ETHICAL-HACKER-E-INTELIGÊNCIA-CIBERNÉTICA

Prévia do material em texto

1 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ETHICAL HACKER E INTELIGÊNCIA CIBERNÉTICA 
 
 
2 
 
 
 
SUMÁRIO 
 
NOSSA HISTÓRIA ...................................................................................................... 3 
INTRODUÇÃO ............................................................................................................ 4 
ETHICAL HACKING .................................................................................................... 5 
TIPOS DE HACKER ÉTICO ........................................................................................ 7 
BENEFÍCIOS DOS HACKERS ÉTICOS ..................................................................... 7 
HABILIDADES DO HACKER ÉTICO .......................................................................... 8 
COMO UM HACKER PODER SER ÉTICO ................................................................. 9 
IMPLICAÇÕES LEGAIS DA ATIVIDADE DE HACKER ÉTICO ................................ 10 
INTELIGÊNCIA CIBERNÉTICA ................................................................................ 11 
O CONCEITO DE GLOCAL ...................................................................................... 13 
CONCEITUANDO CTI .............................................................................................. 17 
ENTENDENDO A INTELIGÊNCIA DE AMEAÇAS .................................................... 18 
CONCEITOS ............................................................................................................. 21 
REFERÊNCIAS ......................................................................................................... 24 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
3 
 
 NOSSA HISTÓRIA 
 
 
A nossa história inicia com a realização do sonho de um grupo de empresários, 
em atender à crescente demanda de alunos para cursos de Graduação e Pós-
Graduação. Com isso foi criado a nossa instituição, como entidade oferecendo 
serviços educacionais em nível superior. 
A instituição tem por objetivo formar diplomados nas diferentes áreas de 
conhecimento, aptos para a inserção em setores profissionais e para a participação 
no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. 
Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que 
constituem patrimônio da humanidade e comunicar o saber através do ensino, de 
publicação ou outras normas de comunicação. 
A nossa missão é oferecer qualidade em conhecimento e cultura de forma 
confiável e eficiente para que o aluno tenha oportunidade de construir uma base 
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições 
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, 
excelência no atendimento e valor do serviço oferecido. 
 
 
 
 
4 
INTRODUÇÃO 
 
O termo Hacker, na informática, simboliza o indivíduo que se dedica com 
profundidade a entender, modificar ou burlar os limites de segurança de dispositivos, 
programas e redes de computadores. No entendimento popular, Hacker é associado 
ao indivíduo de atitude maliciosa, cuja motivação, invariavelmente leva ao 
comprometimento dos atributos da informação: Integridade, disponibilidade, 
autenticidade e privacidade dos dados e sistemas computacionais. 
Em uma visão mais ampla, Hacker é todo aquele indivíduo com habilidades 
que, além de comprometer e burlar sistemas, contribue para o desenvolvimento e 
melhoramento tecnológico, seja pela descoberta e compartilhamento de informações 
de segurança, ou pelo desenvolvimento e melhoramento de softwares ou sistemas 
informmatizados. O Hacker, portanto, pode ser tanto mal-intencionado como um 
profissional norteado pela ética e legalidade. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
5 
 
 
 
 
ETHICAL HACKING 
 
 
 
Em sentido amplo, o termo Hacker é associado ao indivíduo que se dedica a 
analisar e/ou burlar os limites de segurança de dispositivos, sistemas e redes de 
computadores. No sentido popular, Hacker normalmente é mais utilizado para 
caracterizar o sujeito com de atitude maliciosa, cuja motivação, invariavelmente leva 
ao comprometimento da proteção dos dados / informações, em respeito aos atributos 
de Confidencialidade, Integridade e Disponibilidade. 
Ethical Hacking (Hacking Ético) é um conceito que traduz forma legal (dentro 
da lei) de hackear, a alcunha associada as atividades desempenhadas pelo Ethical 
Hacker (Hacker Ético). Atividades que envolvem testes de penetração / intrusão 
(conhecido como pentest) muitas vezes são consideradas como expressões 
sinônimas à prática do Ethical Hacking. 
 
 
6 
Um Ethical Hacker (Hacker Ético) é um profissional de tecnologia da informação 
que trabalha na área de Segurança da Informação, com a função de encontrar 
vulnerabilidades de segurança que um hacker malicioso poderia potencialmente 
explorar. Para tanto, este profissional precisa desenvolver habilidades em técnicas de 
penetração de sistemas, Redes de Computadores e dispositivos computacionais em 
geral. 
O profissional desta área deve ter conhecimentos iguais ou superiores a um 
hacker com irretenção maliciosa. Mas, ao invés de usar esse conhecimento para obter 
vantagem própria, ele a utiliza para investigar, analisar e reportar vulnerabilidades 
para a empresa para qual trabalha ou presta serviços, evitando assim ataques 
e incidentes de segurança. 
 O hacker ético tem um campo de atuação bem grande. Isto porque ele é 
requisitado em todos os setores na defesa da segurança da informação. Em resumo, 
ele pode atuar em áreas como as seguintes: 
 Teste de invasão; 
 Perícia forense; 
 Políticas e processos; 
 Gestão de riscos; 
 Desenvolvimento de softwares; 
 Engenharia; 
 Pesquisas de ameaças e vulnerabilidades. 
Dessa maneira, não basta só descobrir quais são as vulnerabilidades. Portanto, 
desenvolvem-se também métodos de proteção. 
 
 
 
7 
Tipos de hacker ético 
 
Ethical hackers podem atuar em diversas atividades dentro ou fora das empresas, já 
que podem se especializar em diferentes áreas. Alguns dos principais tipos são os 
que seguem. 
 
PenTesters 
Esses tipos de hackers prestam serviço para empresas utilizando as técnicas de 
PenTest (Penetration Test — ou teste de penetração). Nele, são usadas ferramentas 
específicas para fazer uma varredura na rede e nos servidores da empresa em busca 
de vulnerabilidades. Em seguida, a pessoa pode oferecer o serviço de correção ou 
apenas reportar as falhas para que a equipe de TI do negócio as corrija. 
 
Desenvolvedores e desenvolvedoras 
Hackers com um maior conhecimento de programação podem se dedicar ao 
desenvolvimento de novas aplicações. Dessa forma, torna-se viável atuar em 
empresas que precisam adicionar novas funcionalidades a um sistema com segurança 
ou modificá-lo. Além disso, muitas dessas pessoas se envolvem em projetos de 
software de código aberto. 
 
Independentes 
Algumas pessoas que atuam como hackers não trabalham sob contrato com uma 
empresa, mas buscam falhas em seus sistemas de forma autônoma. Elas atuam por 
meio de programas conhecidos como Bug Bounty, em que as empresas oferecem 
boas recompensas em dinheiro para hackers que relatarem os problemas de 
segurança encontrados. 
 
Benefícios dos hackers éticos 
 
 
 
8 
Bom, com base no que já foi dito, já podemos imaginar alguns benefícios do 
ethical hacker. O mais importante deles é a prevenção do roubo de informações e do 
seu uso malicioso. 
Isto porque, na prática, o ethical hacking está relacionado a um processo que 
chamamos de offensive security, isto é, segurança ofensiva. Esta é a parte da 
cibersegurança que se dedica mais a descobrir ameaças potenciais e 
vulnerabilidades. 
Assim, existem muitas vantagens destes profissionais: 
 Descobrem vulnerabilidades sob o ponto devista de um attacker; 
 Implementam redes de segurança que evitam brechas; 
 No caso de Estados e governos, podem defender informações vitais à 
segurança nacional; 
 Trazem confiabilidade à empresa, que garante que os dados de seus 
clientes estão a salvo; 
 Trazem avaliações do mundo real (além da teoria). 
Isto realça um ponto importante: de que o hacker ético atua exatamente como 
se fosse roubar as informações, mas não o faz. Esta é a melhor forma de se colocar 
na posição de alguém malicioso, garantindo a cobertura da maioria das brechas. 
Assim, este profissional precisa estar constantemente atualizado, uma vez que 
worms, malwares, vírus e ramsonwares surgem todos os dias. Este é, então, um 
trabalho constante, que se renova sempre. 
 
Habilidades do Hacker Ético 
O Hacker Ético, para ficar um passo à frente dos Hackers mal-intencionados 
deve ser especialista em sistemas de computadores, ter conhecimento sobre 
 
 
9 
programação, redes e sistemas operacionais. Ter conhecimento aprofundado sobre 
as plataformas altamente segmentadas (como o Windows, Unix e Linux) é também 
uma exigência. Paciência, persistência e perseverança são qualidades importantes 
para Hackers Éticos devido ao período de tempo e nível de concentração necessária 
para obter sucesso na maioria dos ataques. Habilidades de programação web e banco 
de dados, bem como conhecimento aprofundade de redes de computadores, são 
bastante úteis para o Hacker na realização de hacking ético e testes de 
vulnerabilidade. 
Quando faz parte de uma equipe de teste de segurança, o Hacker pode possuir 
funções específicas podendo precisar estar mais especializado em uma área de 
atuação. Neste caso, cada membro da equipe possui especialidades distintas. No 
entanto, a maioria dos Hackers Éticos, possui forte conhecimento nas áreas de 
segurança e contramedidas de segurança para fazer frente e previnir ataques. 
 
Como um Hacker poder ser ético 
A atividade do Hacker Ético é geralmente conduzido de forma estruturada e 
organizada, geralmente como parte de um teste de penetração ou de auditoria de 
segurança. A profundidade e o alcançe dos testes aplicados nos sistemas são 
geralmente determinadas pelas necessidades e preocupações do cliente. Muitos 
Hackers éticos são membros da equipe de segurança de TI e de resposta a incidentes 
de rede da organização. Esta equipe trabalha em conjunto para realizar testes em 
grande escala cobrindo todos os aspectos da rede, da infraestrutura física e dos 
sistemas de intrusão. 
O Hacker Ético deve seguir certas regras para garantir que todas as obrigações 
éticas e morais sejam cumpridas. Quais sejam: 
• Obtenção de autorização do cliente através de contrato assinado, dando ao 
Hacker Ético autorização para realizar os testes. 
• Firmar e manter um acordo de não divulgação dos dados e termo de 
 
 
10 
confidencialidade com o cliente, no caso de alguma informação confidencial ser 
divulgada durante o teste. 
• Manter a confidencialidade ao realizar o teste. Os dados recolhidos podem 
conter informações confidenciais. Quaisquer informações sobre o teste ou empresa 
são confidenciais e nunca devem ser divulgados a terceiros. 
• Definir e realizar o teste até os limites acordados como o cliente. Deve-se junto 
ao cliente estabelece os limites máximos para os testes de forma a não comprometer 
nenhuma atividade da organização. 
Uma auditoria de segurança organizada, eficiente e ética, deve seguir os 
passos a seguir: 
• Reunir com o cliente e discutir as necessidades a serem abordadas durante o 
teste. 
• Preparar e assinar os acordos de confidencialidade com o cliente. 
• Organizar a equipe de hacking ético, e preparar uma agenda para o teste. 
• Realizar o teste. 
• Analisar os resultados do teste e elaborar um relatório. 
• Apresentar as conclusões do relatório para o cliente. 
 
Implicações legais da atividade de Hacker Ético 
 
Um Hacker ético deve saber as implicações legais decorrentes ao acesso não 
autorizado a um sistema. Nenhuma atividades de Ethical Hacking associados a um 
teste de rede de penetração ou de auditoria de segurança deve começar até que um 
documento jurídico assinado dando ao Hacker ético permissão expressa para 
executar as atividades de hacking seja recebida da organização alvo ou cliente. 
Hackers Éticos precisam ser criteriosos com as suas habilidades de Hacker e 
 
 
11 
reconhecer as consequências do mau uso dessas habilidades. É importante lembrar 
que a intenção não faz um Hacker acima da lei; mesmo um Hacker Ético pode ser 
processado por quebrar as leis. A Lei Cyber Security Enhancement de 2002, dos 
Estados Unidos da América, determina pena de prisão perpétua para o Hacker que 
"Imprudentemente" põe em perigo a vida de alguém. Hackers que promovem 
situações de risco de vida, comprometendo redes de informáticas críticas como as de 
sistemas de transporte, empresas de energia, ou outros serviços públicos ou de 
utilidade pública, pode ser processados nos termos desta lei. 
 No Brasil, a Lei de Crimes praticados na Internet (Lei 12.737/2012), conhecida 
por Lei Dieckmann, em seu art. 154, descreve como crime: “Invadir dispositivo 
informático alheio, conectado ou não à rede de computadores, mediante violação 
indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados 
ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar 
vulnerabilidades para obter vantagem ilícita”. 
Ainda não há um consenso jurídico sobre a correta interpretação dos termos 
apresentados na lei, permanecendo ainda várias dúvidas a respeito do tema. No 
entanto, não resta dúvida sobre o fato de que cada vez mais a segurança cibernética 
passa a ter relevante importância na vida corporativa.. Ademais, só a evolução da 
jurisprudência determinará de fato o entendimento da lei. Cabe, portanto, ao Hacker 
Ético, cercar-se ao máximo dos dispositivos jurídicos que garantam a legalidade do 
exercício de suas atividades. 
 
INTELIGÊNCIA CIBERNÉTICA 
 
Provavelmente, você já ouviu falar em “Inteligência Cibernética“, termo que está 
em evidência no mundo digital há, pelo menos, alguns anos. Primeiro, é necessário 
contextualizar em qual lugar a “Inteligência Cibernética” se encaixa nas organizações. 
Inteligência dirige operações. 
Esse é um mantra conhecido do militarismo, especialmente norte-americano, 
em que a maioria das ações (ofensivas e defensivas), quiçá todas, são precedidas de 
 
 
12 
um planejamento de inteligência sobre o alvo, o ecossistema e afins. 
Da mesma forma, o termo “inteligência” já é bastante conhecido pelas 
corporações, inclusive no Brasil, em que a inteligência competitiva é estudada e 
praticada. É importante destacar a relevância de desvencilhar a “Inteligência 
Cibernética” da tradicional “Segurança da Informação”. 
A segurança da informação é a área responsável pela proteção dos ativos: 
informações de clientes, propostas comerciais, contratos, bancos de dados, 
propriedade intelectual, relatórios financeiros, entre outros.Além disso, é a área que 
desenha, implementa e suporta estratégias e mecanismos para essa defesa. 
Toda a ação é desenvolvida dentro da rede de dispositivos de processamento 
de dados das corporações, seja fixa, apenas dentro do espaço físico da empresa – 
pensamento ultrapassado ou dinâmica, como o armazenamento na Nuvem e nos 
dispositivos pessoais dos colaboradores, uma tendência conhecida como “BYOD” 
(sigla em inglês, Bring Your Own Device). 
Já a inteligência cibernética monitora e analisa as ameaças que surgem do 
espaço cibernético e podem causar danos à instituição. Ou seja, o foco está 
direcionado para fora do perímetro da empresa, os esforços estão concentrados em 
captar e compreender possíveis ameaças externas ligadas diretamente ou 
indiretamente aos negócios. 
Em termos gerais, a inteligência cibernética busca a prevenção, antevendofraudes e vulnerabilidades que fragilizem a instituição. 
A inteligência de ameaça é um termo popular no setor de segurança, e se 
tornou uma frase atrativa para uma variedade de tecnologias. Este material ajudará a 
esclarecer o que é a inteligência de ameaças e porque ela é fundamental para 
organizações de todos os tamanhos para melhorar na detecção de ameaças e na 
tomada de decisões. 
Uma tendência recente e importante no mercado de segurança é investir em 
serviços de inteligência de ameaças, devido à alguns motivos, e enxergamos o atual 
cenário de ameaças como o principal. 
De acordo com o Internet Security Threat Report de 2017 da Symantec, mais 
de 7 bilhões de dados foram expostos em vazamentos nos últimos 8 anos, além de 
mais de 1 milhão de novos malwares produzidos por dia. 
https://digitalhubshare.symantec.com/content/dam/Atlantis/campaigns-and-launches/FY17/Threat%20Protection/ISTR22_Main-FINAL-JUN8.pdf?aid=elq_
 
 
13 
Existem quatro aspectos que se relacionam no ambiente de Segurança da 
Informação que devem ser levados em consideração quando falamos sobre 
Inteligência de ameaças, que são: 
 
O Conceito de Glocal 
 
Pensamento global com atuação local, ou seja, pensar nas tendências que 
estão acontecendo a nível global modificando comportamentos e interesses e aplicar 
isso aos negócios. Porque globalização é uma tendência dos negócios, e por isso é 
necessário entender o que está acontecendo no mundo e aplicar à sua realidade. 
 
Marcas 
A marca é um conjunto de ideias que têm valor. E esse é o maior ativo das 
empresas, porque é a representação da reputação e da credibilidade delas. 
Entretanto, marca é um ativo intangível, e por isso não existe firewall que possa 
protegê-la. 
Imagine agora, que você é um dos diretores da maior companhia brasileira de 
comunicação. Sua marca está intacta, seu nome está consolidado no mercado e sua 
credibilidade é inegável. Mas, devido à um incidente de segurança, um hacker é capaz 
de interromper a transmissão do seu principal telejornal e do seu portal de notícias 
online substituindo a programação original por conteúdo odioso, causando um caos. 
Você consegue calcular o grau de impacto que um episódio desse traria para a essa 
marca? Gigante né? 
Pois é, inclusive algo muito próximo disso aconteceu com a TV5Monde, um dos 
principais canais de TV da França, que foi retirado do ar em abril de 2015 após um 
ataque com um malware direcionado. Inicialmente, o grupo Cyber Caliphate ligado ao 
Estado Islâmico assumiu a responsabilidade. Entretanto, agora, uma investigação 
sugere que o ataque foi realizado por um grupo de hackers russos. 
O ataque usou um software malicioso personalizado para corromper e destruir 
o hardware conectado à Internet que controlava as operações da estação de tv, como 
os sistemas de codificação utilizados para transmitir programas. 
Esse ataque poderia ter colocado fim a companhia, e de acordo com Yves 
http://www.bbc.com/news/technology-37590375
 
 
14 
Bigot, diretor geral da TV5Monde, eles só foram salvos da destruição total porque um 
dos técnicos encontrou a máquina infectada e a desconectou da Internet paralisando 
o ataque. 
O que observamos nesse exemplo é que esse tipo de incidente, não é um 
incidente de TI e sim de marca, de reputação. E é aí que talvez more o maior valor e 
o maior problema desse tipo de ataque. 
 
Quarta Revolução Industrial: 
“A quarta revolução industrial será marcada pela convergência de tecnologias 
digitais, físicas e biológicas. ” 
A partir da aplicação de tecnologias como a Internet das Coisas, por exemplo, 
teremos dispositivos físicos conectados à sensores inteligentes através da Internet, 
permitindo um monitoramento e uma análise avançada das máquinas que são 
capazes de enviar dados em tempo real. 
O que possibilita reunir e interpretar dados, a fim de utilizar essas informações 
para uma gestão mais eficiente. Por isso, essa fase é conhecida como revolução do 
conhecimento e da comunicação, ou Era da Informação. 
 
Ripple Effect 
Também conhecido como efeito cascata ou efeito dominó. A ideia por trás 
do ripple effect é de que um gatilho seja o ponto inicial de uma série de acontecimentos 
que se sucedem sem parar, criando um ciclo vicioso esbarrando em diversos âmbitos, 
incluindo os que não se relacionam diretamente. 
Inclusive, esse foi um dos temas abordados na talk de abertura do CTO da 
RSA, Zulfikar Ramzan na RSA Conference de 2017. Confira abaixo. 
Quando há aumento no preço do combustível, por exemplo, também há 
aumento nos preços dos produtos transportados, afetando o preço dos alimentos, dos 
salários e aumentando a circulação de dinheiro, que consequentemente aumentam os 
empréstimos e por aí vai. 
Um caso real que exemplifica essa ideia foi o que aconteceu com 
a YAHOO! quando estava em processo de negociação com a Verizon em 2016. Nos 
EUA, as empresas são obrigadas por lei à reportarem incidentes de segurança, e com 
https://www.proof.com.br/blog/internet-das-coisas/
https://en.wikipedia.org/wiki/Ripple_effect
https://youtu.be/YhjdQmeRtNE
https://youtu.be/YhjdQmeRtNE
https://www.bloomberg.com/news/articles/2017-02-21/verizon-said-to-reach-deal-for-lowered-yahoo-price-after-hacks
 
 
15 
isso a YAHOO! precisou reportar um vazamento de dados sensíveis ocorrido em 
2013. Sendo assim, de acordo com a Bloomberg Technology, no momento em que a 
YAHOO! reportou esse vazamento de dados, suas ações perderam 350 milhões de 
dólares em valor de mercado, comprometendo a negociação. 
Mas o que esses quatro aspectos têm a ver com Inteligência de Ameaças 
Cibernéticas? 
Bom, a resposta é simples. Essas quatro esferas estão conectadas. E sendo 
assim, a partir do momento em que você observa tendências e entende que ameaças 
podem se desdobrar de “n” formas, e inclusive afetar não só a sua organização, mas 
a indústria como um todo, você mensura os impactos que podem ser causados, e 
dessa forma consegue minimizá-los através da Inteligência de ameaças. 
Relacionar uma ameaça que está acontecendo, não necessariamente no seu 
campo de atuação, ou no seu país, mas que pode se desenrolar (no curto, médio ou 
longo prazo) e afetar não só a sua estrutura de negócio, mas também outras entidades 
importantes na sociedade, criando impactos também dentro da sua indústria. 
Um bom exemplo para ilustrar esse cenário, foi o que aconteceu com uma 
startup israelense de transação de criptomoeda, a CoinDash. A empresa teve um 
prejuízo de 7 milhões de doláres devido a um ataque de defacement, ou seja, o site 
da empresa foi hackeado e nele colocado uma nota falsa indicando que o site havia 
sido invadido e que, a fim de minimizar danos, os investidores deveriam transferir seu 
dinheiro para uma nova conta. Conta esta dominada pelos criminosos. O mais incrível 
foi que a janela entre a publicação da nota e a derrubada intencional do site durou 3 
minutos. 
O mundo interconectado têm seus ônus, e a sensibilidade é o maior deles. No 
tempo de comunicações analógicas, o tempo entre o acontecimento do evento e a 
percepção de seu impacto era suficiente para que até o agente mais despreparado 
tivesse intervalo para uma reação adequada, sendo assim 3 minutos não seriam 
suficientes nem para uma notícia chegar a próxima esquina, quiçá para causar algum 
impacto financeiro relevante para o mundo. 
Já no mundo globalizado, com infinitos agentes interconectados em redes 
complexas de comunicação instantânea, o tempo de resposta a incidentes não é 
suficiente nem para que os agentes envolvidos possam conferir se trata de uma 
 
 
16 
informação verdadeira, nesse caso, 3 minutos foram suficientes para que investidores 
ao redor do mundo reconsiderassem suas expectativas em relação a criptomoedas. 
Tudo isso, marcas, países ou qualquer coisa intangível, se tornou sensível 
devido à globalização e consequentemente diluição de barreiras. Sendo assim, 
sensibilidade, nesse caso,refere-se à capacidade de resistência e reação à estímulos 
externos. Sensibilidade é, por exemplo, concentrar toda a comunicação virtual de um 
país em uma única fonte. 
Em 2011, a georgiana Hayastan Shakarian, de 75 anos, foi presa depois que 
supostamente cortou um cabo de fibra óptica que atravessava a Geórgia para a 
Armênia, enquanto cavava para achar cobre. O incidente deixou 90% dos internautas 
na Armênia sem conexão com a Internet por quase 12 horas. 
Episódios como esse são um lembrete oportuno de que no mundo da 
tecnologia, basta a quebra de um elo para derrubar milhares de empresas. 
Sendo assim, se o objetivo é diminuir a superfície de ataque para minimizar os 
riscos e ficar menos à mercê de fatores externos, as empresas precisam abrir mão do 
modelo de segurança endógeno, aquele que cresce para dentro da organização e se 
atentar para variáveis que vão além das estruturas controláveis, ou seja as variáveis 
externas. 
Para fazer uma analogia, imagine que estamos em um jogo de futebol onde 
nossos ativos são gols e nossa segurança é o goleiro. 
Nesse caso, o goleiro está virado para o gol – pensar segurança de maneira 
endógena é não olhar para os jogadores, e sim para o alvo, ou seja, para o ambiente 
interno. Tentar implementar defesa sem estratégia, ou seja, sem saber quais 
capacidades, motivações, intenções, armas dos inimigos, torna-se um esforço 
custoso, ineficaz e ineficiente. 
O motivo é que o gol não para de crescer – o Gartner estima que 8.4 bilhões 
de dispositivos estarão conectados à Internet até o final de 2017 e com eles, novos 
tipos de vulnerabilidades e formas de ataque. 
Para resolver essa questão, seria necessário investir em uma abordagem mais 
eficiente, contando com três frentes, que são: 
CTI – conhecer quais são as ameaças, suas motivações e seu comportamento, 
criando um plano de resposta adequado e diminuindo o tempo de remediação. 
http://www.bbc.com/news/business-13158351
 
 
17 
Defensive Engagement of the Threat – observar e explorar técnicas, 
ferramentas e procedimentos (TTP’s) das ameaças em ambientes forjados (de 
laboratório). 
Comunicação – compartilhar conteúdo e consumi-lo de maneira estruturada. 
Se você descobre que está doente, você avisa para que os que estão a sua volta 
possam tomar a vacina ou até mesmo inventá-la. 
 
 Conceituando CTI 
 
A tecnologia da informação aproxima as pessoas e conecta os pontos, mas cria 
um single point of failure. Ou seja, imagine uma tecnologia que é capaz de conectar 
pessoas e negócios. Caso alguém consiga comprometer determinada rede vinculada 
à essa tecnologia, essa pessoa poderá comprometer todas as outras coisas que 
estiverem ligadas à essa rede, resultando em grandes impactos. Criando uma 
externalidade negativa, efeito conhecido em redes. 
Pense em uma rede muito bem aceita e bem fechada, que pode ser 
desmoronada à medida que se crie uma instabilidade nela. No caso de Tecnologia da 
Informação e Comunicação, essa rede não é bem fechada, ela está cheia de buracos, 
um bom exemplo é a Internet, que é a principal tecnologia dessa Era. Ela está cheia 
de buracos porque não foi pensada a partir do ponto de vista da segurança, o que 
significa dizer que agora é necessário aplicar correções na rede mundial de 
computadores, a fim de garantir a segurança do que foi construído em cima dessa 
plataforma, criando negócios mais seguros. 
Outra coisa que precisa ser levada em consideração ao falar de CTI, é a 
ameaça. Nesse caso, entendemos ameaça como qualquer possibilidade de explorar 
alguma vulnerabilidade e colocar organizações em risco. No campo da tecnologia, 
os tempos de detecção e remediação são críticos, o que caracteriza uma janela 
perfeita para que ataques ocorram. 
No episódio do WannaCry, por exemplo, a combinação se deu através de 
um cryptoransomware, para sequestro de dados usando a DoublePulsar para explorar 
uma vulnerabilidade que já era conhecida, somada a uma característica de worm, para 
aumentar o potencial de proliferação, explorando uma vulnerabilidade nova, a Eternal 
https://www.optiv.com/blog/tactics-techniques-and-procedures-ttps-within-cyber-threat-intelligence
https://www.proof.com.br/blog/wannacry-ransomworm/
https://www.proof.com.br/blog/wannacry-ransomworm/
 
 
18 
Blue. 
Cada vez mais fala-se sobre a conexão entre sistemas, softwares e ativos da 
tecnologia da informação conectando os negócios, ou seja, a superfície de contato 
para um vetor é cada vez maior. Mas ainda tem um outro fator importante nessa já 
complexa equação, que é a motivação. 
Nesse ecossistema existem na atores com motivações diferentes, desde os 
caras que são patrocinados por governos até cibercriminosos oportunistas que 
querem fazer dinheiro rápido explorando vulnerabilidades conhecidas. Sendo 
assim, ameaça é quando se tem uma técnica, com alguma motivação e com 
capacidade de explorá-la. 
Além da ameaça, outro conceito que faz parte da inteligência de ameaças, é a 
ideia de contexto. Contexto, nesse caso é a combinação entre a visibilidade do 
episódio com os indicadores de risco como por exemplo a anatomia do malware, ou 
seja, entender seu comportamento. 
O WannaCry começou na Espanha, por volta das 3 da manhã no horário de 
Brasília. O Brasil não foi o epicentro do ataque, entretanto, a medida que o episódio 
foi ganhando visibilidade somado com os indicadores de risco, empresas no mundo 
inteiro fizeram um movimento para minimizar/impedir danos e prejuízos. Caso os 
mercados ocidentais não tivessem se movido para prevenir que a ameaça explorasse 
e comprometesse seus sistemas, o efeito teria sido ainda mais devastador. 
Inteligência de ameaça serve para isso. 
A conclusão é que não se pode prever o output de determinados fenômenos. E 
quando falamos de contexto cibernético, impactos para a marca, quarta revolução 
industrial, e todas essas coisas conectadas, estamos falando que a exploração de 
uma vulnerabilidade para um atacante, pode ter efeitos imprevisíveis, pode ser o caos 
para as organizações. E é, exatamente, por isso, que empresas devem monitorar o 
comportamento de possíveis ameaças, a fim de que possam se prevenir. 
 
Entendendo a Inteligência de Ameaças 
 
Tenha em mente o atual cenário, o mundo está cada vez mais conectado, o 
valor das empresas intangível, sistemas e redes mais integrados, e comprometer isso 
https://www.proof.com.br/blog/contexto-do-wannacry/
 
 
19 
pode trazer impactos a nível mundial. Sendo assim, um incidente no mercado asiático 
pode afetar uma empresa brasileira ou um malware que foi desenvolvido para atacar 
um país x pode causar danos em outros países e empresas. No caso do WannaCry foi 
exatamente isso que aconteceu. 
“Mas o que isso tem a ver com as empresas dos meus clientes ou com a minha 
própria empresa? ” 
Nada, se formos míopes e não tivermos o entendimento de que essas técnicas 
e procedimentos alimentam o cenário de ameaças. À medida que cibercriminosos 
descobrem vulnerabilidades e tem acesso às ferramentas necessárias para explorá-
las, o grau de risco ao qual as empresas estão submetidas, aumenta. E é aqui que a 
inteligência de ameaças entra em ação. 
Vamos pensar em inteligência no contexto militar, usando o criptoanalista e 
cientista da computação britânico Alan Turing como exemplo. O matemático ajudou 
os aliados a desvendar o segredo da ENIGMA, uma máquina desenvolvida pelos 
nazistas para a criptografia de mensagens, quebrando a criptografia alemã, decifrando 
as mensagens e antevendo as futuras movimentações dos alemães, e 
consequentemente ajudando a pôr fim na segunda guerra. A inteligência aplicada 
tanto ao conceito da guerra quanto ao ciberespaço ajuda na prevenção a partir da 
detecção. 
Ou seja, a partir de um contexto é possível observar o comportamento do ator 
da ameaça, detecção classificando se ela é eminente, pouco ou muito provável de 
acontecer, e dessa maneira criar uma resposta específicapara aquela ameaça 
impedindo que ela afete os negócios e empresas, porque será possível priorizar ações 
melhor tomada de decisão a partir da associação prévia entre informações e ameaças 
específicas. 
Na Segunda Guerra Mundial, os ingleses, no entanto, ao decifrarem as 
informações dos alemães, ganharam uma vantagem competitiva, podendo ter uma 
tomada de decisão mais acertada. Isso foi possível porque eles já sabiam qual era o 
próximo passo dos nazistas, e com isso conseguiam se proteger contra o que estava 
por vir, e de certa forma até contra-atacá-los. Isso é inteligência no contexto militar. 
O objetivo da inteligência de ameaça no contexto cibernético é extrair do inimigo 
o que é relevante e aplicar no seu próprio contexto. E é exatamente por isso, que 
https://www.facebook.com/proof.com.br/videos/1603040763063951/
https://www.facebook.com/pg/proof.com.br/posts/
 
 
20 
muitas empresas fazem monitoramento de Deep Web e Dark Web, para interceptar a 
comunicação entre hackers ou grupos de cibercrime e se proteger contra os ataques 
que estão por vir. 
Inteligência de ameaças é, portanto, um conjunto de informações que ajudam 
a tomar decisões melhores sobre o que priorizar frente às ameaças que se é mais 
suscetível, e não ficar à mercê das ameaças. 
É, portanto, uma arma essencial para detectar e prevenir ataques avançados de 
invasores bem fundados com objetivos e alvos específicos. 
Além disso, em geral a inteligência de ameaça cibernética é muito mais útil 
porque oferece maior visibilidade, resposta mais rápida a ataques direcionados, 
melhor comunicação executiva, planejamento estratégico aprimorado e investimento 
para a organização de segurança. 
Para isso é necessário ter capacidade de resposta à incidentes, saber quais 
são as técnicas de invasão, fazer gestão das vulnerabilidades para entender quais 
são as dificuldades do ambiente e ter uma biblioteca de ameaças, para entender e 
documentar comportamentos encontrados. 
Ou seja, monitorar as ameaças a fim de criar contexto e saber o que deve ser 
feito de acordo com as diferentes formas de ataque. 
E por fim, é importante lembrar que não é possível se prevenir antes de 
detectar. É na parte de detecção que mora o investimento mais sábio, porque só será 
possível fazer a detecção através da análise de informações, ou seja, você só 
reconhece um ataque se tiver inteligência da informação sobre ele. 
Inteligência essa, que, inclusive, pode vir de diferentes fontes como em 
ferramentas open source, redes sociais, feeds de setor, o governo, contatos 
privilegiados em grupos que monitoram ameaças, ferramentas pagas, entre outros. O 
mais interessante aqui é como essas informações vão ser utilizadas. 
Fazendo uma analogia, podemos comparar as previsões no cenário cibernético 
com previsões de fenômenos naturais. 
Ou seja, se um grupo de especialistas prevê que um furacão está se 
aproximando da costa de um país x e que causará determinados impactos, a 
população tem tempo e informação para tomar decisões melhores. Nesse caso, o 
 
 
21 
mesmo acontece na indústria cibernética quando uma ameaça é identificada, 
analisada e comunicada. 
A partir do momento em que você tem a informação de que algo que pode te 
causar impacto está prestes a acontecer, você tem tempo e informações necessárias 
para realizar ações preventivas, e impedir ou diminuir os danos, à medida que tais 
informações forem aplicadas aos níveis operacional, estratégico e tático. 
 
 
 
 
 
CONCEITOS 
 
AMEAÇA CIBERNÉTICA – causa potencial de um incidente indesejado, que 
pode resultar em dano ao espaço cibernético de interesse. 
ARTEFATO CIBERNÉTICO – equipamento ou sistema empregado no espaço 
cibernético para execução de ações de proteção, exploração e ataque cibernéticos. 
ATIVOS DE INFORMAÇÃO – meios de armazenamento, transmissão e 
processamento de dados e informação, os equipamentos necessários a isso 
(computadores, equipamentos de comunicações e de interconexão), os sistemas 
utilizados para tal, os sistemas de informação de um modo geral, bem como os locais 
onde se encontram esses meios e as pessoas que a eles têm acesso. 
CIBERNÉTICA – termo que se refere a comunicação e controle, atualmente 
relacionado ao uso de computadores, sistemas computacionais, redes de 
computadores e de comunicações e sua interação. 
DEFESA CIBERNÉTICA – conjunto de ações ofensivas, defensivas e 
exploratórias, realizadas no espaço cibernético, no contexto de um planejamento 
nacional de nível estratégico, coordenado e integrado pelo MD, com as finalidades de 
proteger os sistemas de informação (Sist Info) de interesse da defesa nacional, obter 
dados para a produção de conhecimento de inteligência e comprometer os sistemas 
de informação do oponente. 
ESPAÇO CIBERNÉTICO – espaço virtual composto por dispositivos 
 
 
22 
computacionais conectados em redes ou não, onde as informações digitais transitam 
e são processadas e/ou armazenadas. 
FONTE CIBERNÉTICA – recurso que possibilita a obtenção de dados no 
espaço cibernético, utilizando-se ações de busca ou coleta, normalmente realizadas 
com auxílio de ferramentas computacionais. A fonte cibernética poderá ser integrada 
a outras fontes (humanas, imagens e sinais) para produção de conhecimento de 
inteligência. 
GUERRA CIBERNÉTICA – corresponde ao uso ofensivo e defensivo de 
informação e sistemas de informação para negar capacidades de C2 AO adversário, 
explorá-las, corrompê-las, degradá-las ou destruí-las, no contexto de um 
planejamento militar de nível operacional ou tático ou de uma operação militar. 
Compreende ações que envolvem as ferramentas de TIC para desestabilizar ou tirar 
proveito dos sistemas de informação do oponente e defender os próprios Sist Info. 
Abrange, essencialmente, as ações cibernéticas. 
A oportunidade para o emprego dessas ações ou a sua efetiva utilização será 
proporcional à dependência do oponente em relação às TIC. 
INFRAESTRUTURA CRÍTICA DA INFORMAÇÃO – subconjunto dos ativos de 
informação que afeta diretamente a consecução e a continuidade da missão do estado 
e a segurança da sociedade. 
PODER CIBERNÉTICO – capacidade de utilizar o espaço cibernético para criar 
vantagens e eventos de influência neste e nos outros domínios operacionais e em 
instrumentos de poder. 
RESILIÊNCIA CIBERNÉTICA – capacidade de manter as infraestruturas 
críticas da informação operando sob condições de ataque cibernético ou de 
restabelecê-las após uma ação adversa. 
RISCO CIBERNÉTICO – probabilidade de ocorrência de um incidente 
cibernético associado à magnitude do dano por ele provocado. 
SEGURANÇA CIBERNÉTICA – arte de assegurar a existência e a continuidade 
da sociedade da informação de uma nação, garantindo e protegendo, no espaço 
cibernético, seus ativos de informação e suas infraestruturas críticas. 
 SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES (SIC) – ações que 
objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e 
 
 
23 
a autenticidade de dados e informações. 
Disponibilidade – propriedade segundo a qual a informação deve ser acessível 
e utilizável sob demanda por uma pessoa física ou por determinado sistema, órgão ou 
entidade. 
Integridade – propriedade segundo a qual a informação não deve ser 
modificada ou destruída de maneira não autorizada ou acidental. 
Confidencialidade – propriedade segundo a qual a informação não deve estar 
disponível ou ser revelada a pessoa física, sistema, órgão ou entidade não autorizados 
ou não credenciados. 
Autenticidade – propriedade segundo a qual a informação foi produzida, 
expedida, modificada ou destruída por uma determinada pessoa física ou por um 
determinado sistema, órgão ou entidade. 
SETOR CIBERNÉTICO – um dos três setores de importância estratégica para 
a defesa nacional, de acordo com a Estratégia Nacional de Defesa, abrangendo as 
pessoas, instalações, infraestruturase recursos tecnológicos, de nível estratégico, 
necessários para que as FA possam atuar em rede com segurança, tais como o 
Sistema Militar de Comando e Controle (SISMC2 ), sistemas de armas/vigilância e 
sistemas administrativos que possam afetar as atividades operacionais. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
24 
 
 
 
REFERÊNCIAS 
 
ALEMANHA. Federal Ministry of Defence. Defence Aspects of Cybersecurity. Berlin: 
Federal Ministry of Defence, 2012. 
 
ASSUNÇÃO, M. F. A. Segredos do Hacker Ético. Florianópolis: Visual Books, 2010. 
 
BRASIL. Exército. Centro de Defesa Cibernética. A Defesa Cibernética como extensão 
do papel constitucional das Forças Armadas na Defesa Nacional. Palestra institucional 
do CDCiber. Brasília, 2015. 
 
BRASIL. Exército. Estado-Maior. Bases para a transformação da Doutrina Militar 
Terrestre. Brasília, DF: Estado-Maior do Exército, 2013. 
 
BRASIL. Exército. Estado-Maior. Glossário de Termos e Expressões para uso no 
Exército. C 20-1. Brasília, DF: Estado-Maior do Exército, 2009. 
 
BRASIL. Exército. Estado-Maior. Instruções Gerais de Segurança da Informação e 
Comunicações para o Exército Brasileiro. EB10-IG-01.014. Brasília, DF: Estado-Maior 
do Exército, 2014. 
 
BRASIL. Exército. Estado-Maior. Instruções Gerais para as Publicações Padronizadas 
do Exército. EB10-IG-01.002. Brasília, DF: Estado-Maior do Exército, 2011. 
 
BRASIL. Exército. Estado-Maior. Manual de Campanha Abreviaturas, Símbolos e 
Convenções Cartográficas. C 21-30. Brasília, DF: Estado-Maior do Exército, 2002. 
 
BRASIL. Exército. Estado-Maior. Manual de Campanha Comando e Controle. EB20-
MC-10.205. Brasília, DF: Estado-Maior do Exército, 2015. 
 
BRASIL. Exército. Estado-Maior. Manual de Campanha Força Terrestre Componente. 
EB20-MC-10.202. Brasília, DF: Estado-Maior do Exército, 2014. 
 
BRASIL. Exército. Estado-Maior. Manual de Campanha Logística .EB20- MC-10.204. 
Brasília, 2014. BRASIL. Exército. Estado-Maior. Manual de Campanha Operações em 
Ambiente Interagências. EB20-MC-10.201. Brasília, DF: Estado-Maior do Exército, 
2013. 
 
BRASIL. Exército. Estado-Maior. Manual de Campanha Processo de Planejamento e 
Condução das Operações Terrestres. EB20-MC-10.211. Brasília, DF: Estado-Maior 
do Exército, 2014. 
 
BRASIL. Exército. Estado-Maior. Manual de Fundamentos Operações. EB20- MF-
 
 
25 
10.103. 4. ed. Brasília, DF: Estado-Maior do Exército, 2014. 
 
DIÓGENES, Y. Security + SYO 401. Rio de Janeiro: Comptia, 2015. 
 
ESPANHA. Centro Criptológico Nacional. Guía de Seguridad. Madrid, 2011. 
 
ESTADOS UNIDOS. Army. Cyber Electromagnetic Activities. FM 3-38. Washington, 
DC: Army, 2014. ESTADOS UNIDOS. Army. The Army Universal Task List. FM 7-15. 
Washington, DC: Army, 2012. 
 
FRANÇA. Ministère de la Defense. Cyberdéfense. Paris: Ministère de la Defense, 
2011. 
 
GRAVES, K. Official Certified Ethical Hacker: review guide. Indianapolis: Wiley 
Publishing, 2007. 
 
HARRIS, S. CISSP: exam guide. 6. ed. New York: McGraw Hill, 2013. 
 
KLIMBURG, A. (Ed.). National Cyber Security Framework Manual.Tallin: NATO CDD 
COE Publications, 2012. 
 
Graves, Kimberly (2010), CEH – Certified Ethical Hacker STUDY GUIDE, Editora 
Sybex. 
EC-Council (2013), Ethical Hacking and Countermeasures v8, volumes 1-4, Copyright 
by EC-Council