. Alta flexibilidade e escalabilidade (elasticidade). Cloud Híbrida – A infraestrutura cloud é uma composição de duas ou mais clouds (privada, comunitária ou pública). Também conhecida como estratégia multicloud. Requer a escolha de serviços específicos para a cloud privada ou pública, balanceando: Segurança: – Dados sigilosos podem não ir para a nuvem pública. Privacidade: – Há regulamentos que impedem de armazenar dados de clientes/usuários fora da empresa. Conformidade versus Preço: – Certos serviços na nuvem pública podem ser mais econômicos. – Certos dados não podem ir para nuvem pública. 78 Figura 34 – Cloud Híbrida. Fonte: CentralServer. Cloud Comunitária – É o modelo de implantação de nuvem onde os serviços de nuvem suportam de forma exclusiva e são compartilhados por uma coleção específica de clientes do serviço de nuvem, que compartilharam requisitos e relações entre si e onde os recursos são controlados por pelo menos um dos membros desta coleção. Exemplos: Instituições educacionais regionais ou nacionais ou institutos de pesquisa, centros comunitários ou mesmo organizações comerciais querendo compartilhar recursos de alta segurança para o processamento de transações como empresas corretoras de valores mobiliários. 79 Figura 35 – Cloud Comunitária. Fonte: tiexames. Principais características da Cloud Pública: Facilidade de compartilhar dados, plataformas e aplicativos. Menor TCO (os custos são compartilhados entre as empresas da comunidade). Melhora desempenho, privacidade e segurança. Acesso e suporte 24/7. Contratos de serviço e suporte compartilhados. Possibilita economia de escala. Principais Benefícios e Limitações da Cloud A Cloud Computing possui diversos benefícios, como redução de custos, maior agilidade, escalabilidade e alta disponibilidade, mas também 80 pode ter algumas limitações, como falhas de conexão com a Internet e podem indisponibilizar os serviços. Benefícios da Cloud Computing: Limitações no uso da Cloud Computing: 7 82 Capítulo 7. Introdução a Comandos básicos de Linux Introdução ao Linux Sistema Operacional O Sistema Operacional é a interface ao usuário e seus programas com o computador. Ele é responsável pelo gerenciamento de recursos e periféricos (como memória, discos, arquivos, impressoras, CPU etc.) e a execução de programas. Ex.: Windows, Mac OS, Unix e Linux. No Linux o Kernel é o Sistema Operacional. Você poderá construí-lo de acordo com a configuração de seu computador e os periféricos que possui. O que é o Linux? O Linux é um sistema operacional criado em 1991 por Linus Torvalds na universidade de Helsinky na Finlândia. É um sistema Operacional de código aberto distribuído gratuitamente pela Internet. Seu código-fonte é liberado como Free Software (software gratuito) o aviso de copyright do kernel feito por Linus descreve detalhadamente isso e mesmo ele está proibido de fazer a comercialização do sistema. Isso quer dizer que você não precisa pagar nada para usar o Linux e não é crime fazer cópias para instalar em outros computadores, nós inclusive incentivamos isso. Ser um sistema de código aberto pode explicar a performance, estabilidade e velocidade em que novos recursos são adicionados ao sistema. 83 Figura 36 – Linux. Fonte: YouTube. Algumas características do sistema Linux: É de graça e desenvolvido voluntariamentepor programadores experientes, hackers, e contribuidores espalhados ao redor do mundo, que tem como objetivo a contribuição para a melhoria e crescimento deste sistema operacional. Convivem sem nenhum tipo de conflito com outros sistemas operacionais (com o DOS, Windows, OS/2) no mesmo computador. Multitarefa real. Multiusuário. Suporte a nomes extensos de arquivos e diretórios (255 caracteres). Conectividade com outros tipos de plataformas como Apple, Sun, Macintosh, Sparc, Alpha, PowerPc, ARM, Unix, Windows, DOS etc. Utiliza permissões de acesso a arquivos, diretórios e programas em execução na memória RAM. NÃO EXISTEM VÍRUS NO LINUX! Em 9 anos de existência, nunca foi registrado NENHUM tipo de vírus para este sistema. Isso tudo 84 devido à grande segurança oferecida pelas permissões de acesso do sistema que funcionam inclusive durante a execução de programas. O sistema de arquivos usados pelo Linux (Ext3) organiza os arquivos de forma inteligente, evitando a fragmentação e fazendo-o um poderoso sistema para aplicações multi-usuários exigentes e gravações intensivas. Suporte a diversos dispositivos e periféricos disponíveis no mercado, tanto os novos como obsoletos. Entre muitas outras características que você descobrirá durante o uso do sistema. Hoje o Linux é desenvolvido por milhares de pessoas espalhadas pelo mundo, cada uma fazendo sua contribuição ou mantendo alguma parte do kernel gratuitamente. Linus Torvalds ainda trabalha em seu desenvolvimento, e também ajuda na coordenação entre os desenvolvedores. Primeiros Passos no Linux Neste capítulo veremos os seguintes conceitos do Linux: Usuário. Grupo. Superusuário. Login (entrando no sistema). Logout (saindo do sistema). Shutdown/halt (desligando corretamente o sistema). 85 Usuário Como o Linux foi concebido para que várias pessoas pudessem utilizar os mesmos recursos presentes em uma única máquina, surgiu o conceito de usuário para diferenciar o que cada pessoa estivesse fazendo e quais recursos ela estivesse ocupando. O usuário é a identificação da pessoa que irá utilizar o sistema. A identificação do usuário é feita por um “número de identificação” ou id, que é atribuído ao usuário durante a criação de sua conta no sistema. Com a finalidade de garantir a integridade do trabalho de cada usuário, impedindo que um usuário altere o trabalho de outro, no momento de entrada no sistema, você deve informar a senha do seu usuário. O nome de usuário associado à senha é a sua “chave de entrada” no sistema, portanto deve ser guardada com cuidado. Grupos O Linux também possui o conceito de “grupo”. Um grupo é, como o próprio nome diz, um agrupamento de vários usuários que devem compartilhar algumas características em comum como, por exemplo, permissões de acessos a arquivos e dispositivos. Superusuário O superusuário é aquele que tem plenos poderes dentro do Linux. É o superusuário quem pode criar novos usuários, alterar direitos, configurar e fazer a atualização do sistema. Somente ele tem direito de executar essas atividades. É recomendado utilizar a conta de superusuário somente quando for necessário configurar algo no sistema. Ainda assim é recomendado utilizá- la o mínimo possível para evitar que algum erro danifique o sistema. 86 Entrando e Saindo do Sistema Ao iniciar o Linux, um prompt semelhante ao ilustrado a seguir será mostrado: Linux (tty1) XPE login: Informe o seu login/nome de usuário. A seguir será solicitada a senha (Password) do usuário. Digite a senha do seu usuário. Após informar o nome de usuário e a senha corretamente, você será levado ao prompt do sistema: [aluno@XPE aluno]$ Obs.: o Linux tem terminais virtuais. Você pode alterar entre eles utilizando as teclas Alt-Fn, onde n pode variar de 1 até 6 na configuração padrão. Pode-se utilizar o comando logout na linha de comando para se desconectar do sistema: [aluno@XPE aluno]$ logout Desligando o Sistema A fim de evitar danos ao sistema de arquivos, é necessário que o superusuário pare o sistema antes de desligar o computador. Um dos comandos que podem ser utilizados é o comando shutdown. Este comando permite tanto desligar quanto reiniciar o computador. O comando shutdown -h now permite desligar o computador imediatamente, enviando uma mensagem a todos os usuários que estão utilizando o sistema: 87 [aluno@XPE aluno]$ shutdown -h now O comando shutdown -h -t 30 finaliza todos os processos e desliga o computador dentro de 30 segundos, enviando a mensagem de aviso a todos os usuários logados no sistema: [aluno@XPE aluno]$ shutdown -h -t 30 “Atenção: O sistema será desligado dentro de 30 segundos” O comando halt diz ao sistema que ele deverá desligar imediatamente. [aluno@XPE aluno]$ halt Para reinicializar o sistema, pode-se utilizar, além do comando shutdown, o comando reboot: [aluno@XPE aluno]$ shutdown -r -t 30 “Atenção: O sistema será reiniciado dentro de 30 segundos” Esta opção finaliza todos os processos e reinicia o computador após 30 segundos. [aluno@XPE aluno]$ reboot O comando reboot chama o comando shutdown e ao final deste, reinicia o sistema. Após executar os comandos deve-se aguardar até que o sistema esteja parado (com a mensagem o sistema está parado ou Power Down) para então poder desligar seu computador ou esperar que ele reinicie. 88 Figura 36 – Linux. Fonte: Oráculo TI. Gerenciamento de Arquivos e Diretórios Será visto nesse capítulo como criar, renomear, excluir e mover arquivos e diretórios, bem como criar links. Listando Arquivos O comando ls mostra o conteúdo de um diretório. O formato do comando é o seguinte: ls [ - l ] [ - a ] [ - F ] [dir] Onde [-l] é o formato longo, e [-a] serve para mostrar todos os arquivos, incluindo arquivos ocultos (os quais têm seu nome indicado por um ponto). Existem várias outras opções, embora estas sejam mais usadas. Finalmente, [-F] coloca no final dos nomes de arquivo um símbolo indicando o seu tipo. Segue um exemplo do uso do ls é mostrado a seguir: 89 [aluno@XPE X11]$ ls LessTif bin doc etc fonts include lib man share [aluno@XPE X11]$ Um exemplo do uso do ls usando parâmetros: [aluno@XPE X11]$ ls -laF drwxr-xr-x 11 root root 4096 Ago 27 2002 ./ drwxr-xr-x 22 root root 4096 Mar 22 2003 ../ drwxr-xr-x 3 root root 4096 Mar 22 2003 LessTif/ drwxr-xr-x 2 root root 8192 Jul 24 08:45 bin/ drwxr-xr-x 2 root root 4096 Jul 24 2003 doc/ drwxr-xr-x 4 root root 4096 Ago 27 2002 etc/ drwxr-xr-x 2 root root 4096 Mar 22 2003 fonts/ drwxr-xr-x 4 root root 4096 Mar 22 2003 include/ drwxr-xr-x 9 root root 4096 Jul 24 2003 lib/ drwxr-xr-x 7 root root 4096 Jul 24 2003 man/ drwxr-xr-x 15 root root 4096 Jul 24 08:45 share/ [aluno@XPE X11]$ No exemplo acima, como são nomes de diretórios, o parâmetro [-F] adiciona uma barra indicando nome de diretório. O parâmetro [-l] coloca várias informações sobre o arquivo (permissões, links, dono, grupo, tamanho, data, hora e nome do arquivo). Metacaracteres Existem sinais, chamados metacaracteres, usados para facilitar a utilização de comandos no Linux. Quando se trabalha com os comandos de manipulação de arquivos, frequentemente é útil empregarmos metacaracteres. Estes símbolos – como 90 *, ?, [], {} – são úteis para se referenciar arquivos que possuam características em comum. Para os exemplos dados nesta seção, será usada a seguinte lista de arquivos: [aluno@XPE aluno]$ ls 12arquivo 1arquivo 2arquivo arquivo arquivo3 arquivo34 arquivo5arquivo O asterisco “*”: O asterisco é usado para representar “qualquer quantidade de qualquer caractere”. Por exemplo, arquivo* retornaria todos os arquivos em que o nome iniciasse com “arquivo”. Veja o efeito da utilização
Compartilhar