Baixe o app para aproveitar ainda mais
Prévia do material em texto
Saturação do buffer – esta vulnerabilidade ocorre quando os dados são gravados além dos limites de um buffer. Os buffers são áreas de memórias alocadas a um aplicativo. Ao alterar os dados além dos limites de um buffer, o aplicativo acessa a memória alocada a outros processos. Isso pode levar à queda do sistema, comprometimento de dados ou fornecer o escalonamento de privilégios. Entrada não validada – programas normalmente funcionam com entrada de dados. Esses dados que entram no programa podem ter conteúdo mal-intencionado, projetado para forçar o programa a se comportar de forma não desejada. Considere um programa que recebe uma imagem para processar. Um usuário mal-intencionado pode criar um arquivo de imagem com dimensões de imagem inválidas. As dimensões criadas de forma mal-intencionada podem forçar o programa a alocar buffers de tamanhos incorretos e inesperados Condição de corrida – esta vulnerabilidade ocorre quando a saída de um evento depende de saídas ordenadas ou cronometradas. Uma condição de corrida se torna uma fonte de vulnerabilidade quando os eventos ordenados ou cronometrados necessários não ocorrem na ordem correta ou na sincronização apropriada. Capítulo 4: A arte de proteger segredos Os princípios da criptologia explicam como os protocolos e algoritmos da modernidade protegem as comunicações. A criptologia é a ciência de criar e violar os códigos secretos. Criptografia é o desenvolvimento e utilização de códigos. Criptoanálise é o estudo e quebra de códigos. A sociedade usa a criptografia há séculos para proteger documentos confidenciais. Por exemplo, Júlio César usou uma cifra alfabética simples para criptografar mensagens para seus generais no campo. Seus generais tinham conhecimento da chave de criptografia necessária para decifrar as mensagens. Atualmente, os métodos de criptografia modernos garantem comunicações seguras. O controle de acesso é, como está implícito no nome, uma forma controlar o acesso a edifícios, salas, sistemas, bancos de dados, arquivos e informações. As empresas usam diversas técnicas de controle de acesso para proteger a confidencialidade. Este capítulo examinará as quatro etapas no processo de controle de acesso: 1) a identificação, 2) autenticação, 3) autorização e 4) auditoria. Além disso, o capítulo descreve os modelos diferentes de controle de acesso e os tipos de controle de acesso. O capítulo conclui com uma discussão de várias maneiras de os usuários mascararem dados. A ofuscação de dados e a estenografia são as duas técnicas usadas para obter o mascaramento de dados. Spyware – este malware é projetado para rastrear e espionar o usuário. O spyware frequentemente inclui rastreadores de atividade, coleta de toque de tela e captura de dados. Para tentar combater as medidas de segurança, o spyware quase sempre modifica as configurações de segurança. Muitas vezes, o spyware se junta ao software legítimo ou a cavalos de Tróia. Adware – o software com suporte a anúncio é projetado para fornecer anúncios automaticamente. O adware é frequentemente instalado com algumas versões do software. Alguns tipos de adware são projetados para oferecer somente anúncios, mas também é comum que o adware venha com spyware. Bot- da palavra “robot”, um bot é o malware projetado para executar automaticamente a ação, geralmente on-line. Enquanto a maioria dos bots é inofensiva, uma utilização progressiva de bots mal-intencionados são os botnets. Vários computadores estão infectados com bots que são programados para esperar calmamente os comandos fornecidos pelo invasor. Ransomware – este malware é projetado para manter preso um sistema de computador, ou os dados incluídos nele, até que o pagamento seja feito. O ransomware normalmente funciona criptografando os dados no computador com uma chave desconhecida ao usuário. Outras versões do ransomware podem lançar mão das vulnerabilidades de sistemas específicos para bloquear o sistema. O ransomware é espalhado por um arquivo baixado ou alguma vulnerabilidade de software. Scareware – este é um tipo de malware projetado para persuadir o usuário a executar uma ação específica com base no medo. O scareware simula janelas pop-up que se assemelham às janelas de diálogo do sistema operacional. Essas janelas transmitem mensagens falsificadas que afirmam que o sistema está em risco ou precisa da execução de um programa específico para retornar à operação normal. Na realidade, nenhum problema foi avaliado ou detectado. Se o usuário concordar e executar o programa mencionado para a limpeza, seu sistema será infectado com malware. Rootkit – este malware é projetado para modificar o sistema operacional e criar um backdoor. Os invasores usam o backdoor para acessar o computador remotamente. A maioria dos rootkits utiliza as vulnerabilidades do software para escalonar privilégios e modificar arquivos de sistema. Também é comum os rootkits modificarem a computação forense do sistema e as ferramentas de monitoramento, o que os torna muito difíceis de ser detectados. Muitas vezes, um computador infectado por um rootkit deve ser apagado e reinstalado. Vírus - um vírus é um código executável mal-intencionado que é anexado a outros arquivos executáveis, muitas vezes programas legítimos. A maioria dos vírus necessita de ativação do usuário final e pode ser ativada em uma hora ou data específica. Os vírus podem ser inofensivos e apenas exibir uma imagem ou podem ser destrutivos, como os que modificam ou excluem dados. Os vírus também podem ser programados para se modificar e evitar a detecção. Agora, a maioria dos vírus é espalhada por unidades de USB, discos ópticos, compartilhamentos de rede ou e-mail. Cavalo de Tróia - um Cavalo de Troia é um malware que realiza operações mal-intencionadas sob o pretexto de uma operação desejada. Esse código malicioso explora os privilégios do usuário que o executa. Muitas vezes, os Cavalos de Tróia são encontrados em arquivos de imagem, arquivos de áudio ou jogos. Um Cavalo de Tróia difere de um vírus porque está vinculado aos arquivos não executáveis. Worms – worms são códigos maliciosos que se replicam ao explorar, de forma independente, vulnerabilidades em redes. Os worms normalmente deixam a rede mais lenta. Enquanto um vírus requer um programa host para execução, os worms podem ser executados de modo autônomo. Exceto pela infecção inicial, eles não necessitam mais da participação do usuário. Após infectar um host, um worm pode ser transmitido muito rapidamente pela rede. Worms compartilham padrões similares. Todos eles habilitam uma vulnerabilidade, uma maneira de se propagar, e todos eles contêm uma carga. Os worms são responsáveis por alguns dos ataques mais devastadores na Internet. Como mostrado na Figura 1, em 2001, o worm Code Red infectou 658 servidores. Em 19 horas, o worm infectou mais de 300.000 servidores, conforme mostrado na Figura 2. Man-In-The-Middle (MitM) – o MitM permite que o invasor tenha o controle sobre um dispositivo sem o conhecimento do usuário. Com esse nível de acesso, o invasor pode interceptar e capturar informações do usuário antes de transmiti-las ao seu destino desejado. Os ataques MitM são amplamente utilizados para roubar informações financeiras. Muitos malwares e técnicas existem para fornecer aos invasores recursos de MitM. Man-In-The-Mobile (MitMo) – uma variação do Man-In-Middle, MitMo é um tipo de ataque usado para assumir o controle de um dispositivo móvel. Quando infectado, o dispositivo móvel pode ser instruído a extrair as informações confidenciais do usuário e enviá-las para os invasores. ZeuS, um exemplo de exploit com capacidades de MitMo, permite que os invasores capturem silenciosamente as mensagens de SMS de verificação de 2 passos enviadas para os usuários. Independentementedo tipo de malware que infectou um sistema, estes são sintomas comuns: ● Há um aumento no uso da CPU. ● Há uma diminuição na velocidade do computador. ● O computador congela ou trava frequentemente. ● Há uma diminuição na velocidade de navegação na Web. ● Existem problemas inexplicáveis com conexões de rede. ● Arquivos são modificados. ● Arquivos são excluídos. ● Há presença de arquivos, programas ou ícones de desktop desconhecidos. ● Há processos desconhecidos em execução. ● Programas estão se desligando ou reconfigurando sozinhos. ● E-mails estão sendo enviados sem o conhecimento ou consentimento do usuário. Engenharia social é um ataque de acesso que tenta manipular indivíduos para realizar ações ou divulgar informações confidenciais. Os engenheiros sociais frequentemente dependem da boa vontade das pessoas para ajuda, mas também miram nos pontos fracos. Por exemplo, um invasor pode chamar um funcionário autorizado com um problema urgente, que requer acesso imediato à rede. O invasor pode recorrer à vaidade do funcionário, valer-se de autoridade usando técnicas que citam nomes ou apelar para a ganância do funcionário. Há alguns tipos de ataques de Engenharia social: ● Pretexting - Ocorre quando um invasor chama uma pessoa e mente para ela na tentativa de obter acesso a dados confidenciais. Um exemplo envolve um invasor que finge precisar de dados pessoais ou financeiros para confirmar a identidade do destinatário. ● Tailgating - quando um invasor rapidamente segue uma pessoa autorizada em um local seguro. ● Something for Something (Quid pro quo) - ocorre quando um invasor solicita informações pessoais de uma pessoa em troca de algo, como um presente. A quebra de senha de acesso à rede WiFi é o processo de descobrir a senha usada para proteger uma rede sem fio. Estas são algumas técnicas usadas na quebra de senha: Engenharia social – o invasor manipula uma pessoa que conhece a senha para fornecê-la. Ataques de força bruta – o invasor tenta várias senhas possíveis na tentativa de adivinhar a correta. Se a senha for um número de 4 dígitos, por exemplo, o invasor precisaria tentar cada uma das 10.000 combinações. Ataques de força bruta, normalmente, envolvem um arquivo de lista de palavras. É um arquivo de texto contendo uma lista de palavras tiradas de um dicionário. Um programa tenta, então, cada palavra e combinações comuns. Como os ataques de força bruta levam tempo, senhas complexas demoram mais tempo para serem descobertas. Algumas ferramentas de senha de força bruta incluem Ophcrack L0phtCrack, THC-Hydra, RainbowCrack e Medusa. Sniffing de rede – ao ouvir e capturar pacotes enviados na rede, um invasor poderá descobrir a senha, se ela estiver sendo enviada sem criptografia (em texto sem formatação). Se a senha for criptografada, o invasor ainda poderá revelá-la usando uma ferramenta de quebra de senha. Phishing O phishing ocorre quando uma parte mal-intencionada envia um e-mail fraudulento disfarçado de uma fonte legítima e confiável. A intenção da mensagem é enganar o destinatário para instalar o malware no dispositivo dele ou compartilhar informações pessoais ou financeiras. Um exemplo de phishing é um e-mail falsificado para parecer que foi enviado de uma loja de varejo, solicitando que o usuário clique em um link para receber um prêmio. O link pode ir para um site falso que pede informações pessoais ou pode instalar um vírus. Spear phishing é um ataque de phishing altamente direcionado. Embora o phishing e o spear phishing usem e-mails para alcançar as vítimas, os e-mails do spear phishing são personalizados para uma pessoa específica. O invasor pesquisa os interesses da vítima antes de enviar o e-mail. Por exemplo, um invasor descobre que a vítima está interessada em carros, procurando um modelo específico de carro para comprar. O invasor entra no mesmo fórum de discussão de carros utilizado pela vítima, forja uma oferta de venda de carro e envia um e-mail para a vítima. O e-mail contém um link para as fotos do carro. Quando a vítima clica no link, o malware é instalado no computador de destino. Explorar vulnerabilidades é outro método comum de infiltração. Os invasores fazem a varredura de computadores para obter informações sobre eles. Veja abaixo um método comum para explorar vulnerabilidades: Etapa 1. Colete informações sobre o sistema de destino. Isto poderia ser feito de várias maneiras diferentes como um scanner de porta ou engenharia social. O objetivo é aprender o máximo possível sobre o computador de destino. Etapa 2. Uma das informações relevantes que aprendeu na etapa 1 pode ser o sistema operacional, sua versão e uma lista de serviços que ele executa. Etapa 3. Quando o sistema operacional e a versão do alvo são conhecidos, o invasor procura quaisquer vulnerabilidades conhecidas específicas para essa versão do sistema operacional ou outros serviços do sistema operacional. Etapa 4. Quando é encontrada uma vulnerabilidade, o invasor procura um exploit anteriormente escrito para usar. Se nenhum exploit tiver sido escrito, o invasor pode considerar escrever um exploit. A Figura 1 retrata um invasor usando whois, um banco de dados público da Internet, contendo informações sobre nomes de domínio e seus registrados. A Figura 2 retrata um invasor usando a ferramenta nmap, um scanner de porta popular. Com um scanner de porta, um invasor pode sondar portas de um computador-alvo para saber quais serviços estão sendo executados nele. Ameaças persistentes avançadas Uma maneira de obter a infiltração é por Advanced Persistent Threat (APTs). Elas consistem em uma operação multifase, de longo prazo, furtiva e avançada contra um alvo específico. Devido à sua complexidade e ao nível necessário de qualificação profissional, a APT é geralmente bem financiada. Uma APT aponta para empresas ou nações por motivos comerciais ou políticos. Geralmente relacionada à espionagem pela rede, a finalidade da APT é implantar malware personalizado em um ou vários dos sistemas-alvo e ainda continuar despercebida. Com várias fases da operação e tipos personalizados de malware que afetam diferentes dispositivos e executam funções específicas, um invasor individual frequentemente não tem o conjunto de qualificações profissionais, recursos ou persistência para realizar APTs. DoS Os ataques de negação de serviço (DoS) são um tipo de ataque à rede. Um ataque de negação de serviço (DoS) resulta em algum tipo de interrupção de serviço aos usuários, dispositivos ou aplicações. Existem dois tipos principais de ataque de negação de serviço (DoS): Grande quantidade de tráfego - quando uma rede, um host ou um aplicativo recebe uma enorme quantidade de dados a uma taxa que não consegue processar. Isso causa uma desaceleração na transmissão ou resposta ou uma falha em um dispositivo ou serviço. Pacotes formatados de forma mal-intencionada - quando um pacote formatado de forma mal-intencionada é enviado para um host ou aplicativo e o receptor não consegue contê-lo. Por exemplo, um invasor encaminha pacotes com erros que não podem ser identificados pelo aplicativo ou encaminha pacotes formatados incorretamente. Isso causa lentidão ou falha na execução do dispositivo receptor. Os ataques de negação de serviço (DoS) são considerados um grande risco porque podem facilmente interromper a comunicação e causar perda significativa de tempo e dinheiro. Esses ataques são relativamente simples de conduzir, mesmo por um invasor não capacitado. A figura é uma animação que demonstra um ataque de negação de serviço. DDoS Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço (DoS), mas é proveniente de várias fontes coordenadas. Por exemplo,um ataque de negação de serviço distribuída (DDoS) pode ocorrer da seguinte maneira: Um invasor cria uma rede de hosts infectados, denominada botnet. Os hospedeiros infectados são chamados de zumbis. Os zumbis são controlados por sistemas de controladores. Os computadores zumbis examinam e infectam constantemente mais hosts, criando mais zumbis. Quando está pronto, o hacker instrui os sistemas de controladores para fazer com que o botnet de zumbis execute um ataque de negação de serviço distribuída (DDoS). Clique em Play (Reproduzir) na figura para visualizar as animações de um ataque DDoS Envenenamento de SEO Os mecanismos de busca, como o Google, classificam as páginas e apresentam resultados relevantes com base nas consultas da pesquisa dos usuários. Dependendo da relevância do conteúdo do site, ele pode aparecer mais alto ou mais baixo na lista de resultado da pesquisa. SEO, abreviação de Search Engine Optimization (Otimização de mecanismos de busca), é um conjunto de técnicas usadas para melhorar a classificação do site por um mecanismo de pesquisa. Embora muitas empresas legítimas se especializem na otimização de sites para melhor posicioná-las, um usuário mal-intencionado pode usar o SEO para que um site mal-intencionado fique mais alto nos resultados da pesquisa. Esta técnica é chamada de envenenamento de SEO. O objetivo mais comum do envenenamento de SEO é aumentar o tráfego em sites maliciosos que podem hospedar malware ou executar engenharia social. Para forçar um site malicioso a obter uma classificação mais elevada nos resultados de pesquisa, os invasores utilizam termos de busca populares. Esta figura é um frasco de vidro com líquido venenoso. O que é um ataque misto? Ataques mistos são ataques que usam várias técnicas para comprometer um alvo. Usando várias técnicas de ataque diferentes ao mesmo tempo, os invasores têm um malware híbrido de worms, cavalos de Troia, spyware, keyloggers, spam e esquemas de phishing. Esta tendência de ataques mistos está revelando malwares mais complexos e colocando os dados do usuário em grande risco. O tipo mais comum de ataque misto usa mensagens de e-mail de spam, mensagens instantâneas ou sites legítimos para distribuir links onde o malware ou o spyware é secretamente baixado para o computador. Outro ataque misto comum usa DDoS combinado com e-mails de phishing. Primeiro, o DDoS é usado para derrubar o site de um banco popular e enviar e-mails para os clientes do banco, pedindo desculpas pelo inconveniente. O e-mail também direciona os usuários para um site de emergência forjado, onde suas informações reais de login podem ser roubadas. Muitos dos worms que mais danificam o computador, como Nimbda, CodeRed, BugBear, Klez e Slammer, são categorizados como ataques mistos, como mostrado abaixo: ● Algumas variantes de Nimbda utilizaram anexos de e-mail, downloads de arquivos de um servidor da Web comprometido e compartilhamento de arquivos da Microsoft (por exemplo, compartilhamentos anônimos) como métodos de propagação. ● Outras variantes do Nimbda foram capazes de modificar contas de convidado do sistema para fornecer privilégios administrativos ao código malicioso ou ao invasor. Os recentes worms Conficker e ZeuS/LICAT também foram ataques mistos. O Conficker usou todos os métodos tradicionais de distribuição. Esta figura exibe um cadeado em uma tela digital. O que é um ataque misto? Ataques mistos são ataques que usam várias técnicas para comprometer um alvo. Usando várias técnicas de ataque diferentes ao mesmo tempo, os invasores têm um malware híbrido de worms, cavalos de Troia, spyware, keyloggers, spam e esquemas de phishing. Esta tendência de ataques mistos está revelando malwares mais complexos e colocando os dados do usuário em grande risco. O tipo mais comum de ataque misto usa mensagens de e-mail de spam, mensagens instantâneas ou sites legítimos para distribuir links onde o malware ou o spyware é secretamente baixado para o umcomputador. Outro ataque misto comum usa DDoS combinado com e-mails de phishing. Primeiro, o DDoS é usado para derrubar o site de um banco popular e enviar e-mails para os clientes do banco, pedindo desculpas pelo inconveniente. O e-mail também direciona os usuários para um site de emergência forjado, onde suas informações reais de login podem ser roubadas. Muitos dos worms que mais danificam o computador, como Nimbda, CodeRed, BugBear, Klez e Slammer, são categorizados como ataques mistos, como mostrado abaixo: ● Algumas variantes de Nimbda utilizaram anexos de e-mail, downloads de arquivos de um servidor da Web comprometido e compartilhamento de arquivos da Microsoft (por exemplo, compartilhamentos anônimos) como métodos de propagação. ● Outras variantes do Nimbda foram capazes de modificar contas de convidado do sistema para fornecer privilégios administrativos ao código malicioso ou ao invasor. Os recentes worms Conficker e ZeuS/LICAT também foram ataques mistos. O Conficker usou todos os métodos tradicionais de distribuição. Esta figura exibe um cadeado em uma tela digital. qual ferramenta é usada para caçar um invasor para que um administrador possa capturar, registrar e analisar o comportamento de um ataque? R:Trampa (honey) Que ação um ID tomará ao decidir sobre tráfego malicioso? R:criar um alerta de leitura e registrar a detecção Qual é um exemplo de cadeia de eliminação cibernética? R:um processo planejado de ataque cibernético Por que um administrador de rede usaria a ferramenta nmap? R:para detectar e identificar portas abertas um funcionário de um consultório médico envia um e-mail aos pacientes sobre visitas recentes às instalações dos pacientes. Quais informações colocariam a privacidade dos pacientes em risco se incluídas no e-mail? R:Registros dos pacientes Qual é a função principal da Equipe de resposta a R:incidentes de segurança da Cisco? proteger a empresa, o sistema e a preservação dos dados qual estágio da cadeia de eliminação usada pelos atacantes se concentra na identificação e seleção de alvos? R:Reconhecimento R:Verdadeiro R:Open atherization Quais são os dois objetivos para garantir a integridade dos dados? (escolha duas opções) R: entidades não autorizadas não podem modificar o dado R: os dados não são alterados durante o trânsito um administrador de servidor da web define as configurações de acesso para que os usuários se autentiquem antes de acessar determinados sites. Que requisito de segurança do computador ele aborda na configuração? R:confidencialidade Qual é a melhor abordagem para evitar que um dispositivo IDC comprometido acesse dispositivos maliciosamente em uma rede local R: coloque todos os dispositivos idc com acesso à internet em uma rede isolada o departamento de TI relata que um servidor web da empresa recebe um grande número anormal de solicitações de páginas web de destinos simultaneamente. que tipo de ataque de segurança está ocorrendo? R:DDos uma empresa experimenta visitas esmagadoras ao servidor da web principal. O departamento T.I está lançando um plano para adicionar mais alguns servidores web para balanceamento de carga e redundância. Qual requisito de segurança do computador é abordado na implementação do plano? R: disponibilidade qual das seguintes afirmações descreve a cibersegurança? R: É um esforço contínuo para proteger os sistemas conectados à Internet e os dados associados contra danos de uso autorizado. _______________________________________ palavra “domínio” tem muitos significados. Onde quer que haja controle, autoridade ou proteção, você podeconsiderar essa “área” um domínio. Pense como um animal selvagem vai proteger o seu próprio domínio declarado. Neste curso, considere um domínio como sendo uma área a ser protegida. Isso pode estar limitado por um limite lógico ou físico. Isso vai depender do tamanho do sistema envolvido. Em muitos aspectos, os especialistas em segurança cibernética têm que proteger seus domínios, de acordo com as leis do seu país. Um exame detalhado desses domínios revela como eles são construídos. Em um nível básico, esses domínios são fortes, devido à capacidade de coletar dados de usuário, com a contribuição dos próprios usuários. Esses dados geralmente incluem a formação, discussões, gostos, locais, viagens, interesses, amigos e membros da família, profissões, hobbies e as agendas pessoais e de trabalho dos usuários. Os especialistas criam grande valor para as empresas interessadas em usar esses dados para melhor compreender e se comunicar com seus clientes e funcionários. Os perfis e os motivos dos criminosos virtuais mudaram ao longo dos anos. A atividade de hacker começou nos anos 60 com o freaking (ou phreaking) telefônico, que se refere ao uso de várias frequências de áudio para manipular sistemas telefônicos. Nos anos 80, os criminosos usavam modems de computador por linha discada para conectar computadores a redes e usavam programas de quebra de senha para obter acesso a dados. Exemplos de domínios de segurança cibernética Os especialistas na Google criaram um dos primeiros e mais poderosos domínios dentro do mundo cibernético mais amplo da Internet. Bilhões de pessoas usam o Google para pesquisar na Web todos os dias. A Google criou, indiscutivelmente, a maior infraestrutura de coleta de dados do mundo. A Google desenvolveu o Android, sistema operacional instalado em mais de 80% de todos os dispositivos móveis conectados à Internet. Cada dispositivo exige que os usuários criem contas do Google que podem salvar favoritos e informações da conta, armazenar os resultados da pesquisa e, até mesmo, localizar o dispositivo. Clique aqui para ver alguns dos muitos serviços que a Google oferece atualmente. O Facebook é outro domínio poderoso dentro da Internet mais ampla. Os especialistas no Facebook reconheceram que as pessoas criam contas pessoais diariamente para https://www.google.com/intl/en/about/products/ se comunicar com a família e amigos. Ao fazer isso, você está oferecendo voluntariamente uma grande quantidade de dados pessoais. Esses especialistas no Facebook construíram um domínio enorme de dados para permitir que pessoas se conectem de maneiras que eram inimagináveis no passado. O Facebook afeta milhões de vidas diariamente e capacita as empresas e organizações a se comunicarem com as pessoas de uma forma mais pessoal e focada. O LinkedIn é ainda outro domínio de dados na Internet. Os peritos no LinkedIn reconheceram que seus membros iriam compartilhar informações procurando construir uma rede profissional. Usuários do LinkedIn carregam essas informações para criar perfis on-line e conectar-se com outros membros. O LinkedIn conecta os funcionários com os empregadores e empresas com outras empresas no mundo todo. Existem grandes semelhanças entre o LinkedIn e o Facebook. Um exame detalhado desses domínios revela como eles são construídos. Em um nível básico, esses domínios são fortes, devido à capacidade de coletar dados de usuário, com a contribuição dos próprios usuários. Esses dados geralmente incluem a formação, discussões, gostos, locais, viagens, interesses, amigos e membros da família, profissões, hobbies e as agendas pessoais e de trabalho dos usuários. Os especialistas criam grande valor para as empresas interessadas em usar esses dados para melhor compreender e se comunicar com seus clientes e funcionários. O crescimento dos domínios cibernéticos Os dados coletados no âmbito da Internet são consideravelmente mais do que apenas os dados com os quais os usuários contribuem voluntariamente. Os domínios cibernéticos continuam a crescer, à medida que a ciência e a tecnologia evoluem, permitindo que os especialistas e os seus empregadores (Google, Facebook, LinkedIn, etc.) coletem muitas outras formas de dados. Os especialistas cibernéticos agora têm a tecnologia para acompanhar as tendências do clima em todo o mundo, monitorar os oceanos, bem como o movimento e o comportamento de pessoas, animais e objetos em tempo real. Novas tecnologias, como GIS (Geospatial Information Systems, Sistemas de informação geoespacial) e a IoT (Internet of Things), surgiram. Essas novas tecnologias podem acompanhar a saúde das árvores em um bairro. Essas tecnologias podem fornecer locais atualizados de veículos, dispositivos, indivíduos e materiais. Esse tipo de informação pode economizar energia, melhorar a eficiência e reduzir os riscos da segurança. Cada uma dessas tecnologias também resultará em expansão exponencial da quantidade de dados coletados, analisados e usados para entender o mundo. Os dados coletados pelo GIS e IoE representam um enorme desafio para os profissionais de segurança cibernética no futuro. O tipo de dados gerados por esses dispositivos têm o potencial para permitir que os criminosos virtuais tenham acesso aos aspectos muito íntimos da vida diária. Ameaças internas e externas Ameaças à segurança interna Os ataques podem se originar de dentro de uma organização ou de fora da organização, conforme mostrado na figura. Um usuário interno, como um funcionário ou parceiro de contrato, pode, de forma acidental ou intencional: ● Tratar erroneamente os dados confidenciais ● Ameaçar as operações de servidores internos ou de dispositivos de infraestrutura de rede ● Facilitar ataques externos conectando mídias USB infectadas no sistema de computador corporativo ● Convidar acidentalmente malware para a rede por e-mail ou sites mal-intencionados Ameaças internas têm o potencial de causar maior dano que as ameaças externas, pois os usuários internos têm acesso direto ao edifício e a seus dispositivos de infraestrutura. Os invasores internos normalmente têm conhecimento da rede corporativa, de seus recursos e de seus dados confidenciais. Eles também podem ter conhecimento de contramedidas de segurança, políticas e níveis mais altos de privilégios administrativos. Ameaças à segurança externa Ameaças externas de amadores ou invasores habilidosos podem explorar vulnerabilidades em dispositivos conectados em rede ou podem usar social engineering, como enganações, para ter acesso. Ataques externos exploram fraquezas ou vulnerabilidades para obter acesso a recursos externos. Dados Tradicionais Dados corporativos incluem informações pessoais, propriedade intelectual e dados financeiros. Informações pessoais incluem materiais de aplicativos, folha de pagamento, cartas de oferta, acordos de funcionários e todas as informações usadas na tomada de decisões de emprego. Propriedade intelectual, como patentes, marcas registradas e planos de novos produtos, permite que uma empresa obtenha vantagem econômica sobre seus concorrentes. Considere essa propriedade intelectual como um segredo comercial. Perder essas informações pode ser desastroso para o futuro da empresa. Dados financeiros, como declarações de rendimentos, balanços e demonstrações de fluxo de caixa, proporcionam detalhes sobre a saúde da empresa. As vulnerabilidades de dispositivos móveis No passado, os funcionários normalmente usavam computadores fornecidos pela empresa conectados a uma LAN corporativa. Os administradores monitoram e atualizam continuamente esses computadores para atender aos requisitos de segurança. Hoje, dispositivos móveis como iPhones, smartphones, tablets e milhares de outros estão se tornando substitutos poderosos (ou adições) ao computador tradicional. Mais e maispessoas estão usando esses dispositivos para acessar informações empresariais. Traga seu próprio dispositivo (BYOD) é uma tendência crescente. A incapacidade de gerenciar e atualizar de maneira central dispositivos móveis impõe uma ameaça crescente às organizações que permitem dispositivos móveis de funcionários em suas redes. O surgimento da Internet das coisas A Internet das coisas (IoT) é o conjunto de tecnologias que permitem a conexão de vários dispositivos à Internet. A evolução tecnológica associada ao advento da IoT está mudando os ambientes comerciais e de consumo. As tecnologias IoT permitem às pessoas conectarem bilhões de dispositivos à Internet. Esses dispositivos incluem aparelhos, bloqueios, motores e dispositivos de entretenimento, para citar apenas alguns. Essa tecnologia afeta a quantidade de dados que precisam de proteção. Os usuários acessam esses dispositivos remotamente, o que aumenta o número de redes que requer proteção. Com o surgimento da IoT, há muito mais dados a serem gerenciados e protegidos. Todas essas conexões, além da capacidade de armazenamento expandida e de serviços de armazenamento oferecidos na nuvem e da virtualização, levaram ao crescimento exponencial de dados. Essa expansão de dados criou uma nova área de interesse na tecnologia e nos negócios, chamada "Big data". O impacto do Big data O big data é o resultado de conjuntos de dados grandes e complexos, tornando os aplicativos de processamento de dados tradicionais inadequados. O big data impõe desafios e oportunidades, com base em três dimensões: ● O volume ou a quantidade de dados ● A velocidade ou a rapidez dos dados ● A variedade ou a gama de tipos e fontes de dados Há vários exemplos de grandes ataques corporativos de hackers nos jornais. Empresas como Target, Home Depot e PayPal são alvo de ataques altamente divulgados. Como resultado, os sistemas empresariais exigem mudanças drásticas nos designs dos produtos de segurança e atualizações significativas nas tecnologias e nas práticas. Além disso, os governos e as indústrias estão introduzindo mais regulamentações e demandas que exigem melhor proteção dos dados e controles de segurança para ajudar a proteger o big data. Uso de armas avançadas As vulnerabilidades de software hoje dependem de vulnerabilidades do protocolo, erros de programação ou problemas de configuração do sistema. O criminoso virtual precisa apenas explorar uma dessas vulnerabilidades. Por exemplo, um ataque comum envolveu a construção de uma entrada em um programa para sabotar o programa, causando seu mau funcionamento. Esse mau funcionamento proporcionou uma porta de entrada para o programa ou provocou o vazamento de informações. Há uma crescente sofisticação percebida nos ataques cibernéticos de hoje. Um Advanced Persistent Threat (APT) é um hack de computador contínuo que não aparece no radar, contra um objeto específico. Os criminosos normalmente escolhem um APT por motivos comerciais ou políticos. Um APT ocorre durante um longo período, com um alto grau de sigilo, usando malware sofisticado. Ataques de algoritmo podem rastrear dados de geração automática de relatório do sistema, como quanta energia um computador está usando e usar essas informações para disparar alertas falsos. Os ataques algorítmicos também podem desativar um computador, forçando-o a usar memória ou a sobrecarregar sua unidade central de processamento. Ataques algorítmicos são mais desonestos, pois exploram os designs usados para melhorar a economia de energia, reduzir as falhas do sistema e melhorar as eficiências. Finalmente, a nova geração de ataques envolve a seleção inteligente de vítimas. No passado, os ataques selecionariam o fruto mais baixo da árvore ou as vítimas mais vulneráveis. No entanto, com maior atenção à detecção e isolamento de ataques cibernéticos, os criminosos virtuais devem ser mais cuidadosos. Não podem arriscar a detecção precoce ou os especialistas em segurança cibernética fecharão os portões do castelo. Como resultado, muitos dos ataques mais sofisticados só serão lançados se o invasor puder corresponder à assinatura do objeto ao qual o ataque é direcionado. scopo mais amplo e efeito cascata O gerenciamento de identidades federadas refere-se a várias empresas que permitem que seus usuários usem as mesmas credenciais de identificação para obter acesso às redes de todas as empresas do grupo. Isso amplia o escopo e aumenta a probabilidade de um efeito em cascata, se ocorrer um ataque. Uma identidade federada vincula a identidade eletrônica de um sujeito em vários sistemas de gerenciamento de identidade separados. Por exemplo, um sujeito pode conseguir fazer logon no Yahoo! com credenciais do Google ou do Facebook. Isso é um exemplo de login social. O objetivo do gerenciamento de identidades federadas é compartilhar informações de identidade automaticamente entre fronteiras. Na perspectiva do usuário individual, isso significa um início de sessão universal na Web. É imprescindível que as empresas examinem as informações de identificação compartilhadas com parceiros. Endereços, nomes e números de seguridade social podem permitir a ladrões de identidade a oportunidade de roubar essas informações de um parceiro para perpetrar fraude. A forma mais comum de proteger identidades federadas é vincular a habilidade de login a um dispositivo autorizado. Implicações de segurança Centros de chamada de emergência nos Estados Unidos são vulneráveis a ataques cibernéticos que podem fechar as redes de chamadas de emergência, colocando em risco a segurança pública. Um ataque TDoS (Telephone denial of service, negação de serviço por telefone) usa telefonemas contra uma rede de telefone, ocupando o sistema alvo e impedindo que ligações legítimas sejam completadas. Os centros de chamada de emergência de última geração são vulneráveis porque eles usam sistemas de VoIP (Voice-over-IP, Voz sobre IP), em vez de linhas fixas tradicionais. Além de ataques TDoS, esses centros de chamada também podem estar expostos ao risco de ataques DDoS (Distributed-denial-of-service, Negação de serviço distribuída) que usam muitos sistemas para inundar os recursos do alvo, indisponibilizando o alvo para usuários legítimos. Há muitas maneiras, hoje em dia, de solicitar ajuda da polícia, desde o uso de um aplicativo em um smartphone até o uso de um sistema de segurança doméstico. Maior reconhecimento de ameaças à segurança cibernética A defesa contra ataques cibernéticos no início da era virtual era baixa. Um aluno do ensino médio ou um hacker inexperiente conseguia obter acesso aos sistemas. Países do mundo todo tornaram-se mais conscientes da ameaça de ataques cibernéticos. A ameaça imposta por ataques cibernéticos agora encabeça a lista das maiores ameaças à segurança nacional e econômica na maioria dos países. Uso de armas avançadas As vulnerabilidades de software hoje dependem de vulnerabilidades do protocolo, erros de programação ou problemas de configuração do sistema. O criminoso virtual precisa apenas explorar uma dessas vulnerabilidades. Por exemplo, um ataque comum envolveu a construção de uma entrada em um programa para sabotar o programa, causando seu mau funcionamento. Esse mau funcionamento proporcionou uma porta de entrada para o programa ou provocou o vazamento de informações. Há uma crescente sofisticação percebida nos ataques cibernéticos de hoje. Um Advanced Persistent Threat (APT) é um hack de computador contínuo que não aparece no radar, contra um objeto específico. Os criminosos normalmente escolhem um APT por motivos comerciais ou políticos. Um APT ocorre durante um longo período, com um alto grau de sigilo, usando malware sofisticado. Ataques de algoritmo podem rastrear dados de geração automática de relatório do sistema, como quanta energiaum computador está usando e usar essas informações para disparar alertas falsos. Os ataques algorítmicos também podem desativar um computador, forçando-o a usar memória ou a sobrecarregar sua unidade central de processamento. Ataques algorítmicos são mais desonestos, pois exploram os designs usados para melhorar a economia de energia, reduzir as falhas do sistema e melhorar as eficiências. Finalmente, a nova geração de ataques envolve a seleção inteligente de vítimas. No passado, os ataques selecionariam o fruto mais baixo da árvore ou as vítimas mais vulneráveis. No entanto, com maior atenção à detecção e isolamento de ataques cibernéticos, os criminosos virtuais devem ser mais cuidadosos. Não podem arriscar a detecção precoce ou os especialistas em segurança cibernética fecharão os portões do castelo. Como resultado, muitos dos ataques mais sofisticados só serão lançados se o invasor puder corresponder à assinatura do objeto ao qual o ataque é direcionado. Escopo mais amplo e efeito cascata O gerenciamento de identidades federadas refere-se a várias empresas que permitem que seus usuários usem as mesmas credenciais de identificação para obter acesso às redes de todas as empresas do grupo. Isso amplia o escopo e aumenta a probabilidade de um efeito em cascata, se ocorrer um ataque. Uma identidade federada vincula a identidade eletrônica de um sujeito em vários sistemas de gerenciamento de identidade separados. Por exemplo, um sujeito pode conseguir fazer logon no Yahoo! com credenciais do Google ou do Facebook. Isso é um exemplo de login social. O objetivo do gerenciamento de identidades federadas é compartilhar informações de identidade automaticamente entre fronteiras. Na perspectiva do usuário individual, isso significa um início de sessão universal na Web. É imprescindível que as empresas examinem as informações de identificação compartilhadas com parceiros. Endereços, nomes e números de seguridade social podem permitir a ladrões de identidade a oportunidade de roubar essas informações de um parceiro para perpetrar fraude. A forma mais comum de proteger identidades federadas é vincular a habilidade de login a um dispositivo autorizado. Implicações de segurança Centros de chamada de emergência nos Estados Unidos são vulneráveis a ataques cibernéticos que podem fechar as redes de chamadas de emergência, colocando em risco a segurança pública. Um ataque TDoS (Telephone denial of service, negação de serviço por telefone) usa telefonemas contra uma rede de telefone, ocupando o sistema alvo e impedindo que ligações legítimas sejam completadas. Os centros de chamada de emergência de última geração são vulneráveis porque eles usam sistemas de VoIP (Voice-over-IP, Voz sobre IP), em vez de linhas fixas tradicionais. Além de ataques TDoS, esses centros de chamada também podem estar expostos ao risco de ataques DDoS (Distributed-denial-of-service, Negação de serviço distribuída) que usam muitos sistemas para inundar os recursos do alvo, indisponibilizando o alvo para usuários legítimos. Há muitas maneiras, hoje em dia, de solicitar ajuda da polícia, desde o uso de um aplicativo em um smartphone até o uso de um sistema de segurança doméstico Maior reconhecimento de ameaças à segurança cibernética A defesa contra ataques cibernéticos no início da era virtual era baixa. Um aluno do ensino médio ou um hacker inexperiente conseguia obter acesso aos sistemas. Países do mundo todo tornaram-se mais conscientes da ameaça de ataques cibernéticos. A ameaça imposta por ataques cibernéticos agora encabeça a lista das maiores ameaças à segurança nacional e econômica na maioria dos países. Como abordar a falta de especialistas em segurança cibernética Nos EUA, o Instituto Nacional de Padrões e Tecnologia (NIST) criou uma estrutura para empresas e organizações que precisam de profissionais de segurança cibernética. A estrutura permite às empresas identificar os principais tipos de responsabilidades, cargos e habilidades necessários para a força de trabalho. A National Cybersecurity Workforce Framework categoriza e descreve o trabalho de segurança cibernética. Fornece uma linguagem comum que define o trabalho de segurança cibernética, juntamente com um conjunto comum de tarefas e qualificações profissionais necessárias para se tornar um especialista em segurança cibernética. A estrutura ajuda a definir os requisitos profissionais em segurança cibernética. A National Cybersecurity Workforce Framework A estrutura de força de trabalho categoriza o trabalho da segurança cibernética em sete categorias. Operar e manter inclui proporcionar o suporte, a administração e a manutenção necessários para garantir a segurança e o desempenho do sistema de TI. Proteger e defender inclui a identificação, a análise e a mitigação de ameaças a sistemas internos e a redes. Investigar inclui a investigação de evento e/ou crimes digitais que envolvem recursos de TI. Coletar e operar inclui as operações de negação e fraude especializadas e a coleta de informações de segurança cibernética. Analisar Provisionar de forma segura inclui a conceitualização, o projeto e a construção de sistemas de TI seguros. Supervisão e desenvolvimento proporciona liderança, gestão e orientação para realizar o trabalho de segurança cibernética de forma eficaz. Provisionar de forma segura inclui a conceitualização, o projeto e a construções de sistemas de TI seguros. Dentro de cada categoria, há várias áreas de especialização. As áreas de especialização definem, assim, tipos comuns de trabalho de segurança cibernética. A figura exibe cada uma das categorias e uma breve descrição de cada uma. Internet of Everything (Internet de Todas as Coisas Análise LinkedIn estabelecimento de sistemas de aviso inicial compartilhamento de informações de inteligência cibernética algoritmo DDoS bring your own device (traga seu próprio dispositivo) Capítulo 2: O cubo da segurança cibernética Os profissionais de segurança cibernética são mais bem descritos como especialistas encarregados da proteção do espaço cibernético. John McCumber é um dos primeiros especialistas em segurança cibernética, desenvolvendo uma estrutura comumente usada chamada Cubo McCumber ou o cubo de segurança cibernética. Esse cubo é usado como ferramenta, ao gerenciar a proteção de redes, domínios e da Internet. O cubo de segurança cibernética parece um pouco como um cubo de Rubik. A primeira dimensão do cubo de segurança cibernética inclui os três princípios de segurança da informação. Os profissionais de segurança cibernética referem-se aos três princípios como a Tríade CIA. A segunda dimensão identifica os três estados das informações ou dos dados. A terceira dimensão do cubo identifica o conhecimento necessário para proporcionar proteção. Essas dimensões são geralmente chamadas de três categorias de proteções da segurança cibernética. Os princípios de segurança A primeira dimensão do cubo de segurança cibernética identifica os objetivos para proteger o espaço cibernético. Os objetivos identificados na primeira dimensão são os princípios fundamentais. Esses três princípios são confidencialidade, integridade e disponibilidade. Os princípios proporcionam foco e permitem ao especialista de segurança cibernética priorizar ações ao proteger qualquer sistema em rede. A confidencialidade impede a divulgação de informações para pessoas, recursos ou processos não autorizados. Integridade refere-se à precisão, consistência e confiabilidade dos dados. Finalmente, a disponibilidade garante que as informações estejam acessíveis para usuários autorizados quando necessário. Use o acrônimo CIA para se lembrar desses três princípios. Os estados dos dados O espaço cibernético é um domínio que contém uma quantidadeconsiderável de dados essencialmente importantes e, portanto, os especialistas em segurança cibernética se concentram na proteção dos dados. A segunda dimensão do cubo de segurança cibernética se concentra no problema da proteção a todos os estados dos dados no espaço cibernético. Os dados têm três possíveis estados: ● Dados em trânsito ● Dados inativos ou em armazenamento ● Dados em processamento A proteção do espaço cibernético exige que os profissionais de segurança cibernética se responsabilizem pela proteção dos dados em todos os três estados. Proteções da segurança cibernética A terceira dimensão do cubo de segurança cibernética define as qualificações profissionais e a disciplina que um profissional de segurança cibernética pode usar para proteger o espaço cibernético. Os profissionais de segurança cibernética devem usar uma variedade de diferentes qualificações profissionais e disciplinas disponíveis a eles, ao proteger os dados no espaço cibernético. Eles devem fazer isso mantendo-se no “lado correto” da lei. O cubo de segurança cibernética identifica os três tipos de qualificações profissionais e disciplinas usadas para proporcionar proteção. A primeira qualificação profissional inclui as tecnologias, os dispositivos e os produtos disponíveis para proteger os sistemas de informação e se defender de criminosos virtuais. Os profissionais de segurança cibernética têm uma reputação de dominar as ferramentas tecnológicas à sua disposição. No entanto, McCumber os lembra de que as ferramentas tecnológicas não são o bastante para derrotar os criminosos virtuais. Os profissionais de segurança cibernética também devem construir uma defesa com o estabelecimento de políticas, procedimentos e diretrizes que permitem que os usuários do espaço cibernético fiquem seguros e sigam as boas práticas. Finalmente, os usuários do espaço cibernético devem se esforçar para ter mais conhecimento sobre as ameaças do espaço cibernético e estabelecer uma cultura de aprendizagem e reconhecimento. O princípio da confidencialidade A confidencialidade impede a divulgação de informações para pessoas, recursos ou processos não autorizados. Um outro termo para confidencialidade é privacidade. As empresas restringem o acesso para garantir que apenas os operadores autorizados possam usar dados ou outros recursos de rede. Por exemplo, um programador não deve ter acesso às informações pessoais de todos os funcionários. As empresas precisam treinar os funcionários sobre as melhores práticas para proteção de informações confidenciais, para se protegerem e também à organização, contra ataques. Os métodos usados para garantir a confidencialidade incluem criptografia, autenticação e controle de acesso aos dados. Proteção da privacidade dos dados As empresas coletam uma grande quantidade de dados. Muitos desses dados não são confidenciais, pois estão publicamente disponíveis, como nomes e números de telefones. Outros dados coletados, no entanto, são confidenciais. As informações confidenciais são dados protegidos contra acessos não autorizados para proteger um indivíduo ou uma organização. Há três tipos de informações confidenciais: ● Informações pessoais são informações de identificação pessoal (PII) de um determinado um indivíduo. A Figura 2 lista essa categoria de dados. ● Informações comerciais são informações que incluem qualquer coisa que possa representar um risco para a empresa, se descoberta pelo público ou por um concorrente. A Figura 3 lista essa categoria de dados. ● Informações confidenciais são informações pertencentes a um órgão do governo, classificadas pelo seu nível de sensibilidade. A Figura 4 lista essa categoria de dados. Controle de acesso O controle do acesso define vários esquemas de proteção que impedem o acesso não autorizado a um computador, a uma rede, a um banco de dados ou a outros recursos de dados. Os conceitos de AAA envolvem três serviços de segurança: autenticação, autorização e accounting. Esses serviços proporcionam a estrutura principal para controlar o acesso. O primeiro "A" no AAA representa a autenticação. Autenticação verifica a identidade de um usuário para evitar acesso não autorizado. Os usuários provam sua identidade com um nome de usuário ou um ID. Além disso, os usuários precisam verificar sua identidade proporcionando uma das opções a seguir, conforme mostrado na Figura 1: ● Algo que saibam (como uma senha) ● Algo que tenham (como um token ou cartão) ● Algo que sejam (como uma impressão digital) Por exemplo, se você vai a um caixa eletrônico tirar dinheiro, precisa do cartão do banco (algo que você tem) e precisa saber a senha. Isso também é um exemplo de autenticação multifatorial. A autenticação multifatorial requer mais de um tipo de autenticação. A forma mais popular de autenticação é o uso de senhas. Serviços de autorização determinam quais recursos os usuários podem acessar, juntamente com as operações que os usuários podem executar, conforme mostrado na Figura 2. Alguns sistemas fazem isso usando uma lista de controle de acesso, ou uma ACL. Uma ACL determina se um usuário tem certos privilégios de acesso depois de se autenticar. Só porque você pode fazer logon na rede corporativa não significa que você tem permissão para usar a impressora colorida de alta velocidade. A autorização também pode controlar quando um usuário tem acesso a um recurso específico. Por exemplo, os funcionários podem ter acesso a um banco de dados de vendas durante o horário comercial, mas o sistema os bloqueia, depois de horas. Accounting mantém controle sobre o que os usuários fazem, incluindo o que acessam, a quantidade de tempo que acessam os recursos e as alterações feitas. Por exemplo, um banco mantém o controle da conta de cada cliente. Uma auditoria do sistema pode revelar o tempo e o valor de todas as transações e o funcionário ou o sistema que executou as transações. Serviços de accounting de segurança cibernética funcionam da mesma maneira. O sistema controla cada transação de dados e fornece os resultados da auditoria. Um administrador pode configurar políticas de computador, conforme mostrado na Figura 3, para permitir a auditoria do sistema. O conceito de AAA é semelhante ao uso de um cartão de crédito, conforme indicado pela Figura 4. O cartão de crédito identifica quem pode usá-lo, determina quanto o usuário pode gastar e contabiliza os itens ou serviços que o usuário comprou. O Accounting controla e monitora em tempo real. Sites, como o Norse, mostram ataques em tempo real com base em dados coletados como parte de um sistema de estrutura de accounting ou de rastreamento. Clique aqui para visitar o site de rastreamento em tempo real Norse. Leis e responsabilidade A confidencialidade e a privacidade parecem intercambiáveis, mas do ponto de vista legal, elas significam coisas diferentes. A maioria dos dados de privacidade é confidencial, mas nem todos dados confidenciais são privados. O acesso a informações confidenciais ocorre depois da confirmação da autorização adequada. Instituições financeiras, hospitais, profissionais da área médica, escritórios de advocacia e empresas em geral processam informações confidenciais. As informações confidenciais têm um status não público. A manutenção da confidencialidade é mais que um dever ético. A privacidade é o uso adequado dos dados. Quando as organizações coletam informações fornecidas pelos clientes ou funcionários, elas devem usar esses dados apenas para a finalidade a que se designam. A maioria das empresas exigirá que o cliente ou o funcionário http://map.norsecorp.com/ assine um formulário de liberação, dando à empresa permissão para usar os dados. Todas as leis listadas na figura incluem uma provisão para lidar com a privacidade, começando com as leis dos Estados Unidos na Figura1. A Figura 2 lista uma amostragem dos esforços internacionais. A maioria dessas leis é uma resposta ao enorme crescimento da coleta de dados. O número crescente de estatutos relacionados à privacidade cria um enorme fardo para empresas que coletam e analisam dados. As políticas são o melhor caminho para uma empresa ficar em conformidade com o número crescente de leis relacionadas à privacidade. As políticas permitem que as empresas apliquem regras, procedimentos e processos específicos ao coletar, armazenar e compartilhar dados. Princípio da integridade de dados A integridade é a precisão, a consistência e a confiabilidade dos dados durante todo o seu ciclo de vida. Um outro termo para integridade é qualidade. Os dados passam por várias operações, como captura, armazenamento, recuperação, atualização e transferência. Os dados devem permanecer inalterados durante todas essas operações por entidades não autorizadas. Os métodos usados para garantir a integridade de dados incluem hashing, verificações de validação de dados, verificações de consistência dos dados e controles de acesso. Sistemas de integridade de dados podem incluir um ou mais dos métodos listados acima. Necessidade de integridade de dados A integridade de dados é um componente fundamental da segurança da informação. A necessidade de integridade de dados varia, com base em como a organização usa os dados. Por exemplo, o Facebook não verifica os dados que um usuário publica em um perfil. Um banco ou organização financeira atribui uma importância mais alta à integridade de dados do que o Facebook. As transações e as contas de clientes devem ser precisas. Em uma empresa de serviços de saúde, a integridade de dados pode ser uma questão de vida ou morte. As informações de prescrição devem ser precisas. A proteção da integridade de dados é um desafio constante para a maioria das empresas. A perda da integridade de dados pode tornar recursos de dados inteiros não confiáveis ou inutilizáveis. Necessidade de integridade de dados A integridade de dados é um componente fundamental da segurança da informação. A necessidade de integridade de dados varia, com base em como a organização usa os dados. Por exemplo, o Facebook não verifica os dados que um usuário publica em um perfil. Um banco ou organização financeira atribui uma importância mais alta à integridade de dados do que o Facebook. As transações e as contas de clientes devem ser precisas. Em uma empresa de serviços de saúde, a integridade de dados pode ser uma questão de vida ou morte. As informações de prescrição devem ser precisas. A proteção da integridade de dados é um desafio constante para a maioria das empresas. A perda da integridade de dados pode tornar recursos de dados inteiros não confiáveis ou inutilizáveis. Verificações de integridade Uma verificação de integridade é uma forma de medir a consistência de uma coleta de dados (um arquivo, uma foto ou um registro). A verificação de integridade realiza um processo chamado de função hash para tirar um retrato de dados em um momento específico. A verificação de integridade usa o snapshot para garantir que os dados permaneçam inalterados. Uma soma de verificação é um exemplo de uma função hash. Uma soma de verificação verifica a integridade de arquivos, ou de strings de caracteres, antes e depois de serem transferidos de um dispositivo para outro por uma rede local ou pela Internet. As somas de verificação simplesmente convertem cada conjunto de informações para um valor e soma o total. Para testar a integridade de dados, um sistema de recebimento apenas repete o processo. Se as duas somas forem iguais, os dados são válidos (Figura 1). Se não forem iguais, uma mudança ocorreu em algum lugar ao longo da linha (Figura 2). Funções hash comuns incluem MD5, SHA-1, SHA-256 e SHA-512. Essas funções hash usam algoritmos matemáticos complexos. O valor de hash está simplesmente ali para comparação. Por exemplo, depois de baixar um arquivo, o usuário pode verificar a integridade do arquivo, comparando os valores de hash da fonte com o valor gerado por qualquer calculadora de hash. As empresas usam controle de versão para evitar alterações acidentais por usuários autorizados. Dois usuários não podem atualizar o mesmo objeto. Os objetos podem ser arquivos, registros de banco de dados ou transações. Por exemplo, o primeiro usuário a abrir um documento tem a permissão para alterar esse documento. A segunda pessoa tem uma versão somente leitura. Backups precisos ajudam a manter a integridade de dados, se os dados forem corrompidos. Uma empresa precisa verificar o seu processo de backup para garantir a integridade do backup, antes que ocorra perda de dados. A autorização determina quem tem acesso aos recursos da empresa, de acordo com a necessidade de cada um. Por exemplo, controles de acesso de usuário e permissões de arquivo garantem que apenas determinados usuários possam modificar os dados. Um administrador pode definir as permissões de um arquivo como somente leitura. Como resultado, um usuário que acessa esse arquivo não pode fazer nenhuma alteração O princípio da disponibilidade A disponibilidade dos dados é o princípio usado para descrever a necessidade de manter a disponibilidade dos sistemas e serviços de informação o tempo todo. Ataques cibernéticos e falhas do sistema podem impedir o acesso a sistemas e serviços de informação. Por exemplo, a interrupção da disponibilidade do site de um concorrente por causa de um ataque pode proporcionar uma vantagem para seu rival. Ataques DoS (Denial-of-service, Negação de serviço) ameaçam a disponibilidade do sistema e impedem que usuários legítimos acessem e usem os sistemas de informações, quando necessário. Os métodos usados para garantir a disponibilidade incluem a redundância do sistema, backups do sistema, maior resiliência do sistema, manutenção de equipamentos, sistemas operacionais e software atualizados e planos para recuperação rápida de desastres não previstos. Inativos Em processo Em transito Sha Mds Definição de regras Oferecimento de apoio ao funcionario Auditoria Autorização Atententicação Manutenção de equipamento Sistemas operacionais Metas Privacidade Modificação Fornecimento eliminação de pontos únicos de falha detecção de falhas à medida que ocorrem fornecimento de cruzamento confiável Verificação e consistência privacidade hashing Rede sigilosa Nas Fornecimento detecç Controle de versão Local onde vc esta Algo que voce fez Confidencialidade Manutenção de equipamentos Disponibilidade algo que você é Resposta correta algo que você sab controle da versão Resposta correta criptografia ta correta modificação esposta correta criptografia Qual princípio impede a divulgação de informações para pessoas, recursos ou processos não autorizados? a correta confidencialidade Quais são os princípios de projeto que ajudam a garantir a alta disponibilidade? (Escolha três.) sta correta detecção de falhas à medida que ocorrem Resposta correta eliminação de pontos únicos de falha Quais das opções são dois métodos que garantem a confidencialidade? (Escolher dois.) Autenticação e cripitografia Resposta correta algo que você tem Resposta correta hashing Resposta correta detecção de falhas à medida que ocorrem uso de criptografia Resposta correta eliminação de pontos únicos de falha não-repúdio Resposta correta confidencialidade Correto! MD5 resposta correta SHA Resposta correta controle da versão Resposta correta fornecimento de cruzamento confiável Resposta correta eliminação de pontos únicos de falha ● Página inicial ●Módulos ● Fóruns ● Notas ● Tarefas https://631620066.netacad.com/courses/1050099 https://631620066.netacad.com/courses/1050099/modules https://631620066.netacad.com/courses/1050099/discussion_topics https://631620066.netacad.com/courses/1050099/grades https://631620066.netacad.com/courses/1050099/assignments ● Testes Teste do Capítulo 2 ● Entrega Sem prazo ● Pontos 40 ● Perguntas 20 ● Limite de tempo Nenhum ● Tentativas permitidas Sem limite Instruções Esse teste abrange o conteúdo em Cybersecurity Essentials 1.0 Capítulo 2. Ele foi criado para fornecer uma oportunidade adicional de praticar as habilidades e o conhecimento apresentados no capítulo e de ajudá-lo a se preparar para o teste final. Você terá várias chances e a nota não será incluída no histórico de notas. Há vários tipos de tarefas que podem estar disponíveis neste teste. NOTE: Os testes permitem pontuação de crédito parcial em todos os tipos de itens para fomentar o aprendizado. Pontos em testes podem também ser deduzidos por respostas incorretas. Formulário 33934 Fazer o teste novamente Histórico de tentativas Tentativa Tempo Pontuação https://631620066.netacad.com/courses/1050099/quizzes https://631620066.netacad.com/courses/1050099/quizzes/9244478/take?user_id=12723682 MANTIDO Tentativa 4 18 minutos 27 de 40 MAIS RECENTE Tentativa 4 18 minutos 27 de 40 Tentativa 3 12 minutos 24 de 40 Tentativa 2 12 minutos 21,33 de 40 Tentativa 1 13 minutos 12,67 de 40 Enviado 21 ago em 15:54 Pergunta 1 2 / 2 pts Como é chamada uma rede virtual segura que usa a rede pública? IPS Firewall NAC IDS Correto! VPN https://631620066.netacad.com/courses/1050099/quizzes/9244478/history?version=4 https://631620066.netacad.com/courses/1050099/quizzes/9244478/history?version=4 https://631620066.netacad.com/courses/1050099/quizzes/9244478/history?version=3 https://631620066.netacad.com/courses/1050099/quizzes/9244478/history?version=2 https://631620066.netacad.com/courses/1050099/quizzes/9244478/history?version=1 MPLS Refer to curriculum topic: 2.4.1 O termo VPN descreve uma rede virtual que usa criptografia para proteger dados quando trafegam pelos meios de comunicação da Internet. Pergunta 2 2 / 2 pts Quais serviços determinam quais recursos os usuários podem acessar, além das operações que podem executar? autenticação biometria token Correto! autorização auditoria Refer to curriculum topic: 2.2.1 A autorização determina se um usuário tem certos privilégios de acesso. Pergunta 3 0,67 / 2 pts Quais são os três estados de dados? (Escolha três.) na nuvem suspensos Você respondeu criptografado Correto! em processo Correto! inativos Resposta correta em trânsito Refer to curriculum topic: 2.3.1 A proteção do mundo digital exige que os profissionais de segurança cibernética se responsabilizem pela segurança dos dados em trânsito, na nuvem e inativos. Pergunta 4 0 / 2 pts Qual princípio impede a divulgação de informações para pessoas, recursos ou processos não autorizados? auditoria Resposta correta confidencialidade Você respondeu não-repúdio integridade disponibilidade Refer to curriculum topic: 2.2.1 O princípio de segurança da confidencialidade refere-se à prevenção da divulgação de informações para pessoas, recursos e processos não autorizados. Pergunta 5 2 / 2 pts Qual nome é dado a um dispositivo de armazenamento conectado a uma rede? Nuvem Correto! NAS DAS RAID SAN Refer to curriculum topic: 2.3.1 NAS se refere a um dispositivo de armazenamento conectado a uma rede que permite o armazenamento e a recuperação de dados de um local centralizado por usuários de rede autorizados. Pergunta 6 2 / 2 pts Qual opção é um método de envio de informações de um dispositivo para outro usando mídias removíveis? sem fio infravermelho Correto! rede sigilosa pacote com fio LAN (Rede de área local) Refer to curriculum topic: 2.3.2 Rede sigilosa refere-se à entrega em mãos de dados removíveis. Pergunta 7 2 / 2 pts Quais são os três tipos de informações confidenciais? (Escolha três.) Correto! PII Correto! confidenciais públicas não confidenciais Correto! corporativas publicadas Refer to curriculum topic: 2.2.1 Informações confidenciais são informações que, de outro modo, prejudicariam uma empresa ou um indivíduo se fossem divulgadas publicamente. Pergunta 8 0 / 2 pts Quais são os princípios de projeto que ajudam a garantir a alta disponibilidade? (Escolha três.) Você respondeu verificação de consistência dos dados Correto! detecção de falhas à medida que ocorrem uso de criptografia Você respondeu garantia da confidencialidade Resposta correta fornecimento de cruzamento confiável Resposta correta eliminação de pontos únicos de falha Refer to curriculum topic: 2.2.3 Sistemas de alta disponibilidade normalmente incluem estes três princípios de projeto. Pergunta 9 Quais são os dois métodos que ajudam a garantir a disponibilidade do sistema? (Escolher dois.) extintores de incêndio Resposta correta manutenção de equipamento Resposta correta privacidade Resposta correta algo que você é Resposta correta autenticação esposta correta verificações de consistência de dados Desafios da proteção dos dados armazenados As empresas têm uma tarefa desafiadora, ao tentar proteger os dados armazenados. Para melhorar o armazenamento de dados, as empresas podem automatizar e centralizar os backups de dados. O local pode ser um dos tipos mais difíceis de armazenamento de dados para gerenciar e controlar. O local é vulnerável a ataques mal-intencionados no host local. Os dados armazenados também podem incluir dados de backup. Os backups podem ser manuais ou automáticos. As empresas devem limitar os tipos de dados armazenados no armazenamento local. Especialmente os dados essenciais de uma empresa não deveriam ser armazenados em dispositivos de armazenamento local. Os sistemas de armazenamento em rede proporcionam uma opção mais segura. Os sistemas de armazenamento em rede, incluindo RAID, SAN e NAS, proporcionam maior desempenho e redundância. No entanto, os sistemas de armazenamento em rede são mais complicados de configurar e gerenciar. Eles também suportam mais dados, o que pode representar um risco maior para a empresa, se o dispositivo falhar. Os desafios dos sistemas de armazenamento em rede incluem configuração, testes e monitoramento do sistema. Métodos de transmissão de dados A transmissão de dados envolve o envio de informações de um dispositivo para outro. Há vários métodos para transmitir informações entre dispositivos, incluindo: ● Rede sigilosa – usa mídia removível para transferir fisicamente os dados de um computador para outro ● Redes cabeadas – usam cabos para transmitir dados ● Redes sem fio – usam ondas de rádio para transmitir dados As empresas nunca conseguirão eliminar o uso de uma rede sigilosa. As redes cabeadas incluem redes com fio de cobre e mídia de fibra óptica. As redes cabeadas podem atender a uma área geográfica local (Rede de área local) ou podem englobar grandes distâncias (rede de longa distância). As redes sem fio estão substituindo as redes cabeadas. As redes sem fio estão se tornando mais rápidas e podem suportar mais largura de banda. As redes sem fio expandem o número de usuários convidados com dispositivos móveis nas redes do escritório pequeno, do escritório residencial (SOHO) e nas redes empresariais. As redes com e sem fio usam pacotes ou unidades de dados. O termo pacote refere-se a uma unidade de dados que percorreo caminho entre uma origem e um destino na rede. Protocolos padrão como o protocolo de Internet (IP) e o protocolo de transferência de hipertexto (HTTP) definem a estrutura e a formação de pacotes de dados. Esses padrões têm código aberto e estão disponíveis ao público. Proteger a confidencialidade, a integridade e a disponibilidade dos dados transmitidos é uma das responsabilidades mais importantes de um profissional de segurança cibernética. Desafios da proteção dos dados em trânsito A proteção de dados transmitidos é um dos trabalhos mais desafiadores de um profissional de segurança cibernética. Com o crescimento em dispositivos móveis e sem fios, os profissionais de segurança cibernética são responsáveis por proteger enormes quantidades de dados que passam pela sua rede diariamente. O profissional de segurança cibernética deve lidar com vários desafios na proteção desses dados: ● Proteção da confidencialidade dos dados – os criminosos virtuais podem capturar, salvar e roubar dados em trânsito. Os profissionais da segurança cibernética devem tomar medidas para combater essas ações. ● Proteção da integridade de dados – os criminosos virtuais podem interceptar e modificar dados em trânsito. Os profissionais de segurança cibernética implantam sistemas de integridade de dados que testam a integridade e a autenticidade dos dados transmitidos para combater essas ações. ● Proteção da disponibilidade dos dados - os criminosos virtuais podem usar dispositivos falsos ou não autorizados para interromper a disponibilidade dos dados. Um simples dispositivo móvel pode servir como um access point sem fio local e enganar usuários desavisados para se associarem a um dispositivo falso. Os criminosos virtuais podem sequestrar uma conexão autorizada a um serviço ou dispositivo protegido. Os profissionais de segurança de rede podem implementar sistemas de autenticação mútua para combater essas ações. Os sistemas de autenticação mútua exigem que o usuário se autentique no servidor e solicitam que o servidor se autentique no usuário. Formas de processamento de dados e computação O terceiro estado dos dados são os dados em processamento. Esse estado se refere aos dados durante a entrada inicial, a modificação, o cálculo ou a saída. A proteção da integridade de dados começa com a entrada inicial dos dados. As organizações usam vários métodos para coletar dados, como entrada manual de dados, digitalização de formulários, carregamentos de arquivos e dados coletados dos sensores. Cada um desses métodos impõe possíveis ameaças à integridade de dados. Um exemplo de corrupção de dados durante o processo de entrada inclui erros de entrada de dados ou sensores de sistema inoperantes, desconectados ou com mau funcionamento. Outros exemplos podem incluir formatos de dados incorretos ou não correspondentes e rotulagem errada. A modificação dos dados refere-se a qualquer mudança nos dados originais, como modificação manual dos dados pelos usuários, processamento de programas e alteração dos dados, além de falhas em equipamentos que podem resultar em modificação dos dados. Processos como codificação/decodificação, compactação/descompactação e criptografia/descriptografia são todos exemplos de modificações de dados. Código malicioso também resulta em corrupção dos dados. A corrupção de dados também ocorre durante o processo de saída de dados. Saída de dados refere-se à saída de dados para impressoras, displays eletrônicos ou diretamente para outros dispositivos. A precisão dos dados de saída é fundamental, pois fornece informações e influencia a tomada de decisões. Exemplos de corrupção dos dados de saída incluem o uso incorreto de delimitadores de dados, configurações de comunicação incorretas e configuração inadequada de impressoras Desafios da proteção dos dados em processamento A proteção contra a modificação inválida de dados durante o processamento pode ter um efeito adverso. Erros de software são o motivo de muitos acidentes e desastres. Por exemplo, apenas duas semanas antes do Natal, alguns varejistas parceiros da Amazon perceberam uma mudança no preço anunciado em seus artigos para apenas um centavo de dólar. A falha durou uma hora. O erro resultou em milhares de compradores fazendo o melhor negócio de suas vidas e na empresa perdendo receitas. Em 2016, o termostato Nest apresentou defeito e deixou os usuários sem aquecimento. O termostato Nest é uma tecnologia inteligente, da Google. Uma falha de software deixou os usuários, literalmente, no frio. Uma atualização deu errado, drenando as baterias do dispositivo e deixando-o incapaz de controlar a temperatura. Como resultado, os clientes não conseguiram aquecer suas casas ou obter água quente em um dos fins de semana mais frios do ano. A proteção de dados durante o processamento requer sistemas bem projetados. Os profissionais de segurança cibernética criam políticas e procedimentos que exigem teste, manutenção e atualização de sistemas para mantê-los funcionando com o mínimo de erros. Proteções de tecnologia baseadas em software As proteções de tecnologia incluem programas e serviços que protegem sistemas operacionais, bancos de dados e outros serviços sendo executados em estações de trabalho, dispositivos portáteis e servidores. Os administradores instalam contramedidas ou proteções baseadas em software em hosts ou servidores individuais. Existem várias tecnologias baseadas em software usadas para proteger os ativos de uma empresa: ● Os firewalls de software controlam o acesso remoto a um software. Os sistemas operacionais normalmente incluem um firewall ou um usuário pode comprar ou fazer download de software de terceiros. ● Scanners de rede e de porta detectam e monitoram portas abertas em um host ou servidor. ● Analisadores de protocolo, ou analisadores de assinatura, são dispositivos que coletam e examinam o tráfego de rede. Eles identificam problemas de desempenho, detectam problemas de configuração, identificam aplicativos com comportamento inadequado, estabelecem o parâmetro e os padrões de tráfego normal e depuram problemas de comunicação. ● Scanners de vulnerabilidades são programas de computador projetados para avaliar os pontos fracos em computadores ou redes. ● Sistemas de detecção de invasão baseados em host (IDS) examinam as atividades apenas em sistemas de host. Um IDS gera arquivos de log e mensagens de alarme quando detecta atividade incomum. Um sistema que armazena dados confidenciais ou que presta serviços essenciais é um candidato para IDS baseado em host. Proteções de tecnologia baseadas em hardware Existem várias tecnologias baseadas em hardware usadas para proteger os ativos de uma empresa: ● Dispositivos de firewall bloqueiam o tráfego indesejado. Os firewalls contêm regras que definem o tráfego permitido dentro e fora de uma rede. ● Sistemas de detecção de invasão (IDS) detectam sinais de ataques ou tráfego incomum em uma rede e enviam um alerta. ● Sistemas de prevenção de intrusões (IPS) detectam sinais de ataques ou tráfego incomum em uma rede, geram um alerta e tomam medidas corretivas. ● Os serviços de filtros de conteúdo controlam o acesso e a transmissão de conteúdo ofensivo ou censurável. Proteções de tecnologia baseadas em rede Existem várias tecnologias baseadas em rede usadas para proteger os ativos da empresa: ● Rede privada virtual (VPN) é uma rede virtual segura que usa a rede pública (ou seja, a Internet). A segurança de uma VPN está na criptografia do conteúdo do pacote entre os endpoints que definem a VPN. ● Network Access Control (NAC) requer um conjunto de verificações antes de permitir que um dispositivo se conecte a uma rede. Algumas verificações comuns incluem software antivírus atualizados ou atualizações
Compartilhar