Baixe o app para aproveitar ainda mais
Prévia do material em texto
26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 1/752 Página 1 A segurança cibernética Corpo do conhecimento Versão. primeiro de outubro https://www.cybok.org/ EDITORES Awais Rashid University of Bristol Howard Chivers University of York George Danezis University College de Londres Emil Lupu Imperial College de Londres Andrew Martin University of Oxford GESTOR DE PROJETO Universidade Yvonne Rigby de Bristol PRODUÇÃO Joseph Hallett University of Bristol https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org/ 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 2/752 Página 2 O Conhecimento em Segurança Cibernética www.cybok.org DIREITO AUTORAL © Crown Copyright, National Cyber Security Center. Esta informação está licenciada sob a Open Government License v. . Para visualizar esta licença, visite: https://www.nationalarchives.gov.uk/doc/open-government-licence/ Ao usar essas informações sob a Licença Open Government, você deve incluir o seguinte atribuição: Versão CyBOK. © Crown Copyright, The National Cyber Security Cen- tre, licenciado sob a Open Government License: https://www.nationalarchives.gov.uk/ doc / open-government-licence /. O projeto CyBOK gostaria de entender como o CyBOK está sendo usado e sua aceitação. O projeto gostaria que as organizações usassem, ou pretendessem usar, CyBOK para fins de educação, treinamento, desenvolvimento de curso, desenvolvimento profissional etc. para contatá-lo em con tact@cybok.org para informar ao projeto como eles estão usando o CyBOK. KA | Outubro Página Página 3 https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.nationalarchives.gov.uk/doc/open-government-licence/ https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.nationalarchives.gov.uk/doc/open-government-licence/ https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.nationalarchives.gov.uk/doc/open-government-licence/ mailto:contact@cybok.org mailto:contact@cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 3/752 Prefácio Temos o prazer de compartilhar a versão CyBOK. contigo. A jornada do CyBOK começou no mês de fevereiro, quando iniciamos nossa Fase de Escopo (Fase I) . Isso envolveu uma série de consultas à comunidade, tanto dentro do Reino Unido quanto internacionalmente, por meio de uma série de diferentes atividades destinadas a obter contribuições de um público tão amplo quanto possível. As atividades incluído: • workshops comunitários com 6 participantes em todo o Reino Unido; • respostas por meio de uma pesquisa online; • declarações de posição; • entrevistas aprofundadas com os principais especialistas internacionais em todas as especificações sócio-técnicas trum de segurança cibernética; e • 8 respostas a um exercício em papel como parte de um painel no Advances in Security Workshop de educação no Simpósio de Segurança USENIX em Vancouver, Canadá. Houve um equilíbrio entre as contribuições da academia e dos profissionais na maioria dessas sultações. Complementamos as consultas com a análise de uma série de documentos que normalmente liste os principais tópicos relevantes para a segurança cibernética. Documentos de exemplo incluídos: • Categorizações, como a taxonomia do ACM Computing Classi cation System (CCS); • Certi cações, como Profissional de Segurança de Sistemas de Informação Certi cado (CISSP) e o Instituto de Profissionais de Segurança da Informação (IISP) Skills Framework; • Chamadas de trabalhos como o IEEE Symposium on Security & Privacy e o USENIX Sympo- sium sobre privacidade e segurança utilizáveis; Eu Página 4 O Conhecimento em Segurança Cibernética www.cybok.org • Currículos existentes, como o currículo de ciência da computação da ACM e o trabalho do Força Tarefa Conjunta sobre Educação em Segurança Cibernética; • Padrões, como BS ISO-IEC e NIST IR 8; e • Tabelas de conteúdo de vários livros didáticos. Usamos uma variedade de técnicas de mineração de texto, como processamento de linguagem natural e áudio agrupamento de texto automático para agrupar tópicos relevantes e identificar relacionamentos entre os tópicos. UMA workshop de dois dias dos editores e pesquisadores envolvidos na definição do escopo sintetizou o diversas análises para identificar as áreas de conhecimento (KAs) que compõem o escopo do CyBOK. https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 4/752 Eles foram publicados para feedback da comunidade. Embora nenhum dos KAs precisasse ser removidos ou novos adicionados com base no feedback, os tópicos a serem cobertos em cada KA foi refinado. Os KAs também foram categorizados em cinco categorias de nível superior. Versão . do documento de escopo foi publicado no site do CyBOK em outubro e nos formulários a base dos KAs na versão CyBOK. . Os detalhes do trabalho de definição do escopo são discutidos em o seguinte artigo: Awais Rashid, George Danezis, Howard Chivers, Emil Lupu, Andrew Martin, Makayla Lewis, Claudia Peersman (8). Definição do escopo do conhecimento em segurança cibernética . Segurança IEEE E Privacidade 6 (): 6- . Na Fase II (iniciada no dia 1º de novembro), teve início a autoria dos KAs. Para cada KA, elaboramos uma lista de especialistas reconhecidos internacionalmente no tema como candidatos autores e painéis de revisores. Essas listas foram examinadas pelos professores do projeto CyBOK Conselho Consultivo Profissional e Conselho Consultivo Acadêmico. Seguindo suas sugestões e quaisquer atualizações, convidamos um importante especialista internacional para criar o KA e um conjunto de especialistas importantes como membros bers de um painel de revisão por pares para fornecer revisão e feedback sobre o KA, sob a gestão de um dos editores do CyBOK. Cada autor preparou uma proposta espantalho para revisão inicial e feedback pelo especialista em painel de revisão. Isso foi seguido por um esboço completo (homem de madeira ), que foi revisado pelo painel, gerando feedback para os autores - e muitas vezes várias iterações de discussão e atualizações. Depois que todos os comentários do painel de revisão foram atendidos, o autor preparou um rascunho para revisão pública ( tinman ) . A revisão pública para cada KA permaneceu aberta por semanas. Todos comentários recebidos da revisão pública foram considerados e, quando apropriado, atualizações foram feitos para o KA. Se um comentário não foi abordado, uma justificativa clara foi registrada para o razão. Seguindo essas atualizações, Versão. do KA foi lançado no site do CyBOK. Estes formam coletivamente a versão CyBOK. . Além da autoria dos KAs, o trabalho foi realizado pela equipe do projeto para identificar caminhos de aprendizagem através do CyBOK. Isso envolveu a análise de uma série de estruturas curriculares trabalhos, certificações profissionais e programas de graduação acadêmica para estudar sua cobertura e foco em relação ao CyBOK. Uma primeira análise de quatro estruturas curriculares foi fornecida no seguinte artigo: Devido às limitações de tempo para a Fase II , o painel e as análises públicas para Web & Mobile Security e Authen- ticação, autorização e responsabilidade foram conduzidas em paralelo. | Outubro Página ii Página 5 O Conhecimento em Segurança Cibernética www.cybok.org Joseph Hallett, Robert Larson, Awais Rashid (8). Espelho, espelho, na parede: o quê estamos ensinando-lhes todos? Caracterizando o Foco do Quadro Curricular de Cibersegurança- funciona . Proceedings of the Advances in Security Education Workshop, USENIX Security Simpósio. Outras análisesestão disponíveis no site CyBOK junto com árvores de conhecimento derivadas de cada KA para facilitar o mapeamento de qualquer estrutura curricular, programa de graduação ou profes- certificação profissional no CyBOK. O site também contém muitos outros materiais como webinars e podcasts - recursos que complementam o texto e o material de referência rial abrangido pelos KAs. Vários princípios-chave sustentaram o desenvolvimento do CyBOK: Foco internacional. Embora o projeto seja financiado pelo Programa Nacional de Segurança Cibernética no Reino Unido, é um esforço verdadeiramente internacional - envolvendo autores e revisores especialistas em torno o mundo a desenvolver uma base coletiva para a disciplina de segurança cibernética. https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 5/752 Para a comunidade, pela comunidade. Os editores lideraram o esforço, mas o escopo, o KAs, as avaliações e atualizações são todas orientadas por contribuições da comunidade. Transparência. Todos os resultados do trabalho do projeto estão disponíveis no site, incluindo o escopo, o guia para autores, rascunho e versões de lançamento de KAs e as análises de estruturas curriculares, programas universitários e certificações profissionais. O único exceções a isso são os comentários individuais do trabalho de definição do escopo, painéis de especialistas ou revisão pública que, devido a requisitos éticos, não pode ser tornada pública. O mesmo vale para as universidades que contribuíram voluntariamente com seus programas para análise em a garantia de que o programa ou universidade não seria tornado público. Gratuito e abertamente acessível. CyBOK é um recurso da comunidade, disponível gratuitamente sob o Open Licença governamental. Um princípio orientador fundamental e abrangente para a versão CyBOK. e qualquer versão futura do CyBOK é que ele permanece um recurso aberto e disponível gratuitamente para a comunidade, por exemplo, não será colocado atrás de uma parede paga ou de uma página de login. Independência acadêmica. A equipe editorial teve total independência acadêmica e todos as decisões editoriais cabem exclusivamente aos editores. Fase II do CyBOK concluída com a versão CyBOK. no dia 1 de outubro. O projeto entrou na Fase III , sob a orientação de um Comitê Diretivo de acadêmicos e praticantes. Um foco importante na Fase III será apoiar universidades em todo o Reino Unido no mapeamento de seus programas de graduação em segurança cibernética para a certificação de grau atualizada programa do National Cyber Security Center (NCSC), que será baseado no CyBOK Versão. . Isso fornecerá uma análise em grande escala do uso do CyBOK, tanto dentro de um certificado estrutura de formação e em uma variedade de programas de nível universitário. Nós também iremos nos esforçar para apoiar colegas em todo o mundo na utilização do CyBOK em seus programas, com orientação ajuda da equipe, bem como ferramentas para apoiá-los na tarefa. O comitê de direção irá também mantenha a versão do CyBOK. em revisão para identificar onde as atualizações podem ser necessárias e siga um processo rigoroso, semelhante à Fase II , para tais atualizações. Além disso, o CyBOK oferece uma gama de oportunidades na transformação da educação e do treinamento programas. Pode fornecer uma base de conhecimento rigorosa para estudar, fortalecer e atualizar o foco de vários programas de certificação profissional. Oportunidades também existem em termos de fornecer uma base de descrições de cargos para que os empregadores possam articular e avaliar claramente o | Outubro Página iii Página 6 O Conhecimento em Segurança Cibernética www.cybok.org conhecimento que eles esperam de potenciais recrutas de segurança cibernética. Além disso, dada a sua compreensão natureza abrangente, pode ser usado para avaliar a capacidade de segurança cibernética dentro de uma organização ou mesmo em uma nação. De muitas maneiras, a jornada apenas começou. E estamos ansiosos para trabalhando com colegas em todo o mundo em futuras atualizações e uso. RECONHECIMENTOS. Versão do CyBOK. não teria sido possível sem o apoio do National Programa de segurança cibernética que forneceu o financiamento para o projeto. Somos gratos ao vários colegas em toda a comunidade de segurança cibernética que forneceram informações durante o fase de escopo, autoria e revisava os KAs, ofereceu orientação por meio da participação em nosso Conselho Consultivo Profissional e Conselho Consultivo Acadêmico ou, informalmente, durante sentações e discussões em várias conferências e eventos. Também somos gratos ao nosso gerente de projeto, Yvonne Rigby, por sua diligência, comprometimento e energia infinita em coordenação nating o trabalho de um grande número de especialistas em todo o mundo. Também somos gratos ao pesquisadores que trabalharam no projeto, mais notavelmente Joseph Hallett para pesquisas sobre currículos estruturas lares e percursos de aprendizagem. Gostaríamos de agradecer aos nossos colegas do NCSC que formulou a ideia e garantiu financiamento para um projeto de conhecimento de segurança cibernética. Agradecemos também a Fred Piper e Steven Furnell, que forneceram contribuições e comentários externos revisores do NCSC. Os pesquisadores, autores, membros do painel de especialistas, aconselhamento profissional Conselho Consultivo e Conselho Consultivo Acadêmico estão listados abaixo. Por último, mas não menos importante, nossos agradecimentos a a comunidade mais ampla de segurança cibernética de pesquisadores e profissionais para fornecer serviços essenciais e contribuições construtivas para ajudar a moldar o escopo e os KAs para a versão CyBOK. . https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 6/752 Pesquisadores Joseph Hallett Universidade de Bristol Robert Larson Universidade de Bristol Makayla Lewis Universidade de Lancaster Claudia Peersman Universidade de Bristol Benjamin Shreeve Universidade de Bristol Autores, editores e revisores Área de Conhecimento Autor editor Revisores Gerenciamento de riscos & Governança Pete Burnap Awais Rashid Chris Johnson Ragnar Lofstedt Enfermeira Jason Adam Shostack Lei e Regulamento Robert carolina Howard Chivers Tom Holt Madeline Carr Roderic Broadhurst Fatores humanos M. Angela Sasse Awais Rashid Awais Rashid Pam Briggs Lorrie Faith Cranor Matthew Smith Rick Wash Mary Ellen Zurko | Outubro Página iv Página 7 O Conhecimento em Segurança Cibernética www.cybok.org Capítulo Autor editor Revisores Privacidade e direitos online Carmela Troncoso George Danezis Awais Rashid Emiliano De Cristofaro Ian Goldberg Theresa Stadler Malware e ataque Tecnologias Wenke Lee Howard Chivers Alex Berry Lorenzo Cavallaro Mihai Christodorescu Igor Muttik Comportamento Adversarial Gianluca Stringhini Awais Rashid Tom Holt Adam Joinson Damon McCoy Paul Taylor Operações de segurança e Gestão de Incidentes Hervé Debar Howard Chivers Douglas Wiemer Magnus Almgren Marc Dacier Sushil Jajodia forense Vassil Roussev Howard Chivers Bruce Nikkel Marc Kirby Paul Birch Zeno Geradts Criptografia Nigel Smart George Danezis Dan Bogdanov Kenny Patterson Liqun Chen Sistemas operacionais & Virtualização Herbert Bos Andrew Martin Chris Dalton David Lie Gernot Heiser Mathias Payer Sistemas distribuídos Segurança Neeraj Suri Emil Lupu Konstantin Beznosov Marko Vukolić https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 7/752 Autenticação,Autorização e Prestação de contas Dieter Gollmann Emil Lupu Gail-Joon AhnMichael Huth Raio Indrakshi Segurança de software Frank Piessens Awais RashidEric Bodden Rod Chapman Michael Hicks Jacques Klein Andrei Sablefeld Segurança Web e móvel Sascha Fahl Emil Lupu Alastair Beresford Sven Bugiel Hao Chen Paul Freemantle Marco Viera | Outubro Página v Página 8 O Conhecimento em Segurança Cibernética www.cybok.org Capítulo Autor editor Revisores Software Seguro Ciclo da vida Laurie Williams Andrew Martin Rod Chapman Fabio Massacci Gary McGraw Nancy Mead James Noble Riccardo Scandariato Segurança de rede Sanjah Jha Andrew Martin Gene Tsudik Shishir Nagaraja Segurança de Hardware Ingrid Verbauwhede Andrew Martin George Danezis Srinivas Devadas Paul England Elisabeth Oswald Mark Ryan Sistemas Ciberfísicos Segurança Alvaro Cardenas Emil Lupu Henrik Sandberg Marina Kroto l Mauro Conti Nils Ole Tippenhauer Rakesh Bobba Camada física & Telecomunicações Srdjan Čapkun George Danezis Awais Rashid Robert Piechocki Kasper Rasmussen Conselho Consultivo Profissional Sir Edmund Burton Cadeira Amanda Finch Chartered Institute of Information Security (CIISec) Nick Coleman O Instituto de Engenharia e Tecnologia (IET) Diana Burley The George Washington University David King Legal e Geral Claire Vishik Intel Corporation Bill Mitchell BCS Academy of Computing Andrew Rose NATS (anteriormente) Conselho Consultivo Acadêmico Bart Preneel KU Leuven, Bélgica Mira Mezini Technische Universität Darmstadt, Alemanha https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 8/752 L. Jean Camp Indiana University Bloomington, EUA Jill Slay La Trobe University, Melbourne, Austrália Trent Jaeger Pennsylvania State University, EUA | Outubro Página vi Página 9 O Conhecimento em Segurança Cibernética www.cybok.org Equipe do site James Brown Adrian Tucker https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 9/752 | Outubro Página vii Página 10 O Conhecimento em Segurança Cibernética www.cybok.org | Outubro Página viii https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 10/752 Página 11 Conteúdo Introdução . CyberSecurityDe nition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CyBOKKnowledgeAreas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Implantar conhecimento do CyBOK para resolver problemas de segurança . . . . . . . . . . . . 6 . . Meios e objetivos da segurança cibernética . . . . . . . . . . . . . . . . . . 6 . . Falhas e incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . Princípios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Princípios de Saltzer e Schroeder . . . . . . . . . . . . . . . . . . . . . . . Princípios NISTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LatentDesignConditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . ThePrecautionaryPrinciple . . . . . . . . . . . . . . . . . . . . . . . . . CrosscuttingThemes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SecurityEconomics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Veri cação e métodos normais . . . . . . . . . . . . . . . . . . . . . . . SecurityArchitectureandLifecycle . . . . . . . . . . . . . . . . . . . . I Aspectos humanos, organizacionais e regulatórios Gestão de Risco e Governança . Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Qual é o risco? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Por que a avaliação e o gerenciamento de riscos são importantes? . . . . . . . . . . . . . . . O que é avaliação e gerenciamento de risco cibernético? . . . . . . . . . . . . . . . . . Riskgovernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . O que é governança de risco e por que é essencial? . . . . . . . . . . . . . ix Página 12 O Conhecimento em Segurança Cibernética www.cybok.org . . O fator humano e a comunicação de risco . . . . . . . . . . . . . . . . 6 . . Cultura de segurança e conscientização . . . . . . . . . . . . . . . . . . . . . . . . EnactingSecurityPolicy . . . . . . . . . . . . . . . . . . . . . . . . . . 8 https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 11/752 .6 Avaliação de risco e princípios de gestão . . . . . . . . . . . . . . . . . . .6. Perspectivas de componentes vs. sistemas . . . . . . . . . . . . . . . . . . .6. ElementsofRisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. Métodos de avaliação e gestão de riscos . . . . . . . . . . . . . . .6. Avaliação e gestão de risco em sistemas ciber-físicos e op- tecnologia eracional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. SecurityMetrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Continuidade de negócios: resposta a incidentes e planejamento de recuperação . . . . . . . . . .8 Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lei e Regulamento Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Princípios introdutórios de direito e pesquisa jurídica . . . . . . . . . . . . . . . . . . . A natureza do direito e análise jurídica . . . . . . . . . . . . . . . . . . . . . . Aplicação da legislação ao ciberespaço e às tecnologias da informação . . . . . . . . . Distinguir direito penal e civil . . . . . . . . . . . . . . . . . . . . . . . Criminallaw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Direito civil (não criminal) . . . . . . . . . . . . . . . . . . . . . . . . . Um ato: dois tipos de responsabilidade e dois tribunais . . . . . . . . . . . 6 . . A natureza da evidência e da prova . . . . . . . . . . . . . . . . . . . . . 6 . . Uma abordagem mais holística para a análise de risco legal . . . . . . . . . . . . . . . Jurisdição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Jurisdição territorial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Jurisdição prescritiva . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . . Jurisdição prescritiva sobre o conteúdo online . . . . . . . . . . 6 . . . Jurisdição prescritiva sobre crimes de computador . . . . . . . . . 6 . . . Jurisdição prescritiva e proteção de dados (GDPR) . . . . . 6 . . Jurisdição de execução . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . . Apreensão e confisco de bens em geral . . . . . . . . . . . . . 6 . . . Apreensão e confisco de servidores, nomes de domínio e registros 6 . . . Localização territorial do direito de exigir o reembolso do banco depósitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . . Reconhecimento estrangeiro e execução de sentenças civis . . . 6 . . . A prisão de pessoas físicas em território estadual . . . . . . . . . 6 . . .6 Extradição de pessoas físicas . . . . . . . . . . . . . . . . . . 6 . . . Filtragem de conteúdo tecnológico . . . . . . . . . . . . . . . . . 6 . . .8 Pedidos para pessoas no estado que dirigem a produção de dados sob seu controle seja mantido em sistemas de TI nacionais ou estrangeiros 6 . . . Assistência jurídica internacional . . . . . . . . . . . . . . . . . . 66 . . O problema da soberania dos dados . . . . . . . . . . . . . . . . . . . . . . 6 . Leis de privacidade em geral e interceptação eletrônica . . . . . . . . . . . . . . . 68 . . Normas internacionais: fundamentos dodireito internacional dos direitos humanos 68 . . Interceptação por estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Interceptação por pessoas que não sejam estados . . . . . . . . . . . . . . . . . . Aplicação das leis de privacidade - penalidades por violação . . . . . . . . . . . Proteção de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CONTEÚDO | Outubro Página x Página 13 O Conhecimento em Segurança Cibernética www.cybok.org . . Assunto e foco regulatório . . . . . . . . . . . . . . . . . . . . . . . Titular dos dados, dados pessoais (e PII) . . . . . . . . . . . . . . . . . Processando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Controlador e processador . . . . . . . . . . . . . . . . . . . . . . . Princípios corregulatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . Investigação e prevenção do crime e atividades semelhantes . . . . . . 6 . . Medidas de segurança apropriadas . . . . . . . . . . . . . . . . . . . . . . . 6 . . Avaliação e projeto de sistemas de processamento . . . . . . . . . . . . . . .6 Transferência internacional de dados . . . . . . . . . . . . . . . . . . . . . . . . . . .6. Determinações de adequação e Privacy Shield . . . . . . . . . . .6. Transferências sujeitas a salvaguardas . . . . . . . . . . . . . . . . . 8 https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 12/752 . .6. Transferências de acordo com assistência jurídica mútua internacional tratado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . .6. Derrogações que permitem transferências . . . . . . . . . . . . . . . . . 8 . . Personaldatabreachnoti cation . . . . . . . . . . . . . . . . . . . . . . .8 Execução e penalidades . . . . . . . . . . . . . . . . . . . . . . . . . 8 . ComputerCrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Crimes contra sistemas de informação . . . . . . . . . . . . . . . . . . . 8 . . . Acesso impróprio a um sistema . . . . . . . . . . . . . . . . . . 8 . . . Interferência imprópria nos dados . . . . . . . . . . . . . . . . . 8 . . . Interferência imprópria com sistemas . . . . . . . . . . . . . . 8 . . . Interceptação imprópria de comunicação . . . . . . . . . . . 8 . . . Produzindo ferramentas de hacking com intenções impróprias . . . . . . 8 . . Exceções de minimis para crimes contra sistemas de informação . . . . . 8 . . A aplicação e as penas para crimes contra sistemas de informação tems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Atividade de estado garantido . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Atividades de pesquisa e desenvolvimento conduzidas por pessoas não governamentais 8 . .6 Autoajuda desfavorecida: bloqueios e hack-back de software . . . . . . . . . . 8 . .6. Bloqueios de software não divulgados . . . . . . . . . . . . . . . . . . . 86 . .6. Hack-back . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 .6 Contrato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 .6. Contratos online: tempo do contrato e recebimento da comunicação contratual cátion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 .6. Estimular padrões de segurança via contrato . . . . . . . . . . . . . . . 88 .6. . Supplychain . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 .6. . Sistemas de negociação e pagamento fechados . . . . . . . . . . . . . 88 .6. . Liberdade de contrato e suas limitações . . . . . . . . . . . . 8 .6. Garantias e sua exclusão . . . . . . . . . . . . . . . . . . . . . . . 8 .6. Limitações de responsabilidade e exclusões de responsabilidade . . . . . . . . . . . . . .6. Quebra de contrato e remédios . . . . . . . . . . . . . . . . . . . . . . . .6.6 Efeito do contrato em partes não contratantes . . . . . . . . . . . . . . . .6. Contratos de conflito . . . . . . . . . . . . . . . . . . . . . . . . . . Tort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Negligência . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dever de cuidado: até onde vai . . . . . . . . . . . . . . . . . Violação de dever: medir a razoabilidade . . . . . . . . . . 6 . . . A interpretação de 'falha' difere por lugar e muda ao longo tempo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CONTEÚDO | Outubro Página xi Página 14 O Conhecimento em Segurança Cibernética www.cybok.org . . Responsabilidade estrita por produtos defeituosos . . . . . . . . . . . . . . . . . . . . 8 . . Limitar o âmbito da responsabilidade: causalidade legal . . . . . . . . . . . . . . . . Responsabilidade quântica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Atribuindo, repartindo e reduzindo a responsabilidade civil . . . . . . . . . . . . . . . Responsabilidade vicária . . . . . . . . . . . . . . . . . . . . . . . . . . . . Responsabilidade solidária . . . . . . . . . . . . . . . . . . . . . . . . Af rmativedefences . . . . . . . . . . . . . . . . . . . . . . . . .6 Con ictoflaw – delito . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 Propriedade intelectual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8. Noções básicas sobre propriedade intelectual . . . . . . . . . . . . . . . . . . . . .8. Catálogo de direitos de propriedade intelectual . . . . . . . . . . . . . . . . . .8. . Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8. . Patentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8. . Marcas registradas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 .8. . Segredos comerciais . . . . . . . . . . . . . . . . . . . . . . . . . . . .8. Aplicação - remédios . . . . . . . . . . . . . . . . . . . . . . . . . . .8. . Criminabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . .8. . Civilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 13/752 .8. Engenharia reversa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 .8. . Contornar medidas de proteção tecnológica de direitos autorais .8. . Testando um algoritmo criptográfico proprietário . . . . . . . . . .8. Tratamento internacional e conflito de leis . . . . . . . . . . . . . . . . . Intermediários da Internet - proteções contra procedimentos de responsabilidade e retirada . . . . Desmaterialização de documentos e serviços de confiança eletrónica . . . . . . . . . . . Admissão como prova de documentos eletrônicos . . . . . . . . . . . . . . Requisitos de forma e a ameaça de inexigibilidade . . . . . . . . . . Assinaturas eletrônicas e serviços de confiança de identidade . . . . . . . . . . . . . . . Conflito de leis - assinaturas eletrônicas e serviços fiduciários . . . . . . . . . Outras questões regulatórias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Regulamentações específicas da indústria e Diretiva NIS . . . . . . . . . . . . . . 6 . . Incentivar o aumento da segurança cibernética para produtos e serviços . . . . . . Restrições à exportação de tecnologias de segurança . . . . . . . . . . . . . . . Mattersclassi edassecretbyastate . . . . . . . . . . . . . . . . . . 8 . Publicinternationallaw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Atribuir ação a um estado de acordo com o direito internacional . . . . . . . . . . . . . Statecyberoperationsingeneral . . . . . . . . . . . . . . . . . . . . . . . Espionagem cibernética em tempo de paz . . . . . . . . . . . . . . . . . . . . . . . . . Investigação criminal transfronteiriça . . . . . . . . . . . . . .. . . . . . . . Theelawofarmedcon ict . . . . . . . . . . . . . . . . . . . . . . . . . . . Ética . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Obrigações devidas ao cliente . . . . . . . . . . . . . . . . . . . . . . . . . . Códigos de conduta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Teste de vulnerabilidade e divulgação . . . . . . . . . . . . . . . . . . . . . . . Testingforvulnerabilities . . . . . . . . . . . . . . . . . . . . . . . Divulgação de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . Facilitar e agir sobre divulgações de vulnerabilidade . . . . . . 6 . Conclusão: LegalRiskManagement . . . . . . . . . . . . . . . . . . . . . . . Referência Cruzada de Tópicos VS Material de Referência . . . . . . . . . . . . . . . . CONTEÚDO | Outubro Página xii Página 15 O Conhecimento em Segurança Cibernética www.cybok.org Fatores humanos . Introdução: Compreendendo o comportamento humano em segurança . . . . . . . . . . . . 6 . Segurança utilizável - o básico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Ajustando a tarefa ao humano . . . . . . . . . . . . . . . . . . . . . . . . . . . Capacidades e limitações humanas gerais . . . . . . . . . . . . . Objetivos e tarefas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . InteractionContext . . . . . . . . . . . . . . . . . . . . . . . . 6 . . . Capacidades e limitações do dispositivo . . . . . . . . . . . . HumanError . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . Conscientização e educação sobre segurança cibernética . . . . . . . . . . . . . . . . . . . . . 6 . . Novas abordagens para apoiar a conscientização da segurança e mudança de comportamento 6 . . Modelos mentais de riscos e defesas cibernéticas . . . . . . . . . . . . . . . 6 . PositiveSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 .6 StakeholderEngagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 .6. Funcionários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 .6. Desenvolvedores de software e segurança utilizável . . . . . . . . . . . . . . . . . 6 . Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Privacidade e direitos online . PrivacyasCon dentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dentialidade DataCon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Controle de acesso baseado em criptografia . . . . . . . . . . . . . . . . . Controle de inferência baseado em ofuscação . . . . . . . . . . . . . . 8 . . MetadataCon dentiality . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . PrivacyasControl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Suporte para con guração de configurações privadas . . . . . . . . . . . . . . . . 88 https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 14/752 . . Suporte para negociação de política de privacidade . . . . . . . . . . . . . . . . . . . 88 . . Suporte para interpretabilidade da política de privacidade . . . . . . . . . . . . . . . . . 8 . PrivacyasTransparency . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Transparência baseada em feedback . . . . . . . . . . . . . . . . . . . . . . . 8 . . Transparência baseada em auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . Tecnologias de privacidade e valores democráticos . . . . . . . . . . . . . . . . . . . . Tecnologias de privacidade como suporte para sistemas políticos democráticos . . . . . Resistência à censura e liberdade de expressão . . . . . . . . . . . . . . . PrivacyEngineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 Conclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II Ataques e defesas 6 tecnologias de malware e ataque 6. Ataxonomia de Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.. Programas potencialmente indesejados (PUPs) . . . . . . . . . . . . . . . . . . 6. MaliciousActivitiesbyMalware . . . . . . . . . . . . . . . . . . . . . . . . . . 6.. TheUndergroundEco-System . . . . . . . . . . . . . . . . . . . . . . . 6. MalwareAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.. AnalysisTechniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 6.. . StaticAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . 8 6.. . Dynamicanalysis . . . . . . . . . . . . . . . . . . . . . . . . . 8 6.. . Fuzzing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CONTEÚDO | Outubro Página xiii Página 16 O Conhecimento em Segurança Cibernética www.cybok.org 6.. . Execução Simbólica . . . . . . . . . . . . . . . . . . . . . . . . 6.. . ConcolicExecution . . . . . . . . . . . . . . . . . . . . . . . . 6.. AnalysisEnvironments . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.. . Requisitos de segurança e ambiente vivo . . . . . . . . . . 6.. . VirtualisedNetworkEnvironments . . . . . . . . . . . . . . . 6.. Técnicas de anti-análise e evasão . . . . . . . . . . . . . . . . . . 6.. . Evitando os métodos de análise . . . . . . . . . . . . . . . . . . 6.. . Identificando os ambientes de análise . . . . . . . . . . . . . 6. MalwareDetection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.. Identificando a presença de malware . . . . . . . . . . . . . . . . . . . 6.. . FindingMalwareinaHaystack . . . . . . . . . . . . . . . . . 6.. Detecção de ataques de malware . . . . . . . . . . . . . . . . . . . . . . . 6.. . Monitoramento baseado em host e em rede . . . . . . . . . . 6.. . Análise de segurança baseada em aprendizado de máquina . . . . . . . . . . 6.. . Evasão, contramedidas e limitações . . . . . . . . . . 6. MalwareResponse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.. Interrupção das operações de malware . . . . . . . . . . . . . . . . . . . . . 6.. . Evasão e contra-medidas . . . . . . . . . . . . . . . . . 6.. Atribuição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.. . Evasão e contra-medidas . . . . . . . . . . . . . . . . . Comportamento Adversarial . ACaracterização de Adversários . . . . . . . . . . . . . . . . . . . . . . . . . . TheElementsofaMaliciousOperation . . . . . . . . . . . . . . . . . . . . . . . Modelos para compreender as operações maliciosas . . . . . . . . . . . . . . . . . . . 8 Operações de segurança e gerenciamento de incidentes 8. Conceitos fundamentais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.. Trabalhe owsandvocabulary . . . . . . . . . . . . . . . . . . . . . . . . . 8.. Princípios arquitetônicos . . . . . . . . . . . . . . . . . . . . . . . . . . . 8. Monitor: fontes de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8.. Networktraf c . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.. Networkaggregates: Net ow . . . . . . . . . . . . . . . . . . . . . . . https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 15/752 8.. Informações sobre infraestrutura de rede . . . . . . . . . . . . . . . . . . . .8.. . Nomenclatura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8.. . Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8.. Logs de aplicativos: logs e arquivos do servidor web . . . . . . . . . . . . . . . . 6 8.. . Webserverlogs . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8.. . Arquivos e documentos . . . . . . . . . . . . . . . . . . . . . . . 6 8.. Systemandkernellogs . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8. .6 Syslog . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8. Analisar: métodos de análise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8.. Detecção mal utilizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8.. Detecção de anomalias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8.. . Modelos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 8.. . Especi cação versus aprendizagem . . . . . . . . . . . . . . . . . . 66 8.. . Casos de adesão . . . . . . . . . . . . . . . . . . . . . 6 8.. Combinação de mau uso e detecção de anomalias . . . . . . . . . . . . . . . . . 6 8.. Machinelearning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 8.. Teste e validação de sistemas de detecção de intrusão . . . . . . . . . . . 68 CONTEÚDO | Outubro Página xiv Página 17 O Conhecimento em Segurança Cibernética www.cybok.org 8. .6 Thebase-ratefallacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.. Contribuição do SIEM para análise e detecção . . . . . . . . . . . . . 8. Plano: Informações de segurança e gerenciamento de eventos . . . . . . . . . . . . . . . 8.. Datacollection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.. Correlação de alerta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.. Operações de segurança e benchmarking . . . . . . . . . . . . . . . . . . 8. Executar: Mitigação e contramedidas . . . . . . . . . . . . . . . . . . . . 8.. IntrusionPreventionSystems . . . . . . . . . . . . . . . . . . . . . . . 8.. Negação de serviço . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8.. Plataformas e contramedidas SIEM . . . . . . . . . . . . . . . . . . 8.. SOAR: Avaliação de impacto e risco . . . . . . . . . . . . . . . . . . . . 8 8.. Sitereliabilityengineering . . . . . . . . . . . . . . . . . . . . . . . . . 8.6 Conhecimento: Inteligência e análises . . . . . . . . . . . . . . . . . . . . . . . 8,6. Gestão do conhecimento da cibersegurança . . . . . . . . . . . . . . . . . . 8 8,6. Honeypots e redes de telefone . . . . . . . . . . . . . . . . . . . . . . . . . 8 8,6. Inteligência de ameaças cibernéticas . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8,6. Consciência situacional . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8. Fatores humanos: Gerenciamento de incidentes . . . . . . . . . . . . . . . . . . . . . . 8 8.. Prepare: Planejamento de gerenciamento de incidentes . . . . . . . . . . . . . . . . . 8 8.. Identificador: Resposta ao incidente real . . . . . . . . . . . . . . . . . . . . . 8 8.. Acompanhamento: atividades pós-incidente . . . . . . . . . . . . . . . . . . . . . 8 8.8 Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 forense 8 . De nições e modelos conceituais . . . . . . . . . . . . . . . . . . . . . . . . . . LegalConcernsandtheDaubertStandard . . . . . . . . . . . . . . . . . . De nições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ConceptualModels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CognitiveTaskModel . . . . . . . . . . . . . . . . . . . . . . . . . Bottom-UpProcesses . . . . . . . . . . . . . . . . . . . . . . 6 . . . Top-DownProcesses . . . . . . . . . . . . . . . . . . . . . . . . . . TheForagingLoop . . . . . . . . . . . . . . . . . . . . . . . . . . . TheSense-MakingLoop . . . . . . . . . . . . . . . . . . . . . 8 . . .6 Extração de dados x análise x interpretação jurídica . . . . . 8 . . . ForensicProcess . . . . . . . . . . . . . . . . . . . . . . . . . . OperatingSystemAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . StorageForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DataAbstractionLayers . . . . . . . . . . . . . . . . . . . . . . . DataAcquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . FilesystemAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BlockDeviceAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 16/752 . . Recuperação de dados e escultura de conteúdo de arquivo . . . . . . . . . . . . . . . . . . . 6 . MainMemoryForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . ApplicationForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CaseStudy: theWebBrowser . . . . . . . . . . . . . . . . . . . . . . . . CloudForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CloudBasics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Desafios forenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SaaSForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CONTEÚDO | Outubro Página xv Página 18 O Conhecimento em Segurança Cibernética www.cybok.org .6 ArtifactAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. Encontrando um objeto de dados conhecido: Hashing criptográfico . . . . . . . . . . .6. Análise em nível de bloco . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. ApproximateMatching . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. Artefatos nativos da nuvem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III Segurança de Sistemas Criptografia . Matemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CryptographicSecurityModels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SyntaxofBasicSchemes . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definições básicas de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . HardProblems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SetupAssumptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Simulação e segurança de UC . . . . . . . . . . . . . . . . . . . . . . . . . 8 . Construções teoricamente seguras da informação . . . . . . . . . . . . . . . . . . . One-TimePad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SecretSharing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SymmetricPrimitives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BlockCiphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . StreamCiphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HashFunctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Merkle-DamgårdConstruction . . . . . . . . . . . . . . . . . . . . SpongeConstructions . . . . . . . . . . . . . . . . . . . . . . . . . RandomOracleModel . . . . . . . . . . . . . . . . . . . . . . . Criptografia e autenticação simétricas . . . . . . . . . . . . . . . . . . . . . . Modos de operação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . MessageAuthenticationCodes . . . . . . . . . . . . . . . . . . . . . . 6 . . Derivação de teclas e funções de saída extensíveis . . . . . . . . . . . . 6 . . Merkle-TreesandBlockchains . . . . . . . . . . . . . . . . . . . . . . . .6 PublicKeyEncryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. KEM-DEMPhilosophy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 .6. ConstructionsbasedonRSA . . . . . . . . . . . . . . . . . . . . . . . . 8 .6. ConstructionsbasedonEllipticCurves . . . . . . . . . . . . . . . . . . .6. Construções baseadas em rede . . . . . . . . . . . . . . . . . . . . . . . . . PublicKeySignatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RSA-PSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DSA, EC-DSA andSchnorrSignatures . . . . . . . . . . . . .. . . . . . .8 Protocolos padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8. Protocolos de autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . .8. . Protocolos baseados em criptografia . . . . . . . . . . . . . . . . . . . .8. . MessageAuthentication-BasedProtocols . . . . . . . . . . . .8. . Baseado em conhecimento zero . . . . . . . . . . . . . . . . . . . . . . .8. Principais protocolos de acordo . . . . . . . . . . . . . . . . . . . . . . . . . . .8. . KeyTransport . . . . . . . . . . . . . . . . . . . . . . . . . . . https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 17/752 .8. . Dif e – HellmanKeyAgreement . . . . . . . . . . . . . . . . . CONTEÚDO | Outubro Página xvi Página 19 O Conhecimento em Segurança Cibernética www.cybok.org .8. . Protocolo estação a estação . . . . . . . . . . . . . . . . . . . . 6 . Protocolos avançados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . ObliviousTransfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PrivateInformationRetrievalandORAM . . . . . . . . . . . . . . . . . . . Conhecimento zero . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . . Protocolos Σ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SecureMulti-PartyComputation . . . . . . . . . . . . . . . . . . . . . . . Criptografia / assinaturas de chave pública com propriedades especiais . . . . . . . . . . . . . GroupSignatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RingSignatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BlindSignatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Criptografia baseada em identidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . Criptografia Linearmente Homomórfica . . . . . . . . . . . . . . . . . . . . . . .6FullyHomomorphicEncryption . . . . . . . . . . . . . . . . . . . . . . . ImplementationAspects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sistemas operacionais e virtualização . Modelo de ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . O papel dos sistemas operacionais e seu design na segurança . . . . . . . . . . . 6 . Princípios e modelos de segurança do sistema operacional . . . . . . . . . . . . . . . . 66 . . Princípios de segurança em sistemas operacionais . . . . . . . . . . . . . . . . . 6 . . Modelos de segurança em sistemas operacionais . . . . . . . . . . . . . . . . . . . 68 . Primitivos para isolamento e mediação . . . . . . . . . . . . . . . . . . . . . . . 6 . . Autenticação e identificação . . . . . . . . . . . . . . . . . . . . . . . Controladores de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Capacidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Acesso físico e exclusão segura . . . . . . . . . . . . . . . . . . . . . Proteção de memória e espaços de endereço . . . . . . . . . . . . . . . . . . .6 Extensões de hardware modernas para proteção da memória . . . . . . . . . . . . Anéis de proteção . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 Um anel para governar todos eles. E outro. E outro. . . . . . . . . . . . 8 . . Dispositivos simples e o IoT . . . . . . . . . . . . . . . . . . . . . . . . 8 . OperatingSystemHardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Ocultação de informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Restrições de controle . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Particionamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Verificações de código e de integridade de dados . . . . . . . . . . . . . . . . . . . . . . 86 . . Detecção de anomalias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 .6 Sistemas operacionais, hipervisores - e as áreas relacionadas? . . . . . . . . . . 88 . EmbracingSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Segurança de Sistemas Distribuídos . ClassesofDistributedSystemsandVulnerabilities . . . . . . . . . . . . . . . . . ClassesofDistributedSystems . . . . . . . . . . . . . . . . . . . . . . . . ClassesofVulnerabilities & Threats . . . . . . . . . . . . . . . . . . . . 6 . . . Controle de acesso / admissão e gerenciamento de ID . . . . . . . . . . . . DataTransportation . . . . . . . . . . . . . . . . . . . . . . . . . . Serviços de gestão e coordenação de recursos . . . . . . 8 . . . DataSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . Sistemas Distribuídos: Modelos PP Descentralizados . . . . . . . . . . . . . . . . . 8 CONTEÚDO | Outubro Página xvii Página 20 O Conhecimento em Segurança Cibernética https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 18/752 www.cybok.org . . Protocolos P não estruturados . . . . . . . . . . . . . . . . . . . . . . . . . . Protocolos P StructuredP . . . . . . . . . . . . . . . . . . . . . . . . . . . . HybridP PProtocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HierarchicalP PProtocols . . . . . . . . . . . . . . . . . . . . . . . . . . Sistemas Distribuídos: Atacando Sistemas PP . . . . . . . . . . . . . . . . . . . . . AttackTypes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ataques e suaMitigação . . . . . . . . . . . . . . . . . . . . . . . . . Sistemas Distribuídos: Clustering de recursos coordenados . . . . . . . . . . . . . 6 . . SystemsCoordinationStyles . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Comunicação de grupo confiável e segura . . . . . . . . . . . . . . . 8 . . CoordinationProperties . . . . . . . . . . . . . . . . . . . . . . . . . . . . Esquema de coordenação e gerenciamento de replicação: a base por trás AttackMitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sistemas Distribuídos: Classes de Coordenação e Capacidade de ataque . . . . . . . . . . . . A aula de coordenação de recursos - visão da infraestrutura . . . . . . . . . . A aula de coordenação de serviços - Visualização de aplicativos . . . . . . . . . . 8 Autenticação, autorização e responsabilidade (AAA) . Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . Conteúdo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autorização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . AccessControl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CoreConcepts . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . . SecurityPolicies . . . . . . . . . . . . . . . . . . . . . . . . . . . . Role-basedAccessControl . . . . . . . . . . . . . . . . . . . . . . Attribute-basedAccessControl . . . . . . . . . . . . . . . . . . . . Code-basedAccessControl . . . . . . . . . . . . . . . . . . . . . .6 MobileSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DigitalRightsManagement . . . . . . . . . . . . . . . . . . . . . .8 UsageControl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EnforcingAccessControl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DelegaçãoeRevocação . . . . . . . . . . . . . . . . . . . . . . ReferenceMonitor . . . . . . . . . . . . . . . . . . . . . . . . . . . Tipos de monitores de referência . . . . . . . . . . . . . . . . . . . . Teoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SecurityModels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EnforceablePolicies . . . . . . . . . . . .. . . . . . . . . . . . . . AccessControlLogics . . . . . . . . . . . . . . . . . . . . . . . AccessControlinDistributedSystems . . . . . . . . . . . . . . . . . . . . . . . . CoreConcepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Políticas baseadas na origem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . . Cross-siteScripting . . . . . . . . . . . . . . . . . . . . . . . . 6 . . . Cross-originResourceSharing . . . . . . . . . . . . . . . . . . . FederatedAccessControl . . . . . . . . . . . . . . . . . . . . . . . . . . . Criptografia e controle de acesso . . . . . . . . . . . . . . . . . . . . . . . . Attribute-BasedEncryption . . . . . . . . . . . . . . . . . . . 8 . . . Key-centricAccessControl . . . . . . . . . . . . . . . . . . . 8 . Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 CONTEÚDO | Outubro Página xviii Página 21 O Conhecimento em Segurança Cibernética www.cybok.org . . Gerenciamento de identidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . UserAuthentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Biometria para autenticação . . . . . . . . . . . . . . . . . . . . . AuthenticationTokens . . . . . . . . . . . . . . . . . . . . . . https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 19/752 . . . BehaviouralAuthentication . . . . . . . . . . . . . . . . . . . . . . FA de autenticação de dois fatores . . . . . . . . . . . . . . . . . . . Autenticação em Sistemas Distribuídos . . . . . . . . . . . . . . . . . . . . . Needham-SchroederProtocol . . . . . . . . . . . . . . . . . . . . . Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OAuth –OpenIDConnect . . . . . . . . . . . . . . . . . . . 6 . . FacetsofAuthentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PatternsforEntityAuthentication . . . . . . . . . . . . . . . . . . . CorrespondenceProperties . . . . . . . . . . . . . . . . . . . 8 . . . Autenticação como Associação Verificada . . . . . . . . . . . . . . . . Autenticação para crédito ou para responsabilidade . . . . . . . . . .6 Responsabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. Aspectos técnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. . AuditPolicies . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. . Preservando o Evidência . . . . . . . . . . . . . . . . . . . . . .6. . Analisando as evidências . . . . . . . . . . . . . . . . . . . . . . .6. . Avaliando a evidência . . . . . . . . . . . . . . . . . . . . . .6. Privacidade e responsabilidade . . . . . . . . . . . . . . . . . . . . . . . . . .6. DistributedLogs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6. Conceitos relacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV Segurança da plataforma de software Segurança de software . Categorias de Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . MemoryManagementVulnerabilities . . . . . . . . . . . . . . . . . . . 6 . . StructuredOutputGenerationVulnerabilities . . . . . . . . . . . . . . . 6 . . RaceConditionVulnerabilities . . . . . . . . . . . . . . . . . . . . . . . 6 . . APIVulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Vulnerabilidades do canal lateral . . . . . . . . . . . . . . . . . . . . . . . . 6 . .6 Discussão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . .6. Uma melhor conexão com os objetivos gerais de segurança precisa de mais especificações complexas . . . . . . . . . . . . . . . . . . . . . . 6 . .6. As vulnerabilidades do canal lateral são diferentes . . . . . . . . . . . . 66 . .6. Vulnerabilidades como falhas . . . . . . . . . . . . . . . . . . . . . 66 . Prevenção de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . LanguageDesignandTypeSystems . . . . . . . . . . . . . . . . . . . 6 . . . Vulnerabilidades de gerenciamento de memória . . . . . . . . . . . . . . 68 . . . Vulnerabilidades de geração de saída estruturadas . . . . . . . . . . 68 . . . Vulnerabilidades de condição racial . . . . . . . . . . . . . . . . . . 6 . . . Outras vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . 6 . . APIDesign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CONTEÚDO | Outubro Página xix Página 22 O Conhecimento em Segurança Cibernética www.cybok.org . . CodingPractices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Detecção de Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . StaticDetection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Detecção heurística estática . . . . . . . . . . . . . . . . . . . . . . . Verificação estática do som . . . . . . . . . . . . . . . . . . . . . . . DynamicDetection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Monitoramento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gerando execuções relevantes . . . . . . . . . . . . . . . . . . Mitigando a exploração de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . 6 . . RuntimeDetectionofAttacks . . . . . . . . . . . . . . . . . . . . . . . 6 . . AutomatedSoftwareDiversity . . . . . . . . . . . . . . . . . . . . . . . . . LimitingPrivileges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 20/752 . . SoftwareIntegrityChecking . . . . . . . . . . . . . . . . . . . . . . . . 8 Segurança Web e móvel 8 . Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . FundamentalConceptsandApproaches . . . . . . . . . . . . . . . . . . . . . 86 . . Appi cation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Webi cação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . . UniformResourceLocators . . . . . . . . . . . . . . . . . . . 88 . . . HypertextTransferProtocol . . . . . . . . . . . . . . . . . . . 88 . . . HypertextMarkupLanguage . . . . . . . . . . . . . . . . . . 8 . . . CascadingStyleSheets . . . . . . . . . . . . . . . . . . . . . . . . JavaScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 WebAssembly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WebViews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ApplicationStores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sandboxing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ApplicationIsolation . . . . . . . . . . . . . . . . . . . . . . . . . . ContentIsolation . . . . . . . . . . . . . . . . . . . . . . . . . . . Controle de acesso baseado em diálogo de permissão . . . . . . . . . . . . . . . . . . . . TheSecurityPrincipals . . . . . . . . . . . . . . . . . . . . . . . . . TheReferenceMonitor . . . . . . . . . . . . . . . . . . . . . . . . . TheSecurityPolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . DifferentPermissionApproaches . . . . . . . . . . . . . . . . . .6 WebPKIeHTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . . HTTPAuthentication . . . . . . . . . . . . . . . . . . . . . . . 8 . . . MobileDeviceAuthentication . . . . . . . . . . . . . . . . . . . .8 Cookies . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Senhas e alternativas . . . . . . . . . . . . . . . . . . . . . . . . . . . PasswordPolicies . . . . . . . . . . . . . . . . . . . . . . . . . . . PasswordStrengthMeters . . . . . . . . . . . . . . . . . . . . . . . PasswordManagers . . . . . . . . . . . . . . . . . . . . . . . . . . Multi-FactorAuthentication . . . . . . . . . . . . . . . . . . . . . . WebAuthn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 OAuth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . FrequentSoftwareUpdates . . . . . . . . . . . . . . . . . . . . . . . . . Vulnerabilidades e atenuações do lado do cliente . . . . . . . . . . . . . . . . . . . . CONTEÚDO | Outubro Página xx Página 23 O Conhecimento em Segurança Cibernética www.cybok.org . . Phishing e clickjacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Clickjacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ClientSideStorage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ClientSideStorageintheBrowser . . . . . . . . . . . . . . . 6 . . . Armazenamento do lado do cliente em aplicativos móveis . . . . . . . . . . . 6 . . Ataques físicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Smudgeattacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ShoulderSur ng . . . . . . . . . . . . . . . . . . . . . . . . . . ServerSideVulnerabilitiesandMitigations . . . . . . . . . . . . . . . . . . . . . . InjectionVulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SQL-Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . . CommandInjections . . . . . . . . . . . . . . . . . . . . . . . . . . UserUploadedFiles . . . . . . . . . . . . . . . . . . . . . . . . . . LocalFileInclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . Cross-SiteScripting (XSS) . . . . . . . . . . . . . . . . . . . . . . .6 Cross-SiteRequestForgery . . . . . . . . . . . . . . . . . . . . . Erros de configuração do servidor e componentes vulneráveis . . . . . . . . . . . Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LoadBalancers . . . . . . . . . . . . . . . . . . . . . . . . . . https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 21/752 . . . Bancos de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Ciclo de vida do software seguro 6. Motivação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 6. Processos de ciclo de vida de software seguros prescritivos . . . . . . . . . . . . . . . . 6.. SecureSoftwareLifecycleProcesses . . . . . . . . . . . . . . . . . . . 6.. . MicrosoftSecurityDevelopmentLifecycle (SDL) . . . . . . . 6.. . Pontos de contato . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 6.. . SAFECode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 6.. Comparando os modelos de ciclo de vida de software seguro . . . . . . . . . . . . 6. Adaptações do Ciclo de Vida do Software Seguro . . . . . . . . . . . . . . . . . . 6.. Desenvolvimento Ágil de Software e DevOps . . . . . . . . . . . . . . . . . 6.. Móvel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.. CloudComputing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 6.. InternetofThings (IoT) . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 6.. RoadVehicles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. .6 ECommerce / PaymentCardIndustry . . . . . . . . . . . . . . . . . . . 6. Avaliação do Ciclo de Vida do Software Seguro . . . . . . . . . . . . . . . . . . . . . 6.. SAMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.. BSIMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.. TheCommonCriteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. AdoptingaSecureSoftwareLifecycle . . . . . . . . . . . . . . . . . . . . . . . Segurança de infraestrutura V Segurança de rede . Arquitetura da Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Protocolos de rede e vulnerabilidade . . . . . . . . . . . . . . . . . . . . . . . . CONTEÚDO | Outubro Página xxi Página 24 O Conhecimento em Segurança Cibernética www.cybok.org . Segurança da camada de aplicativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . PublicKeyInfrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . DNSSecurityExtensions . . . . . . . . . . . . . . . . . . . . . . . . . . . . HyperTextTransferProtocolSecure (HTTPS) . . . . . . . . . . . . . . 8 . . Segurança NetworkTimeProtocol (NTP) . . . . . . . . . . . . . . . . . . 8 . Segurança da camada de transporte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 . . Aperto de mão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Derivação de chave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Transferência de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Conexões UDP rápidas com a Internet (QUIC) . . . . . . . . . . . . . . . . . 6 . NetworkLayerSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . IPMasquerading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Segurança IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . RoutingProtocolSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . 66 . . . Segurança do Border Gateway Protocol (BGP) . . . . . . . . . . . . 66 .6 LinkLayerSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 .6. IEEE8. Autenticação baseada em XPort . . . . . . . . . . . . . . . . . . 6 .6. . ExtensibleAuthenticationProtocol (EAP) . . . . . . . . . . . 68 .6. AttackOnEthernetSwitch . . . . . . . . . . . . . . . . . . . . . . . . . 6 . WirelessLANSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RobustSecurityNetwork (RSN) . . . . . . . . . . . . . . . . . . . . . . .8 NetworkDefenceTools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8. PacketFilters / Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . .8. ApplicationGateway (AG) . . . . . . . . . . . . . . . . . . . . . . . . . .8. Circuit-levelGateway (CG) . . . . . . . . . . . . . . . . . . . . . . . . . .8. IntrusionDetectionSystems (IDS) . . . . . . . . . . . . . . . . . . . . . .8. AnIntrusionPreventionSystem (IPS) . . . . . . . . . . . . . . . . . . . 6 https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 22/752 .8.6 NetworkArchitectureDesign . . . . . . . . . . . . . . . . . . . . . . . . . AdvancedNetworkSecurityTopics . . . . . . . . . . . . . . . . . . . . . . . . . . SoftwareDe nedNetwork, virtualização . . . . . . . . . . . . . . . . . . . Segurança da Internet das Coisas (IoT) . . . . . . . . . . . . . . . . . . . . . . 8 8 Segurança de Hardware 8 8. Ciclo de projeto de hardware e sua ligação com a segurança de hardware . . . . . . . . . . . . . 8 8.. Shortbackgroundonhardwaredesignprocess . . . . . . . . . . . 8 8.. Rootoftrust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8.. Modelo de ameaça . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8.. Raiz de confiança, modelo de ameaça e camadas de abstração de design de hardware . . 8 8. Medir a segurança do hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8.. FIPS - . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . 8 8.. Critérios comuns e EMVCo . . . . . . . . . . . . . . . . . . . . . . . 8 8.. SESIP: Padrão de avaliação de segurança para plataformas IoT . . . . . . . . . 88 8. SecurePlatforms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8.. HSMHardwareSecurityModule . . . . . . . . . . . . . . . . . . . . . . 8 8.. SecureElementandSmartcard . . . . . . . . . . . . . . . . . . . . . . 8 8.. TrustedPlatformModule (TPM) . . . . . . . . . . . . . . . . . . . . . . 8. Suporte de hardware para segurança de software em nível de arquitetura . . . . . . . . . . 8.. TrustedExecutionEnvironment (TEE) . . . . . . . . . . . . . . . . . . . 8.. IBM 8Securecoprocessor . . . . . . . . . . . . . . . . . . . . . . . CONTEÚDO | Outubro Página xxii Página 25 O Conhecimento em Segurança Cibernética www.cybok.org 8.. ARMTrustzone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.. Arquiteturas de módulo protegido e soluções de co-design de HWSW . . . 8.. Soluções leves e individuais . . . . . . . . . . . . . . . . . . . 8. Projeto de hardware para algoritmos criptográficos em nível RTL . . . . . . . . . . . 8.. Processo de design de RTL para ASIC ou FPGA . . . . . . . . . . . . . . . . 8.. Algoritmos criptográficos em nível RTL . . . . . . . . . . . . . . . . . . . 6 8.6 Ataques de canal lateral, ataques de falha e contramedidas . . . . . . . . . . . . 8,6. Ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8,6. Contramedidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8. Blocos de construção geradores de entropia: números aleatórios, fisicamente não clonáveis funções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8.. Randomnumbergeneration . . . . . . . . . . . . . . . . . . . . . . . . 6 8.. Funções fisicamente não clonáveis . . . . . . . . . . . . . . . . . . . . . . 6 8.8 Hardwaredesignprocess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8,8. Projeto e fabricação de circuitos integrados de silício . . . . . . . . . . . 6 8,8. Trojancircuits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8,8. Circuitleveltechniques . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8,8. BoardLevelSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8,8. Tempo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8. Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Segurança de sistemas ciber-físicos 6 . Sistemas Ciber-Físicos e seus Riscos de Segurança . . . . . . . . . . . . . . . . . 6 8 . . Características do CPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Proteções contra eventos naturais e acidentes . . . . . . . . . . . 6 . . SecurityandPrivacyConcerns . . . . . . . . . . . . . . . . . . . . . . . 6 . . . AttacksAgainstCPSs . . . . . . . . . . . . . . . . . . . . . . 6 . . . High-Pro le, Real-WorldAttacksAgainstCPSs . . . . . . . . 6 . CrosscuttingSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8 . . PreventingAttacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8 . . Detectando ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . MitigatingAttacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . CPSDomains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . IndustrialControlSystems . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . ElectricPowerGrids . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 23/752 . . . SmartGrids . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8 . . Sistemas de Transporte e Veículos Autônomos . . . . . . . . . . . 6 . . . Veículos terrestres, aéreos e marítimos . . . . . . . . . . . . . . . . . . 6 . . Robótica e Manufatura Avançada . . . . . . . . . . . . . . . . . . 6 . . Dispositivos Médicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . .6 A Internet das Coisas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . PolíticaeAspectosolíticosdeCPSSecurity . . . . . . . . . . . . . . . . . . . 6 . . Incentivos e regulamentação . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Cyber-Con ict . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 6 . . Práticas da indústria e padrões . . . . . . . . . . . . . . . . . . . . . 6 8 Segurança da camada física e telecomunicações 6 . Esquemas da camada física para confidencialidade, integridade e controle de acesso . . . 6 . . KeyEstablishmentbasedonChannelReciprocity . . . . . . . . . . . . 6 . . Abordagens suportadas por MIMO: Cegamento ortogonal, Forçamento zero . . . 6 CONTEÚDO | Outubro Página xxiii Página 26 O Conhecimento em Segurança Cibernética www.cybok.org . . SecrecyCapacity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . FriendlyJamming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Usando a camada física para proteger a integridade dos dados . . . . . . . . . . . . . . 6 6 . .6 Baixa probabilidade de interceptação e comunicação oculta . . . . . . . . 6 6 . Comunicação Resiliente a Jamming e Jamming . . . . . . . . . . . . . . . . 6 . . Técnicas de espectro de difusão coordenado . . . . . . . . . . . . . . . . 6 . . Técnicas de Espectro de Espalhamento Descoordenado . . . . . . . . . . . . . . 6 8 . . Aniquilação de sinal e sombra . . . . . . . . . . . . . . . . . . 6 . Identificação da camada física . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . DeviceunderIdenti cation . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Identi cationSignals . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . DeviceFingerprints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . . Ataques à identificação da camada física . . . . . . . . . . . . . . . . . 6 . Limite de distância e posicionamento seguro . . . . . . . . . . . . . . . . . . . . 6 . . DistanceBoundingProtocols . . . . . . . . . . . . . . . . . . . . . . . 6 . . Técnicas de medição de distância . . . . . . . . . . . . . . . . . . . . 6 . . Ataques da camada física na medição segura de distâncias . . . . . . . 6 . . SecurePositioning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . CompromisingEmanationsandSensorSpoo ng . . . . . . . . . . . . . . . . 6 8 . . CompromisingEmanations . . . . . . . . . . . . . . . . . . . . . . . . 6 8 . . SensorCompromise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 .6 Segurança da camada física de tecnologias de comunicação selecionadas . . . . . . . 66 .6. Comunicação próxima (NFC) . . . . . . . . . . . . . . . . . . . . . . 66 .6. AirTraf cCommunicationNetworks . . . . . . . . . . . . . . . . . . . 66 .6. CellularNetworks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 .6. GNSSSecurityandSpoo ngAttacks . . . . . . . . . . . . . . . . . . . 66 Apêndice VI 6 Bibliografia 6 Siglas Glossário 8 https://translate.google.com/translate?hl=pt-BR&prev=_t&sl=auto&tl=pt&u=https://www.cybok.org 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 24/752 CONTEÚDO | Outubro Página xxiv Página 27 Capítulo Introdução Andrew Martin University of Oxford Awais Rashid University of Bristol Howard Chivers University of York George Danezis University College de Londres Steve Schneider University of Surrey Emil Lupu Imperial College de Londres 26/11/2020 O Corpo de Conhecimento de Segurança Cibernética https://translate.googleusercontent.com/translate_f 25/752 Página 28 O Conhecimento em Segurança Cibernética www.cybok.org A segurança cibernética está se tornando um elemento importante nos currículos de
Compartilhar