Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Segurança e Ameaças Cibernéticas
Compartilhar
Prévia do material em texto
20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 1/33 SEGURANÇA E AUDITORIA DESEGURANÇA E AUDITORIA DE SISTEMASSISTEMAS AMEAÇAS,AMEAÇAS, VULNERABILIDADES, ATAQUESVULNERABILIDADES, ATAQUES CIBERNÉTICOS E RISCOSCIBERNÉTICOS E RISCOS Autor: Me. Ariel da Silva Dias R e v i s o r : J a i m e G r o s s G a r c i a I N I C I A R 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 2/33 introdução Introdução Iniciamos este conteúdo destacando que nossas vidas estão cercadas por riscos, um exemplo disso, é quando compramos um carro, estamos suscetíveis a algum tipo de ameaça (roubo, colisão). Entretanto, podemos diminuir o risco, ou seja, fazer algo que não nos cause um grande prejuízo (por exemplo, contratar um seguro). Caso ocorra um roubo, não teremos grandes prejuízos, pois passaremos essa responsabilidade para a seguradora. Sendo assim, o exemplo apresentado pode ser aplicado aos sistemas de informações, pois a segurança da informação tem o objetivo de analisar, conhecer e gerenciar os riscos aos quais uma empresa está exposta. Em alguns momentos, ocorrerão ataques de diversos tipos: sua empresa está preparada? Por isso, nesta unidade, exploraremos os conceitos de risco, ameaça e vulnerabilidade, bem como o conceito e os diversos tipos de ataques a um sistema de informação. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 3/33 Uma ameaça refere-se a um incidente novo ou descoberto recentemente, que tem o potencial de prejudicar um sistema ou sua empresa, em geral. Existem três tipos principais de ameaças (KIM, 2014): Ameaças naturais: inundações, furacões ou tornados. Ameaças não intencionais: um funcionário que acessa incorretamente as informações privilegiadas (ou às quais não poderia ter acesso). Ameaças intencionais: spyware, malware, empresas de adware ou ações de um funcionário insatisfeito. AmeaçasAmeaças 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 4/33 Worms e vírus são classi�cados como ameaças porque podem causar danos à sua organização, por meio da exposição a um ataque automatizado, em oposição a um perpetrado por seres humanos. No ano de 2017, o WannaCry Ransomware Attack começou a bombardear computadores e redes em todo o mundo, e desde então, tem sido descrito como o maior ataque desse tipo. Os cibercriminosos estão, constantemente, criando novas maneiras criativas de comprometer seus dados (KIM, 2014; GALVÃO, 2015). Essas ameaças podem ser incontroláveis e, geralmente, difíceis ou impossíveis de identi�car com antecedência. Mesmo assim, certas medidas ajudam a avaliar ameaças regularmente, para que você possa estar melhor preparado quando uma situação acontecer. Nesse contexto, vejamos algumas maneiras de fazer isso: Garantir que os membros da sua equipe se mantenham informados sobre as tendências atuais em segurança cibernética, para que possam identi�car rapidamente novas ameaças. Por isso, podem receber treinamentos internos na empresa, podem (e devem) ser motivados a se inscrever em blogs e podcasts que abordam esses problemas, além de ingressarem em saiba mais Saiba mais “Segundo uma empresa de segurança de TI, SonicWall, em 2018, houve um registro de 6 bilhões de ameaças a sistemas ao redor do mundo. Em seu relatório semestral, a empresa estima que foram registrados 6 bilhões de ameaças a sistemas de rede pelo mundo de janeiro a junho”. Leia o conteúdo na íntegra, no site indicado a seguir e saiba mais sobre o assunto: ACESSAR https://forbes.uol.com.br/negocios/2019/01/por-que-estamos-na-era-da-protecao-da-informacao 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 5/33 associações pro�ssionais, para que possam se bene�ciar com a divulgação de feeds de notícias, conferências e seminários on-line. Realizar avaliações regulares de ameaças, para determinar as melhores abordagens para proteger um sistema contra uma ameaça especí�ca, além de avaliar diferentes tipos de ameaças. Realizar testes de penetração, modelando ameaças do mundo real para descobrir vulnerabilidades. Ameaças Cibernéticas Os anos 1990 propiciaram um novo termo cibernético, pois a palavra "ciberespaço" surgiu para de�nir um espaço físico inventado a partir do que algumas pessoas queriam acreditar que existia por trás das atividades eletrônicas dos dispositivos de computação. Atualmente, o termo é quase exclusivamente usado para descrever questões de segurança da informação. Como é difícil visualizar de que maneira os sinais digitais que atravessam um �o podem representar um ataque, decidimos visualizar o fenômeno digital como físico. As ameaças cibernéticas nunca são estáticas, pois há milhões delas sendo criadas todos os anos. Contudo, a maioria das ameaças segue um determinado padrão e estão se tornando cada vez mais potentes. Por exemplo, há uma nova geração de ameaças de "dia zero" que são capazes de surpreender as defesas, pois não possuem assinaturas digitais detectáveis. Outra tendência preocupante é a contínua "melhoria" do que os especialistas denominam "Ameaças Persistentes Avançadas" (APTs). Conforme o Business Insider descreve, os APTs são a melhor maneira de de�nir os hackers que se in�ltram nas redes e mantém a 'persistência' – uma conexão que não pode ser interrompida simplesmente por atualizações de software ou pela reinicialização de um computador. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 6/33 Motivação de Ameaças Vimos que ameaça é um possível incidente não desejado cuja ação é fruto de um agente que pode ser um terceiro (por exemplo, um cracker), entrando na rede privada de uma organização por meio de uma porta no �rewall desprotegida. Ou de um funcionário gerando um erro, sem intenção, e em consequência, revelando informações altamente sigilosas. Todos os agentes, sejam terceiros ou membros da empresa, possuem motivos que os levam a procurar vulnerabilidades nas organizações (ou pessoas). Nesse contexto, Kim (2014) lista uma série de motivações para esses agentes realizarem seus intentos: Empregados: motivado por vingança, o empregado pode deixar portas abertas nos servidores, ou, simplesmente, cooperar para a inclusão de certos dispositivos. A NASA (Agência Espacial Norte-Americana) sofreu um tipo semelhante de ataque: um ex-funcionário adicionou um microcontrolador (dispositivo de hardware e software desenvolvido para controlar um hardware, a �m de realizar ações bem especí�cas) na rede da agência americana, para obter dados sobre viagem a Marte e posicionamento de satélites e antenas (GUIMARÃES et al. 2019). Concorrência/espionagem: muitas organizações guardam com sigilo suas informações sobre a estratégia de negócio, novos produtos e investimentos. Esses dados, se expostos, permitirão que empresas concorrentes criem produtos ainda melhores. Por isso, considere, por exemplo, uma empresa que investiu milhões de reais em pesquisa para desenvolver um smartphone que utiliza 50% menos de bateria (em comparação aos demais do mercado), além de possuir um alto grau de desempenho. Porém, sua concorrente contratou um cracker/funcionário in�ltrado, para obter o estudo técnico desse smartphone. A empresa concorrente desenvolverá o smartphone sem ter gastado os mesmos milhões que a outra empresa. Ou seja, a concorrente, se tiver sucesso, terá a oportunidade de desenvolver um produto com uma maior tecnologia e com um custo bem reduzido. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 7/33 Notoriedade: quebrar a segurança de um site considerado seguro ou roubar dados de alguma personalidade famosa e compartilhar na internet são açõestípicas de quem tem a intenção de se autopromover e ganhar respeito dentro da comunidade de crackers. Falhas de equipamento: como exemplo de ameaça acidental, podemos citar um HD queimado, pois apesar de sua especi�cação determinar a quantidade de anos em que é con�ável, nada impeça que falhe. Falhas de software: é uma grande porta aberta para a realização de inúmeros ataques. Mesmo que não ocorra a intenção de incluir pontos de vulnerabilidade no software, é possível causar um grande impacto na organização. Como exemplo, podemos citar o uso da injeção de SQL, em que é possível incluir comandos SQL em campos de texto para apagar ou obter alguma informação. saiba mais Saiba mais Adiran Lamo é um dos hackers mais perigosos da última década, pois é responsável por invadir os sistemas de grandes organizações, como: The New York Times, Microsoft, Google e Yahoo. A polícia, após uma longa investigação de 15 meses, conseguiu prendê-lo. O hacker usava computadores públicos (cafés/bibliotecas), para efetuar seus ataques. Após ser preso, fez um acordo com a polícia para a investigação de crimes cibernéticos. Fonte: Garcia (2016). ACESSAR https://exame.abril.com.br/tecnologia/os-15-hackers-mais-perigosos-de-todos-os-tempos/ 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 8/33 Tipos de Ameaças à Cibersegurança Praticamente, todas as ameaças cibernéticas se enquadram em uma das motivações apresentadas anteriormente. Em termos de técnicas de ataque, atores mal- intencionados têm uma abundância de opções. Sendo assim, existem diversos tipos de ameaças cibernéticas, que são (GALVÃO, 2015; KIM, 2014; KOLBE, 2017): Malware: software que executa uma tarefa maliciosa em um dispositivo ou rede de destino, por exemplo, corrompendo dados ou assumindo o controle de um sistema. Spyware: malware que coleta informações, geralmente, para rastrear o uso da Internet e exibir anúncios pop-up. Vírus: malware que é copiado e infecta o computador e arquivos. Worm: malware que se replica automaticamente e envia-se para outros computadores na sua rede. Phishing: um ataque por e-mail, que envolve enganar o destinatário, para revelar informações con�denciais ou baixar malware, ao clicar em um hiperlink na mensagem. Lança Phishing: uma forma mais so�sticada de phishing, pela qual o invasor aprende sobre a vítima e personi�ca alguém que conhece ou con�a. Ataque “Man in the Middle” (MitM): um invasor estabelece uma posição entre o remetente e o destinatário das mensagens eletrônicas e as intercepta, talvez alterando-as em trânsito. O remetente e o destinatário acreditam que estão se comunicando diretamente entre si. Um ataque MitM pode ser usado nas forças armadas, para confundir um inimigo. Trojans: nomeado com base na história da Grécia antiga, Cavalo de Troia, ou Trojan, é um tipo de malware que entra no sistema de destino, por exemplo, um software padrão, mas libera o código malicioso uma vez dentro do sistema host. Ransomware: um ataque que envolve criptografar dados no sistema de destino e exigir um resgate em troca de permitir que o usuário tenha acesso aos dados 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 9/33 novamente. Esses ataques variam de incômodos de baixo nível a incidentes graves, como o bloqueio de toda a cidade dos dados do governo municipal de Atlanta, em 2018. Ataques de negação de serviço (DoS – Denial of Service): o objetivo é sobrecarregar um serviço, levando ao colapso. Por exemplo, em um sistema de compras de ingresso on-line, em que um único atacante realiza milhares de requisições, executadas ao mesmo tempo, para pedir o mesmo local de uma arquibancada. Chegará um momento em que o servidor não conseguirá atender à demanda e �cará off-line. Ataque de negação de serviço ou DDoS (Distributed Denial of Service Attack): A diferença com o ataque anterior é que o invasor controla muitos (talvez milhares) de dispositivos (também chamados dispositivos zumbis) e os utiliza para invocar as funções de um sistema de destino, por exemplo, um site, causando a falha em razão de uma sobrecarga de demanda. A diferença entre DoS e DDoS é que, no primeiro, temos apenas um atacante, enquanto no segundo existem muitos. Ataques em dispositivos IoT (Internet of Thinks): dispositivos de IoT, como sensores industriais, são vulneráveis a diversos tipos de ameaças cibernéticas. Isso inclui hackers que assumem o controle do dispositivo para torná-lo parte de um ataque DDoS e acesso não autorizado aos dados coletados pelo dispositivo. Dado seu número, distribuição geográ�ca e sistemas operacionais frequentemente desatualizados, os dispositivos de IoT são o principal alvo de agentes mal- intencionados. Falta de política de controle de acesso: uma organização deve criar sua política de controle de acesso e limitar o acesso de determinados arquivos/pasta para um grupo de pessoas. Além disso, restringir sites com conteúdo impróprio. Caso a organização não tenha uma política de controle de acesso, usuários indevidos terão acesso a arquivos con�denciais e também poderão inserir algum vírus por meio de sites maliciosos. Violações de dados: uma violação de dados é um roubo de dados por um ator malicioso. Os motivos para violações de dados incluem crime (roubo de identidade), 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 10/33 desejo de constranger uma instituição (por exemplo, Edward Snowden) e espionagem. Uso de portas dos fundos (backdoors): alguns desenvolvedores podem colocar brechas em seus sistemas para ter acesso total às informações, sem precisarem passar por todos os sistemas de segurança. O grande problema é que se terceiros encontrarem a falha poderão instalar seus próprios backdoors e inutilizar o sistema. Existem vários softwares que auxiliam a veri�car as portas dos fundos, e um deles é o Netcat. Alterações acidentais sobre os dados: realizar modi�cações acidentais de forma parcial nos dados pode gerar eventos inesperados, bem como de armazenamento incorreto. Um exemplo de armazenamento/solução incorreto é o não uso de BigDecimal (Java) para a realização de cálculos �nanceiros. Podem-se encontrar vários problemas. Malware em aplicativos móveis: os dispositivos móveis são vulneráveis a ataques de malware, assim como outros hardwares de computação. Os invasores podem incorporar malware em downloads de aplicativos, sites para celular ou e-mails de phishing e mensagens de texto. Uma vez comprometido, um dispositivo móvel pode fornecer, ao ator mal-intencionado, acesso a informações pessoais, dados de localização, contas �nanceiras e muito mais. Rootkit: disfarça-se de arquivos normais, que "se escondem à vista", para que o software antivírus os ignore. O objetivo, geralmente, é roubar as informações de identidade do computador, para obter o controle de um sistema. É difícil detectá-lo e removê-lo. Engenharia social: quando os golpistas (atacantes) induzem as pessoas a fornecerem informações que permitem o acesso a contas (Figura 1), redes e sistemas. Também pode ser muito mais fácil enganar uma pessoa do que enganar um sistema. Os ataques de engenharia social ocorrem em uma ou mais etapas. Um criminoso, primeiramente, investiga a vítima pretendida para reunir as informações necessárias, como pontos de entrada em potencial e protocolos de segurança fracos, necessários para prosseguir com o ataque. Em seguida, o atacante se move para ganhar a con�ança da vítima e fornecer estímulos para ações subsequentes, que 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 11/33 violam as práticas de segurança, como revelar informações con�denciais ou conceder acesso a recursos críticos. Figura 1 - Ataque de engenharia social Fonte: Cipoli (2019, on-line). saiba mais Saiba maisO Brasil é o país que mais sofre com spam no mundo. Nos últimos anos, sofreu um aumento de 81% nesse tipo de ligação. E as campeãs de ligação tipo spam são as operadoras telefônicas, pois são responsáveis pela geração de 33% de todas as ligações indesejadas. Fonte: Payão (2018). ACESSAR https://www.tecmundo.com.br/seguranca/137287-brasil-pais-mais-sofre-ligacoes-spam-mundo.htm 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 12/33 praticarVamos Praticar Assinale a alternativa que indica o termo genérico para programas de computador que podem causar estragos em seus dispositivos. a) Spyware. b) Softbots. c) Phishing. d) Malware. e) Atackbot. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 13/33 Uma vulnerabilidade refere-se a uma fraqueza conhecida de um ativo (recurso), que pode ser explorado por um ou mais atacantes. Em outras palavras, é um problema conhecido, que permite que um ataque seja bem-sucedido. Por exemplo, quando um membro da equipe é mandado embora (não faz mais parte do quadro de funcionários da empresa) e você se esquece de desativar o acesso a contas externas, alterar logins ou remover nomes dos cartões de crédito da empresa, isso deixa a organização aberta a ameaças intencionais e não intencionais. No entanto, a maioria das vulnerabilidades é explorada por atacantes automatizados e não por um humano, digitando no outro lado da rede (KIM, 2014; STALLINGS, 2015). Por isso, testar vulnerabilidades é fundamental para garantir a segurança contínua de seus sistemas. Ao identi�car pontos fracos, você pode desenvolver uma estratégia para uma resposta rápida. Sendo assim, neste momento, destacaremos algumas perguntas a serem feitas ao determinar suas vulnerabilidades de segurança: Seus dados são armazenados em backup e armazenados em um local externo seguro? VulnerabilidadeVulnerabilidade 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 14/33 Seus dados são armazenados na nuvem? Se sim, como exatamente está sendo protegido contra vulnerabilidades da nuvem? Que tipo de segurança de rede você tem para determinar quem pode acessar, modi�car ou excluir informações de dentro da sua organização? Que tipo de proteção antivírus está em uso? As licenças estão atualizadas? Está funcionando quantas vezes forem necessárias? Você tem um plano de recuperação de dados no caso de uma vulnerabilidade ser explorada? Sobretudo, entender as vulnerabilidades é o primeiro passo para gerenciar os riscos. Verificação de Vulnerabilidade A análise de vulnerabilidades permite a identi�cação precoce e con�ável de pontos fracos da TI. Essas ferramentas dependem do fornecedor do software, identi�cando regularmente as ameaças e integrando-as ao banco de dados de vulnerabilidades. Como essas ferramentas avaliam problemas de segurança conhecidos anteriormente, também destacam ações restaurativas, para corrigir essas falhas. A avaliação da vulnerabilidade concentra-se na identi�cação con�ável de riscos e na correção de falhas de TI em toda a empresa. Uma ferramenta de veri�cação de vulnerabilidades: utiliza uma abordagem ampla para identi�car falhas e vulnerabilidades em toda a empresa; veri�ca uma lista de riscos conhecidos, fornecidos por um banco de dados de vulnerabilidades; pode ser executada automaticamente e de forma programada; é composta de quatro áreas principais: interface do usuário, lista de vulnerabilidades, mecanismo de veri�cação e ferramenta de relatório; pode priorizar vulnerabilidades com base na gravidade, urgência e facilidade de correção; fornecerá sugestões para corrigir falhas identi�cadas. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 15/33 Princípios de Teste de Penetração O teste de penetração permite uma compreensão profunda de como o ecossistema de TI pode ser violado, utilizando uma combinação de ferramentas especializadas, juntamente com o entendimento da abordagem de um hacker e outras técnicas como engenharia social, com o objetivo de obter resultados sobre eventuais vulnerabilidades. Além disso, o teste de penetração se concentra no modo como um ator ruim pode, realmente, violar os sistemas de TI, por meio de um ataque direcionado. Teste de penetração: usa uma abordagem direcionada para tentar romper a segurança e as defesas de TI; tenta simular um ataque na vida real por hackers e outros maus atores; tenta obter acesso a sistemas críticos e a informações con�denciais; adapta-se conforme a resistência e tenta encontrar novos vetores de ataque; não está tão preocupado com vulnerabilidades especí�cas previamente identi�cadas; usa uma variedade de software, hacks, scripts e outros métodos, para penetrar nas defesas. Diferenças entre Avaliação de Vulnerabilidade e Teste de Penetração Agora que explicamos os princípios de ambas as abordagens, exploraremos suas principais diferenças: as avaliações de vulnerabilidade são baseadas em lista; testes de penetração são baseados em objetivos; os testes de penetração são adaptáveis com base nesse teste único; as avaliações de vulnerabilidade usam um método consistente e baseado em ferramentas; 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 16/33 as avaliações de vulnerabilidade analisam uma ampla gama de riscos; o teste de penetração emprega uma abordagem muito mais direcionada. As organizações devem usar o teste de penetração e as avaliações de vulnerabilidade juntas, mas se você precisar priorizar, poderá analisar a maturidade de suas operações de segurança de TI. Maturidade de TI Uma segurança de TI menos madura se bene�ciará mais das avaliações e veri�cações de vulnerabilidades. Como essas ferramentas analisam todo o ecossistema de TI, expõem os vetores de ataque e falhas de segurança mais comuns; além disso, oferecem relatórios abrangentes e ações de mitigação, o que pode tornar a alocação e a restauração de recursos mais rápidas e fáceis. A veri�cação de vulnerabilidades é uma ferramenta ideal quando uma organização sabe que possui problemas de segurança, mas não sabem onde estão. Como são usadas vulnerabilidades previamente identi�cadas, podem-se testar, rapidamente, e de modo completo, todos os seus sistemas, em relação a essas vulnerabilidades. Se uma organização já possui segurança de TI madura, a avaliação de vulnerabilidade ainda pode ser útil. Mesmo um software bem estabelecido pode ter bugs. Agendar veri�cações de segurança signi�ca que você pode corrigir essas falhas conforme são relatadas. No entanto, novos projetos e implementações também se bene�ciam da veri�cação de vulnerabilidades, para que você possa testar e corrigir falhas no ambiente de desenvolvimento ou teste antes de entrar em produção. O teste de penetração é mais útil para organizações com uma forte maturidade em suas operações de segurança de TI. Como o teste de penetração é adaptado à sua infraestrutura, aplicativos e defesas exclusivos, pode fornecer informações precoces sobre como um hacker comprometeria seus sistemas. O teste de penetração também é ideal se você tiver identi�cado ou repelido com êxito hackers anteriores, para que possa corrigir falhas que permitiriam que eles penetrassem ainda mais nos sistemas. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 17/33 praticarVamos Praticar Assinale a alternativa que apresenta o melhor momento para executar uma avaliação de vulnerabilidade versus um teste de penetração. a) Sempre é necessário executá-los juntos, pois, quando se procura uma visão mais ampla do ambiente, a visão mais focada �ca comprometida. b) Avaliação de vulnerabilidade para quando você procura uma visão geral e mais ampla do ambiente versusuma visão menor e mais focada do teste de penetração. c) Os testes de penetração estão cheios de falsos-positivos e não devem ser usados; por outro lado, a visão mais focada do teste de vulnerabilidade deve ser sempre executada. d) Os testes de penetração são potencialmente prejudiciais para os dispositivos, pois, se não forem corretamente executados, podem prejudicar o sistema; por isso, não devem ser usados. e) Os testes de penetração devem ser executados apenas para uma análise estatística, sem se preocupar com a visão mais focada ou mais super�cial. É um teste crítico. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 18/33 Risco é de�nido como o potencial de perda ou dano quando uma ameaça explora uma vulnerabilidade, e como exemplos incluem perdas �nanceiras, perda de privacidade, danos à reputação, implicações legais e até perda de vidas (KIM, 2014; STALLINGS, 2015). O risco também pode ser de�nido da seguinte forma: Para reduzir o potencial de risco, é necessário criar e implementar um plano de gerenciamento de riscos. Sendo assim, neste momento, destacamos os principais aspectos a serem considerados ao desenvolver sua estratégia de gerenciamento de riscos: Avaliar o risco e determinar as necessidades: quando se trata de projetar e implementar uma estrutura de avaliação de riscos, é fundamental priorizar as violações mais importantes, que precisam ser tratadas. Embora a frequência possa diferir em cada organização, esse nível de avaliação deve ser feito regularmente e de forma recorrente. RiscosRiscos Risco = Ameaça x Vulnerabilidade 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 19/33 Incluir uma perspectiva total das partes interessadas: as partes interessadas incluem os empresários, funcionários, clientes e até fornecedores. Todos esses atores têm o potencial de impactar negativamente a organização (ameaças em potencial), mas, ao mesmo tempo, podem ser ativos para ajudar a mitigar os riscos. Designar um grupo central de funcionários: responsáveis pelo gerenciamento de riscos e determinar o nível de �nanciamento apropriado para essa atividade. Implementar políticas apropriadas e controles relacionados: e garantir que os usuários �nais apropriados sejam informados de toda e qualquer alteração. Monitorar e avaliar a e�cácia da política e controle: as fontes de risco estão sempre mudando, o que signi�ca que sua equipe deve estar preparada para fazer os ajustes necessários na estrutura. Isso também pode envolver a incorporação de novas ferramentas e técnicas de monitoramento. Avaliação de Riscos As avaliações de risco são usadas para identi�car, estimar e priorizar riscos para operações e ativos organizacionais resultantes da operação e uso de sistemas de informação. A avaliação de riscos é, principalmente, um conceito de negócios e trata-se de dinheiro. Por isso, deve-se, primeiramente, pensar em como sua organização ganha dinheiro, como funcionários e ativos afetam a lucratividade dos negócios e quais riscos podem resultar em grandes perdas monetárias para a empresa. Em seguida, em como aprimorar sua infraestrutura de TI para reduzir os riscos que podem levar às maiores perdas �nanceiras para a organização. A avaliação básica de riscos envolve apenas três fatores: a importância dos ativos em risco, da ameaça e a vulnerabilidade do sistema a essa ameaça. Usando esses fatores, é possível avaliar o risco – a probabilidade de perda de dinheiro por sua organização. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 20/33 Embora a avaliação de risco seja sobre construções lógicas, não sobre números, é útil representá-la em uma fórmula: No entanto, é importante lembrar que, se a vulnerabilidade ou a ameaça ou a importância do ativo for igual a zero, o risco será igual a zero. Por exemplo, se o fator de ameaça for alto e o nível de vulnerabilidade for alto, mas a importância do ativo for zero (em outras palavras, não vale dinheiro para você), seu risco de perder dinheiro será zero. Sendo assim, existem algumas maneiras de coletar as informações necessárias para avaliar o risco. Como exemplo, podemos citar: gerenciar entrevistas com os proprietários de dados e outros funcionários; analisar seus sistemas e infraestrutura de TI; revisar a documentação de segurança. Iniciando a Avaliação de Risco Para iniciar a avaliação de riscos, é importante executar as seguintes etapas: Etapa 1: encontrar todos os ativos valiosos, em toda a organização, que possam ser prejudicados por ameaças, de uma maneira que resulte em uma perda monetária. Vejamos alguns exemplos: Servidores Site da Web Informações de contato do cliente Documentos do parceiro Segredos comerciais Dados do cartão de crédito do cliente Etapa 2: identi�car possíveis consequências. Para isso, devem-se determinar quais perdas �nanceiras a organização sofreria e se um determinado ativo fosse dani�cado. Vejamos, a seguir, algumas das consequências com as quais você deve se preocupar: Risco = vulnerabilidade do ativo x ameaça x importância do ativo 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 21/33 perda de dados; tempo de inatividade do sistema ou aplicativo; consequências legais. Etapa 3: identi�car ameaças e seu nível. Como vimos, uma ameaça é qualquer coisa que possa explorar uma vulnerabilidade para violar sua segurança e causar danos aos seus ativos. Vejamos, a seguir, algumas ameaças comuns: desastres naturais; falha no sistema; interferência humana acidental; ações humanas maliciosas (interferência, interceptação ou representação). Etapa 4: identi�car as vulnerabilidades e avaliar a probabilidade de sua exploração. Vimos que uma vulnerabilidade é uma fraqueza que permite que alguma ameaça viole sua segurança e cause danos a um ativo. Pensar no que protege seus sistemas de uma determinada ameaça (se a ameaça realmente ocorrer, quais são as chances de que realmente dani�que seus ativos?). Etapa 5: avaliar o risco, de acordo com a fórmula lógica descrita anteriormente nesta unidade, e atribuir-lhe um valor alto, moderado ou baixo. Em seguida, desenvolver uma solução para todos os riscos altos e moderados, juntamente com uma estimativa de custo. Etapa 6: criar um plano de gerenciamento de riscos usando os dados coletados. Etapa 7: criar uma estratégia para aprimoramentos da infraestrutura de TI para mitigar as vulnerabilidades mais importantes e obter aprovação do gerenciamento. Etapa 8: de�nir processos de mitigação, pois pode melhorar a infraestrutura de segurança de TI, mas não pode eliminar todos os riscos. Quando um desastre acontece, você corrige, investiga por que aconteceu e tenta impedir que ocorra novamente ou, pelo menos, torna as consequências menos prejudiciais. Por exemplo, vejamos o processo de mitigação para uma falha do servidor: Evento (falha do servidor) → Resposta (use seu plano de recuperação de desastre ou a documentação do fornecedor para colocar o servidor em funcionamento) → 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 22/33 Análise (determine por que esse servidor falhou) → Mitigação (se o servidor falhar em razão do superaquecimento de equipamentos de baixa qualidade, peça à sua gerência que compre equipamentos melhores; se recusar, coloque monitoramento adicional, para que você possa desligar o servidor de maneira controlada). praticarVamos Praticar Conforme a de�nição da palavra risco para a Segurança da Informação, assinale a alternativa que indica sua de�nição. a) É o ato de criar contramedidas, para garantir a segurança dos dados. b) Riscos são problemas simples, que podem ser resolvidos sem muito custo. c) É uma adversidade, porém deve-se apenas observá-lo. d) Osriscos são sempre iguais, ou seja, ocasionam sempre os mesmos impactos às organizações. e) Probabilidade de que algo de ruim aconteça com um ativo (algo importante), bem como o efeito causado por sua exposição. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 23/33 O número de ameaças on-line é variado e não discrimina organizações e pessoas ao procurar um alvo. Desde in�ltrações em infraestruturas e violações de dados, até disparar phishing e força bruta. No entanto, é possível proteger-se contra ameaças cibernéticas. Prática de Defesas para Empresas As práticas recomendadas para defesa contra ameaças cibernéticas incluem contramedidas básicas, mas extremamente importantes, como sistemas de aplicação de patches (atualizações). Quando um fornecedor de tecnologia descobre (ou é informada) uma falha de segurança em seu produto, normalmente, escreve um código que corrige o problema. Por exemplo, se a Microsoft descobrir que um hacker pode obter acesso root ao Windows Server por meio de uma exploração de código, a empresa emitirá um patch e o distribuirá a todos os proprietários de licenças do Windows Server. Dentre muitos outros, fazem isso pelo menos uma vez por mês. Muitos ataques falhariam se os departamentos de TI aplicassem todos os patches de segurança em tempo hábil. Práticas para Defesa ePráticas para Defesa e Proteção CibernéticaProteção Cibernética 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 24/33 Uma série de novas tecnologias e serviços estão chegando ao mercado, facilitando a montagem de uma defesa robusta contra ameaças cibernéticas, que incluem: serviços de segurança terceirizados; sistemas que permitem a colaboração entre membros da equipe de segurança; ferramentas de simulação de ataque contínuo; soluções pontuais para antiphishing e navegação segura. Prática de Defesas para Indivíduos Para indivíduos, as melhores práticas são simples. A boa notícia é que, na maioria dos casos, algumas grandes organizações de segurança estão entre o consumidor e o hacker, por exemplo, empresas de antimalware. Ainda, existem medidas preventivas, que devem ser tomadas para ajudar a garantir a segurança de suas informações: Reveja suas senhas Software antivírus Cuidado contra-ataques de phishing 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 25/33 Padrões e Melhores Práticas de Governança de TI Vejamos, a seguir, algumas normas e padrões desenvolvidos para auxiliar gestores de TI no processo de segurança da informação: Família ISO / IEC 27000 de Sistemas de Gerenciamento de Segurança da Informação - o documento fornece uma visão geral da família ISO / IEC 27000 de Sistemas de Gerenciamento de Segurança da Informação, que consiste em normas e diretrizes inter-relacionadas, já publicadas ou em desenvolvimento, e contém uma série de aspectos estruturais signi�cativos componentes. ISO 27001 - o documento fornece os padrões ISO dos requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema reflita Re�ita “Proteger dados privados é o processo de garantir sua con�dencialidade. As organizações precisam usar controles de segurança apropriados, especí�cos para essa questão. Usar estação de trabalho automatizada, antivírus de servidor e proteção contra software malicioso. Esse é o modo de manter os vírus e software malicioso fora do seu computador”. Re�ita sobre suas ações, tanto no ambiente de trabalho quanto em casa e veja se você está mantendo a probabilidade de vírus manter- se fora do seu computador. Fonte: Kim (2014, p. 11). 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 26/33 de gerenciamento de segurança da informação no contexto da organização. ISO 27002 - o documento apresenta o código de prática para controles de segurança da informação. COBIT - os Objetivos de Controle para Informação e Tecnologia Relacionada (COBIT) são publicados pela Associação de Auditoria e Controle de Sistemas de Informação do Conselho de Normas (ISACA) e fornecem uma estrutura de controle para a governança e o gerenciamento da TI corporativa. Critérios comuns (também conhecidos como ISO / IEC 15408) - o conjunto de critérios de avaliação é desenvolvido e alinhado com organizações de padrões de segurança nacionais da Austrália, Canadá, França, Alemanha, Japão, Holanda, Nova Zelândia, Espanha, Reino Unido e EUA. ITIL (ou ISO / IEC 20000 series) - o documento apresenta uma coleção de melhores práticas em gerenciamento de serviços de TI (ITSM), concentra nos processos de serviço de TI e considera o papel central do usuário. Recurso da política de segurança do SANS - esses recursos são publicados pelo Instituto SANS, para o rápido desenvolvimento e implementação de políticas de segurança da informação. Normas, Diretrizes e Procedimentos da ISACA - é uma série de padrões, diretrizes e procedimentos de auditoria de sistemas de informação emitida pela Associação de Controle e Auditoria de Sistemas de Informação do Conselho de Normas (ISACA). Expectativas da RFC 2350 para resposta a incidentes de segurança informática, da IETF (Internet Engineering Task Force) - o documento é preparado pela IETF e lista o conjunto geral de tópicos e questões que são de interesse das equipes de resposta a incidentes de segurança de informação. Controles críticos de segurança da SANS para defesa cibernética e�caz - a lista de controles de segurança é publicada pelo Instituto SANS, visando à melhoria da postura de risco contra ameaças do mundo real, que teriam grande impacto. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 27/33 praticarVamos Praticar Normas como a ISO 27001 e 27002 visam de�nir padrões e boas práticas. Tais medidas foram extraídas de uma série de observações de organizações e seus resultados. Quando o negócio de uma organização é bastante crítico e não há opção de aceitar uma ameaça, deve-se, pelo menos, mitigá-la. HINTZBERGEN J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002. [S.l]: Brasport, 2018. Assinale a alternativa que indica a medida de proteção que melhor se enquadra na a�rmação apresentada. a) Aceitação. b) Observação. c) Preempção. d) Seguro. e) Instrução. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 28/33 indicações Material Complementar L IVRO Testes de Invasão Editora: Novatec Autora: Georgia Weidman ISBN: 8575224077 Comentário: Georgia Weidman, conhecida especialista em segurança e pesquisadora, escreveu este livro, que é um grande exemplo de como funciona a vulnerabilidade de segurança de rede. Durante a leitura, você se deparará, por exemplo, com o termo pentesters: pro�ssionais de segurança que simulam ataques em sistemas de informação com o objetivo de encontrar vulnerabilidades. Muitas habilidades e técnicas ligadas à invasão e teste de vulnerabilidade serão abordados. 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 29/33 FILME Jogos de Guerra Ano: 1983 Comentário: o �lme apresenta a história de um jovem que encontra uma backdoor (estudamos essa ameaça nesta unidade) em um computador central militar, no qual a realidade é confundida com o jogo, possivelmente, começando a Terceira Guerra Mundial. T R A I L E R 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 30/33 conclusão Conclusão Nesta unidade, destacamos os diversos tipos de ameaças/ataques aos quais empresas e indivíduos estão suscetíveis. Sendo assim, as ameaças certamente existem e estão �cando mais potentes e frequentes, e os atacantessão variados, com muitos desequilíbrios preocupantes e, constantemente, na busca por seus alvos. Mesmo que uma empresa seja alvo de um poderoso ataque, ainda é possível proteger ativos digitais críticos. Por isso, é preciso planejamento e comprometimento de recursos. Entretanto, uma boa equipe de operações de segurança ou um indivíduo proativo podem acompanhar as ameaças cibernéticas mais graves e se defenderem. referências Referências Bibliográ�cas BUSSELL, J. Cyberspace. Encyclopedia Britannica. Disponível em: https://www.britannica.com/topic/cyberspace. Acesso em: 20 out. 2019. https://www.britannica.com/topic/cyberspace 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 31/33 CIPOLI, P. O que é Engenharia Social? Canaltech, [2019]. Disponível em: https://canaltech.com.br/seguranca/O-que-e-Engenharia-Social/. Acesso em: 21 nov. 2019. GALVÃO, M. Fundamentos em Segurança da Informação. São Paulo: Pearson Education do Brasil, 2015. ISBN: 9788543009452. [Biblioteca Virtual]. GARCIA, G. Os 15 hackers que �zeram os maiores estragos da história. Exame, set. 2016. Disponível em: https://exame.abril.com.br/tecnologia/os-15-hackers-mais- perigosos-de-todos-os-tempos/. Acesso em: 14 nov. 2019. GUILHERME, P. Os 7 mais famosos vírus de computador da história. Techmundo, jul. 2013. Disponível em: https://www.tecmundo.com.br/virus/41664-os-7-mais- famosos-virus-de-computador-da-historia.htm. Acesso em: 14 nov. 2019. GUIMARÃES, C. NASA foi hackeada porque havia um Raspberry Pi conectado à rede. Olhar Digital, jun. 2019. Disponível em: https://olhardigital.com.br/�que_seguro/noticia/nasa-foi-hackeada-porque-havia- um-raspberry-pi-conectado-a-rede/87217. Acesso em: 14 nov. 2019. KIM, D.; SOLOMON, M. Fundamentos de segurança de sistemas de informação. [S.l]: LTC, 2014. ISBN: 978-0-7637-9025-7. [Biblioteca Virtual]. KOLBE, A. Sistemas de segurança da informação na era do conhecimento. Curitiba: Intersaberes, 2017. ISBN: 9788559723038. [Biblioteca Virtual]. MELLO, K.; TEIXEIRA, L. Por que estamos na era da proteção da informação. Forbes, jan. 2109. Disponível em: https://forbes.uol.com.br/negocios/2019/01/por-que- estamos-na-era-da-protecao-da-informacao/. Acesso em: 14 nov. 2019. PAYÃO, F. Brasil é o país que mais sofre com ligações de SPAM no mundo. Techtudo, dez. 2018. Disponível em: https://www.tecmundo.com.br/seguranca/137287-brasil- pais-mais-sofre-ligacoes-spam-mundo.htm. Acesso em: 14 nov. 2019. SANTOS, A.; SILVA, R. Detecção de Ataques DDoS com Grá�cos de COntrole e Bases de Regras Nebulosas. Disponível em: https://bit.ly/2vI95ab. Acesso em: 12 nov. 2019. https://canaltech.com.br/seguranca/O-que-e-Engenharia-Social/ https://exame.abril.com.br/tecnologia/os-15-hackers-mais-perigosos-de-todos-os-tempos/ https://www.tecmundo.com.br/virus/41664-os-7-mais-famosos-virus-de-computador-da-historia.htm https://olhardigital.com.br/fique_seguro/noticia/nasa-foi-hackeada-porque-havia-um-raspberry-pi-conectado-a-rede/87217 https://forbes.uol.com.br/negocios/2019/01/por-que-estamos-na-era-da-protecao-da-informacao/ https://www.tecmundo.com.br/seguranca/137287-brasil-pais-mais-sofre-ligacoes-spam-mundo.htm https://www.inf.ufsc.br/~bosco.sobral/downloads/I2TS%202010%20CD%20Proceedings/www.i2ts.org/papers/full_portugues/78861.pdf 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 32/33 STALLINGS, W. Criptogra�a e segurança de redes: princípios e práticas. 4. ed. São Paulo: Pearson Education do Brasil, 2015. ISBN: 9788576051190. [Biblioteca virtual]. THE 5 Pillars of Information Security and How to Manage Them. In�nit-o, abr. 2018. Disponível em: https://resourcecenter.in�nit-o.com/blog/the-5-pillars-of- information-security-and-how-to-manage-them. Acesso em: 20 out. 2019. WATTS, S. IT Security vulnerability vs threat vs risk: what are the differences? BMC Blogs, jun. 2017. Disponível em: https://www.bmc.com/blogs/security-vulnerability- vs-threat-vs-risk-whats-difference/. Acesso em: 14 nov. 2019. https://resourcecenter.infinit-o.com/blog/the-5-pillars-of-information-security-and-how-to-manage-them https://www.bmc.com/blogs/security-vulnerability-vs-threat-vs-risk-whats-difference/ 20/06/2020 Ead.br https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 33/33
Continue navegando
Materiais relacionados
Perguntas relacionadas
Compartilhar