O que é a segurança cibernética

Prévia do material em texto

Capítulo 1
1.1- O que é a segurança cibernética?
A segurança cibernética é o esforço contínuo para proteger esses sistemas em rede e todos os dados de usos não autorizados ou prejudiciais.
Seus dados
Qualquer informação sobre você pode ser considerada seus dados. Essa informação pessoal pode identificá-lo unicamente como um indivíduo.
Registros médicos
Cada vez que você vai ao médico, mais informações são adicionadas aos seus registros de saúde eletrônicos (Electronic Health Records - EHRs). A prescrição do seu médico de família torna-se parte do seu EHR. O EHR inclui sua saúde física, saúde mental e outras informações pessoais que podem não estar relacionadas aos registros médicos
Registros de educação
Ao longo da sua vida escolar e acadêmica, informações sobre notas e resultados de testes, presenças, cursos concluídos, prêmios e graus concedidos, além de relatórios disciplinares, podem ter sido adicionadas no seu registro escolar
Registros de emprego e financeiros
Seus registros financeiros podem incluir informações sobre receitas e despesas. Os registros fiscais poderiam incluir canhotos de holerites, faturas de cartão de crédito, sua classificação de crédito e outras informações bancárias
Seus dispositivos de computação
Seus dispositivos de computação não armazenam somente dados. Agora, esses dispositivos tornaram-se o portal para seus dados e geram informações sobre você. Com todas essas informações sobre você disponíveis on-line, seus dados pessoais tornaram-se rentáveis para os hackers.
Eles querem seu dinheiro
Se você tem algo de valor, os criminosos querem. Os criminosos são muito criativos quando tentam induzir você a gastar dinheiro. Eles não apenas roubam seu dinheiro, também poderiam roubar sua identidade e arruinar sua vida.
Eles querem sua identidade
Além de roubar seu dinheiro para obter um ganho monetário de curto prazo, ao roubar sua identidade, os criminosos querem lucros a longo prazo. As credenciais pessoais também podem resultar no acesso a dados corporativos e governamentais.
Tipo de dados corporativos
Dados Tradicionais 
Essa propriedade intelectual pode ser considerada um segredo comercial. Perder essas informações pode ser desastroso para o futuro da empresa. As informações financeiras, como declarações de rendimentos, balanços e demonstrações de fluxo de caixa de uma empresa, proporcionam detalhes sobre a integridade da empresa.
A Internet das Coisas e Big Data
Com o surgimento da Internet das Coisas (IoT), há muito mais dados para gerenciar e proteger. A IoT é uma grande rede de objetos físicos, como sensores e equipamentos, que se estendem além da rede tradicional de computadores.
Todas essas conexões, além de termos maior capacidade de armazenamento e de serviços de armazenamento na nuvem e na virtualização, geraram o crescimento exponencial dos dados. Esses dados criaram uma nova área de interesse na tecnologia e nos negócios, chamada "Big Data"
Confidencialidade, integridade e disponibilidade
Confidencialidade
Um outro termo para confidencialidade seria privacidade. As políticas da empresa devem restringir o acesso às informações ao pessoal autorizado e verificar se apenas os indivíduos autorizados visualizam esses dados.
Integridade
A integridade é a precisão, a consistência e a confiabilidade dos dados durante todo o seu ciclo de vida. Os dados devem permanecer inalterados durante o trânsito e não modificados por entidades não autorizadas.
*As somas de verificação são calculadas com funções hash
Disponibilidade
Manutenção de equipamentos, reparos de hardware, atualização de software e sistemas operacionais e criação de backups garantem a disponibilidade da rede e dos dados para usuários autorizados. Os planos devem estar implantados para recuperação rápida de catástrofes naturais ou provocadas pelo homem. (Denial of Service - DoS) A negação de serviço ocorre quando um invasor tenta sobrecarregar os recursos para que os serviços não estejam disponíveis para os usuários.
1.2- As consequências de uma violação de segurança
A prioridade então será a velocidade com a qual a sua equipe de segurança poderá responder ao ataque para minimizar a perda de dados, o período de inatividade e a receita.
Se o site da empresa ou a rede for violada, documentos confidenciais podem vazar, segredos corporativos podem ser revelados e a propriedade intelectual pode ser roubada. A perda de todas essas informações pode impedir a expansão e o crescimento da empresa.
Exemplo de violação de segurança 1
O gerenciador de senhas on-line, LastPass, detectou uma atividade incomum na rede em julho de 2015. Hackers roubaram endereços de e-mail do usuário, lembretes de senha e hashes de autenticação. Felizmente para os usuários, os hackers foram incapazes de obter as senhas criptografadas de qualquer pessoa.
Embora tenha ocorrido uma violação de segurança, o LastPass ainda poderia proteger as informações das contas dos usuários. O LastPass requer verificação de e-mail ou autenticação de multifatores sempre que houver um novo login em um dispositivo ou endereço IP desconhecido. Os hackers também precisam da senha mestra para acessar a conta.
Exemplo de violação de segurança 2
A violação de dados expôs informações confidenciais, como nomes de clientes, endereços de e-mail, senhas, fotos e registros de bate-papo.
1.3- Tipos de invasores
Amadores
às vezes, essas pessoas são chamadas de hackers inexperientes. São normalmente invasores com pouca ou nenhuma qualificação profissional, muitas vezes usando ferramentas atuais ou instruções encontradas na Internet para lançar ataques.
Hackers 
 este grupo de invasores entra em computadores ou redes para obter acesso. Dependendo da intenção da invasão, esses invasores são classificados como white, grey ou black hat.
Hackers organizados
esses hackers incluem empresas de criminosos virtuais, hacktivistas, terroristas e hackers patrocinados pelo Estado.
Ameaças internas e externas
Ameaças à segurança interna
Os ataques podem ser originados de dentro ou de fora da empresa, Um usuário interno, como um funcionário ou parceiro de contrato, pode, de forma acidental ou intencional: Ameaças internas também têm o potencial de causar maior dano que as ameaças externas, pois os usuários internos têm acesso direto ao edifício e a seus dispositivos de infraestrutura.
Ameaças à segurança externa
Ameaças externas de amadores ou invasores habilidosos podem explorar vulnerabilidades na rede ou em dispositivos de computação ou usar a engenharia social para obter acesso.
O que é a guerra cibernética?
Guerra cibernética é um conflito na Internet que envolve a invasão de redes e sistemas de computação de outras nações. Estes invasores têm os recursos e conhecimentos para lançar ataques massivos, na Internet, contra outras nações para causar danos ou interromper serviços, como desligar uma rede de energia.
O propósito da guerra cibernética
O principal objetivo da guerra cibernética é obter vantagem sobre os adversários, sejam eles nações ou concorrentes.
CAPÍTULO 2
 Ataques, conceitos e técnicas
Este capítulo abrange maneiras de os profissionais de segurança cibernética analisarem o que aconteceu depois de um ataque cibernético. Explica as vulnerabilidades de software e hardware de segurança e as diferentes categorias de vulnerabilidades de segurança.
Encontrar vulnerabilidades de segurança
Vulnerabilidades de segurança são qualquer tipo de defeito de software ou hardware.
Um exploit é o termo usado para descrever um programa escrito para utilizar uma vulnerabilidade conhecida.
O ato de usar um exploit contra uma vulnerabilidade é conhecido como um ataque.
Vulnerabilidades de software
São normalmente introduzidas por erros no código do aplicativo ou sistema operacional; apesar de todo o esforço das empresas em localizá-las e corrigi-las, é comum que novas vulnerabilidades surjam.
Vulnerabilidades de hardware
São frequentemente introduzidas por falhas de projeto de hardware.
Categorizar vulnerabilidades de segurança
A maioria das vulnerabilidades de segurança de software seenquadra em uma das seguintes categorias:
Saturação do buffer –
Esta vulnerabilidade ocorre quando os dados são gravados além dos limites de um buffer. Os buffers são áreas de memórias alocadas a um aplicativo.
Entrada não validada –
Programas normalmente funcionam com entrada de dados. Esses dados que entram no programa podem ter conteúdo mal-intencionado, projetado para forçar o programa a se comportar de forma não desejada.
Condição de corrida –
Esta vulnerabilidade ocorre quando a saída de um evento depende de saídas ordenadas ou cronometradas. 
Deficiências nas práticas de segurança –
Sistemas e dados confidenciais podem ser protegidos por meio de técnicas, como autenticação, autorização e criptografia. 
Os desenvolvedores não devem tentar criar seus próprios algoritmos de segurança porque provavelmente apresentarão vulnerabilidades.
Problemas de controle de acesso – 
Controle de acesso é o processo de controlar quem faz o quê, gerenciar o acesso físico aos equipamentos e determinar quem tem acesso a um recurso, como um arquivo, e o que pode fazer com ele, tais como ler ou alterar esse arquivo.
Tipos de malware
Abreviação de “Malicious Software” (software mal-intencionado), o malware é qualquer código que pode ser usado para roubar dados, ignorar controles de acesso, causar danos ou comprometer um sistema.
Spyware
Este malware é projetado para rastrear e espionar o usuário. O spyware frequentemente inclui rastreadores de atividade, coleta de toque de tela e captura de dados.
Adware –
 O software com suporte a anúncio é projetado para fornecer anúncios automaticamente, mas também é comum que o adware venha com spyware.
Bot-
da palavra “robot”, um bot é o malware projetado para executar automaticamente a ação, geralmente on-line.
Ransomware –
este malware é projetado para manter preso um sistema de computador, ou os dados incluídos nele, até que o pagamento seja feito. O ransomware normalmente funciona criptografando os dados no computador com uma chave desconhecida ao usuário.
Scareware – 
este é um tipo de malware projetado para persuadir o usuário a executar uma ação específica com base no medo. O scareware simula janelas pop-up que se assemelham às janelas de diálogo do sistema operacional.
Rootkit – 
este malware é projetado para modificar o sistema operacional e criar um backdoor. Os invasores usam o backdoor para acessar o computador remotamente.
Vírus –
um vírus é um código executável mal-intencionado que é anexado a outros arquivos executáveis, muitas vezes programas legítimos. A maioria dos vírus necessita de ativação do usuário final e pode ser ativada em uma hora ou data específica. 
Agora, a maioria dos vírus é espalhada por unidades de USB, discos ópticos, compartilhamentos de rede ou e-mail.
Cavalo de Troia –
um Cavalo de Troia é um malware que realiza operações mal-intencionadas sob o pretexto de uma operação desejada. Esse código malicioso explora os privilégios do usuário que o executa. 
Um Cavalo de Troia difere de um vírus porque está vinculado aos arquivos não executáveis.
Worms – 
worms são códigos maliciosos que se replicam ao explorar, de forma independente, vulnerabilidades em redes. Os worms normalmente deixam a rede mais lenta.
Os worms são responsáveis por alguns dos ataques mais devastadores na Internet.
Man-In-The-Middle (MitM) – 
o MitM permite que o invasor tenha o controle sobre um dispositivo sem o conhecimento do usuário. Com esse nível de acesso, o invasor pode interceptar e capturar informações do usuário antes de transmiti-las ao seu destino desejado.
Man-In-The-Mobile (MitMo) –
é um tipo de ataque usado para assumir o controle de um dispositivo móvel. Quando infectado, o dispositivo móvel pode ser instruído a extrair as informações confidenciais do usuário e enviá-las para os invasores.
ZeuS, um exemplo de exploit com capacidades de MitMo, permite que os invasores capturem silenciosamente as mensagens de SMS de verificação de 2 passos enviadas para os usuários.
Sintomas do malware
Independentemente do tipo de malware que infectou um sistema, estes são sintomas comuns:
· Há um aumento no uso da CPU.
· Há uma diminuição na velocidade do computador.
· O computador congela ou trava frequentemente.
· Há uma diminuição na velocidade de navegação na Web.
· Existem problemas inexplicáveis com conexões de rede.
· Arquivos são modificados.
· Arquivos são excluídos.
· Há presença de arquivos, programas ou ícones de desktop desconhecidos.
· Há processos desconhecidos em execução.
· Programas estão se desligando ou reconfigurando sozinhos.
· E-mails estão sendo enviados sem o conhecimento ou consentimento do usuário.
Engenharia social
é um ataque de acesso que tenta manipular indivíduos para realizar ações ou divulgar informações confidenciais. Os engenheiros sociais frequentemente dependem da boa vontade das pessoas para ajuda, mas também miram nos pontos fracos.
Há alguns tipos de ataques de Engenharia social:
Pretexting - Ocorre quando um invasor chama uma pessoa e mente para ela na tentativa de obter acesso a dados confidenciais. Um exemplo envolve um invasor que finge precisar de dados pessoais ou financeiros para confirmar a identidade do destinatário.
Tailgating - quando um invasor rapidamente segue uma pessoa autorizada em um local seguro.
Something for Something (Quid pro quo) - ocorre quando um invasor solicita informações pessoais de uma pessoa em troca de algo, como um presente.
Quebra de senha de acesso à rede WiFi
A quebra de senha de acesso à rede WiFi é o processo de descobrir a senha usada para proteger uma rede sem fio. Estas são algumas técnicas usadas na quebra de senha:
Engenharia social – o invasor manipula uma pessoa que conhece a senha para fornecê-la.
Ataques de força bruta – o invasor tenta várias senhas possíveis na tentativa de adivinhar a correta. Se a senha for um número de 4 dígitos, por exemplo, o invasor precisaria tentar cada uma das 10.000 combinações. Ataques de força bruta, normalmente, envolvem um arquivo de lista de palavras.  	
Algumas ferramentas de senha de força bruta incluem Ophcrack L0phtCrack, THC-Hydra, RainbowCrack e Medusa.
Sniffing de rede – ao ouvir e capturar pacotes enviados na rede, um invasor poderá descobrir a senha, se ela estiver sendo enviada sem criptografia (em texto sem formatação). Se a senha for criptografada, o invasor ainda poderá revelá-la usando uma ferramenta de quebra de senha.
Phishing
O phishing ocorre quando uma parte mal-intencionada envia um e-mail fraudulento disfarçado de uma fonte legítima e confiável. A intenção da mensagem é enganar o destinatário para instalar o malware no dispositivo dele ou compartilhar informações pessoais ou financeiras. 
Spear phishing é um ataque de phishing altamente direcionado. Embora o phishing e o spear phishing usem e-mails para alcançar as vítimas, os e-mails do spear phishing são personalizados para uma pessoa específica. 
Exploração de vulnerabilidade
Explorar vulnerabilidades é outro método comum de infiltração. Os invasores fazem a varredura de computadores para obter informações sobre eles. 
Veja abaixo um método comum para explorar vulnerabilidades:
Etapa 1. Colete informações sobre o sistema de destino. Isto poderia ser feito de várias maneiras diferentes como um scanner de porta ou engenharia social. O objetivo é aprender o máximo possível sobre o computador de destino.
Etapa 2. Uma das informações relevantes que aprendeu na etapa 1 pode ser o sistema operacional, sua versão e uma lista de serviços que ele executa.
Etapa 3. Quando o sistema operacional e a versão do alvo são conhecidos, o invasor procura quaisquer vulnerabilidades conhecidas específicas para essa versão do sistema operacional ou outros serviços do sistema operacional.
Etapa 4. Quando é encontrada uma vulnerabilidade, o invasor procura um exploit anteriormente escrito para usar. Se nenhum exploit tiver sido escrito, o invasor pode considerar escrever um exploit.
A Figura 2 retrata um invasor usando a ferramenta nmap, um scanner de porta popular. Com um scanner de porta, um invasorpode sondar portas de um computador-alvo para saber quais serviços estão sendo executados nele.
Ameaças persistentes avançadas
Uma maneira de obter a infiltração é por Advanced Persistent Threat (APTs). Elas consistem em uma operação multifase, de longo prazo, furtiva e avançada contra um alvo específico. 
DoS
Os ataques de negação de serviço (DoS) são um tipo de ataque à rede. Um ataque de negação de serviço (DoS) resulta em algum tipo de interrupção de serviço aos usuários, dispositivos ou aplicações.
 Existem dois tipos principais de ataque de negação de serviço (DoS): 
Grande quantidade de tráfego - quando uma rede, um host ou um aplicativo recebe uma enorme quantidade de dados a uma taxa que não consegue processar. Isso causa uma desaceleração na transmissão ou resposta ou uma falha em um dispositivo ou serviço.
Pacotes formatados de forma mal-intencionada - quando um pacote formatado de forma mal-intencionada é enviado para um host ou aplicativo e o receptor não consegue contê-lo.
DDoS
Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço (DoS), mas é proveniente de várias fontes coordenadas. Um invasor cria uma rede de hosts infectados, denominada botnet. Os hospedeiros infectados são chamados de zumbis. 
Os computadores zumbis examinam e infectam constantemente mais hosts, criando mais zumbis. Quando está pronto, o hacker instrui os sistemas de controladores para fazer com que o botnet de zumbis execute um ataque de negação de serviço distribuída (DDoS).
Envenenamento de SEO
SEO, abreviação de Search Engine Optimization (Otimização de mecanismos de busca), é um conjunto de técnicas usadas para melhorar a classificação do site por um mecanismo de pesquisa. Embora muitas empresas legítimas se especializem na otimização de sites para melhor posicioná-las, um usuário mal-intencionado pode usar o SEO para que um site mal-intencionado fique mais alto nos resultados da pesquisa. Esta técnica é chamada de envenenamento de SEO.
O que é um ataque misto?
Ataques mistos são ataques que usam várias técnicas para comprometer um alvo. Usando várias técnicas de ataque diferentes ao mesmo tempo, os invasores têm um malware híbrido de worms, cavalos de Troia, spyware, keyloggers, spam e esquemas de phishing. Esta tendência de ataques mistos está revelando malwares mais complexos e colocando os dados do usuário em grande risco.
Ataques mistos usam várias técnicas para infiltrar-se em um sistema e atacá-lo. Muitos dos worms que mais danificam o computador, como Nimbda, CodeRed, BugBear, Klez e Slammer, são categorizados como ataques mistos.
O que é redução de impacto?
São algumas medidas importantes que uma empresa deve tomar quando é identificada uma violação de segurança.
· Comunique o problema. Internamente, os funcionários devem ser informados sobre problema e agir rapidamente. Externamente, os clientes devem ser informados através de comunicação direta e anúncios oficiais. A comunicação cria transparência, que é crucial neste tipo de situação.
· Seja sincero e responsável se a falha for da empresa.
· Forneça detalhes. Explique o motivo pelo qual a situação ocorreu e o que foi comprometido. Também é esperado que a empresa assuma os custos dos serviços de proteção contra roubo de identidade para os clientes afetados.
· Entenda o que causou e facilitou a violação. Se necessário, contrate especialistas em computação forense para pesquisar e informar os detalhes.
· Aplique o que foi aprendido com a investigação de computação forense para não ocorrerem violações semelhantes no futuro.
· Verifique se todos os sistemas estão limpos, nenhum backdoor foi instalado e nada mais foi comprometido. Os invasores, muitas vezes, tentarão deixar um backdoor para facilitar futuras violações. Certifique-se de que isso não aconteça.
· Oriente os funcionários, parceiros e clientes sobre como evitar futuras violações.
Quando um ataque não pode ser prevenido, cabe a um profissional de segurança cibernética reduzir o impacto desse ataque.
Refer to curriculum topic: 2.1.2
O malware pode ser classificado como:
-vírus (replica-se automaticamente ao anexar em outro programa ou arquivo)
-Worm (replica-se independentemente de outro programa)
- Cavalo de Troia (disfarçado como um arquivo ou programa legítimo)
- Rootkit (obtém acesso privilegiado a uma máquina de forma disfarçada)
- Spyware (coleta informações do sistema-alvo)
- Adware (oferece anúncios com ou sem consentimento)
- Bot (aguarda comandos do hacker)
-Ransomware (sequestra um sistema de computador ou dados até que o pagamento seja recebido)
Capítulo 3:
 Proteção de seus dados e privacidade
Seus dados on-line valem algo para criminosos virtuais. Este capítulo aborda brevemente as técnicas de autenticação que podem ajudá-lo a manter seus dados de forma segura. Abrange também maneiras de aumentar a segurança dos dados on-line, com dicas sobre o que fazer e o que não fazer on-line.
Proteger os dispositivos de computação
Os dispositivos de computação armazenam seus dados e são o portal para a sua vida on-line. Abaixo está uma pequena lista de etapas que você pode executar para proteger os dispositivos de computação contra invasão:
· Mantenha o firewall ativado – seja um software de firewall ou um firewall de hardware em um roteador, ele deve estar ativado e atualizado para impedir que hackers acessem dados pessoais ou da empresa.
· Use o antivírus e antispyware – Uma regra adequada é baixar o software apenas de sites confiáveis, principalmente para evitar o spyware. O software antivírus é projetado para verificar o computador e o e-mail recebido à procura de vírus e excluí-los. Às vezes, o software antivírus também inclui antispyware. Mantenha seu software atualizado para proteger o computador contra os mais recentes softwares mal-intencionados.
· Gerencie o sistema operacional e o navegador – os hackers estão sempre tentando utilizar vulnerabilidades em sistemas operacionais e navegadores da Web. Para proteger o computador e os dados, defina as configurações de segurança no computador e navegador como intermediárias ou altas. Atualize o sistema operacional do computador, incluindo navegadores da Web e, regularmente, baixe e instale os patches de software mais recentes e atualizações de segurança dos fornecedores.
· Proteja todos os dispositivos – os dispositivos de computação, sejam computadores, notebooks, tablets ou smartphones, devem ser protegidos por senha para evitar acesso não autorizado. As informações armazenadas devem ser criptografadas, principalmente para dados confidenciais. Para dispositivos móveis, só armazene as informações necessárias, caso estes dispositivos sejam roubados ou extraviados quando você estiver longe de sua casa. Se qualquer um dos dispositivos estiver comprometido, os criminosos poderão ter acesso a todos os seus dados através do provedor de serviços de armazenamento em nuvem, como o iCloud ou Google Drive.
Usar redes sem fio com segurança
Para impedir que invasores entrem na rede sem fio residencial, deve-se alterar a senha padrão do SSID para acesso administrativo através do navegador. Os hackers têm conhecimento a respeito deste tipo de informação de acesso padrão. Opcionalmente, o roteador sem fio também pode ser configurado para não transmitir o SSID, que adiciona uma barreira adicional à descoberta de rede. No entanto, isto não deve ser considerado uma segurança adequada para rede sem fio.
Use senhas exclusivas para cada conta on-line
Nós usamos tantas contas on-line que precisam de senhas que torna-se impossível lembrar. Uma solução para evitar a reutilização de senhas ou usar senhas fracas é um gerenciador de senhas. Um gerenciador de senhas armazena e criptografa todas as suas senhas diferentes e complexas. O gerenciador então pode ajudá-lo a entrar em suas contas on-line automaticamente. Você só precisa lembrar de sua senha mestra para acessar o gerenciador de senhas e gerenciar todas as contas e senhas.
Dicas para escolher uma boa senha:
· Não use palavras do dicionário ou nomes emqualquer idioma
· Não use erros ortográficos comuns de palavras do dicionário
· Não use nomes de computador ou de contas
· Se possível use caracteres especiais, como ! @ # $ % ^ & * ( )
· Use uma senha com 10 ou mais caracteres
Use a frase secreta, em vez de uma senha
Para evitar o acesso físico não autorizado aos seus dispositivos de computação, use frases secretas em vez de senhas. É mais fácil criar uma frase secreta longa do que uma senha, porque geralmente está na forma de uma sentença em vez de uma palavra.
O comprimento mais longo torna a frase secreta menos vulnerável a ataques de dicionário ou força bruta.
Dicas para escolher uma boa senha:
· Escolha uma frase significativa para você
· Adicione caracteres especiais, como ! @ # $ % ^ & * ( )
· Quanto maior melhor
· Evite frases comuns ou famosas, como a letra de uma música famosa.
Resumo das novas orientações:
· No mínimo 8 caracteres e no máximo 64 caracteres
· Não use senhas comuns e fáceis de ser descobertas, como a senha abc123
· Não aplique regras de composição, como ter que incluir números e letras maiúsculas e minúsculas
· Melhore a precisão da digitação, permitindo que o usuário não veja a senha durante a digitação
· Todas as marcas de formatação e espaços são permitidos
· Não use dicas para senhas
· Não aplique expiração de senha periódica ou arbitrária
· Nenhuma autenticação baseada em conhecimento, como informações de perguntas secretas compartilhadas, dados comerciais e histórico de transações
Criptografar seus dados
Criptografia é o processo de converter as informações em um formato que não pode ser lido por uma pessoa não autorizada. Somente uma pessoa confiável, autorizada com a chave secreta ou uma senha pode descriptografar os dados e acessá-los em sua forma original. 
A criptografia em si não impede que alguém intercepte os dados. A criptografia só pode impedir uma pessoa não autorizada de exibir ou acessar o conteúdo.
Programas de software são usados para criptografar arquivos, pastas e, até mesmo, unidades inteiras.
Para criptografar os dados usando EFS em todas as versões do Windows, siga estes passos:
Passo 1. Selecione um ou mais arquivos ou pastas.
Passo 2. Clique com o botão direito nos dados selecionados >Propriedades.
Passo 3. Clique em Avançado...
Passo 4. Marque a caixa de seleção Criptografar conteúdo para proteger os dados.
Passo 5. Os arquivos e as pastas que foram criptografados com EFS são exibidos em verde, como mostrado na figura.
Backup dos seus dados
A localização adicional dos seus arquivos de backup pode ser na sua rede domiciliar, localização secundária ou na nuvem.
Excluir os dados permanentemente
Para apagar dados de modo que eles não sejam recuperáveis, os dados devem ser substituídos por um e zero várias vezes. Para impedir a recuperação de arquivos excluídos, talvez seja necessário usar ferramentas especificamente projetadas para isso.
Autenticação de dois fatores
Além do nome de usuário e senha ou número de identificação pessoal (PIN) ou padrão, a autenticação de dois fatores requer um segundo token, como:
· Objeto físico - cartão de crédito, cartão de débito, telefone ou fob
· Verificação biométrica - impressão digital, impressão palmar, facial ou reconhecimento de voz
Mesmo com a autenticação de dois fatores, os hackers ainda conseguem acessar as contas on-line através de ataques, como phishing, malware e engenharia social.
OAuth 2.0
Open Authorization (OAuth) é um protocolo padrão aberto que permite às credenciais de um usuário final acessar aplicativos de terceiros sem expor a senha do usuário. OAuth funciona como o intermediário para decidir se deseja permitir aos usuários finais o acesso a aplicativos de terceiros.
Não compartilhe muitas informações nas redes sociais
Se você quiser manter a privacidade nas redes sociais, compartilhe o mínimo de informação possível. Você não deve compartilhar informações, como data de nascimento, endereço de e-mail ou número de telefone, no seu perfil.
 Além disso, verifique as configurações de redes sociais para permitir que somente pessoas que você conheça veja suas atividades ou participe das suas conversas.
Privacidade de e-mail e navegador da Web
Qualquer pessoa com acesso físico ao computador ou roteador pode visualizar os sites que você visitou usando o histórico do navegador da Web, cache e possivelmente os arquivos de log. Este problema pode ser minimizado ao habilitar o modo de navegação em privado no navegador da Web. A maioria dos navegadores populares da Web tem seu próprio nome para o modo de navegação privada:
· Microsoft Internet Explorer: InPrivate
· Google Chrome: Incognito
· Mozilla Firefox: Aba privada / janela privada
· Safari: Privado: Navegação privada
Em última análise, você é responsável por proteger seus dados, sua identidade e seus dispositivos de computação.
Resumo Proteção de seus dados e privacidade
Este capítulo abordou seus dispositivos e dados pessoais. Incluiu dicas para proteger os dispositivos, criar senhas fortes e usar redes sem fio com segurança. Descreveu os backups de dados, o armazenamento de dados e exclusão permanente dos dados.
As técnicas de autenticação foram discutidas para ajudá-lo a manter seus dados de forma segura. Abordou brevemente como é fácil compartilhar muitas informações nas redes sociais e como evitar esse risco à segurança.
Se você quiser se aprofundar ainda mais nos conceitos deste capítulo, confira a página de Recursos e atividades adicionais nos Recursos do aluno.
Capítulo 4:
Proteção da empresa
Este capítulo aborda algumas tecnologias e processos utilizados por profissionais de segurança cibernética para proteger a rede, o equipamento e os dados da empresa. Primeiro, ele abrange brevemente muitos tipos de firewalls, equipamentos de segurança e software que são usados no momento, incluindo as melhores práticas.
Em seguida, explica botnets, Kill Chain, a segurança baseada em comportamento e o uso do NetFlow para monitorar uma rede.
A terceira seção discute a segurança cibernética da Cisco, incluindo a equipe CSIRT e o manual de segurança. Resume brevemente as ferramentas que os profissionais de segurança cibernética usam para detectar e prevenir ataques à rede.
Tipos de firewall
um firewall controla ou filtra quais comunicações podem entrar ou sair de um dispositivo ou uma rede.
Um firewall pode ser instalado em um único computador com o objetivo de protegê-lo (firewall baseado em host), ou pode ser um dispositivo de rede autônomo que protege uma rede de computadores e todos os dispositivos hospedados na rede (firewall pela rede).
· Esta é uma lista dos tipos comuns de firewall: 
Firewall de camada de rede – filtragem baseada em endereços IP de origem e destino
· Firewall de camada de transporte – filtragem baseada em portas de origem e destino de dados e em estados de conexão
· Firewall de camada de aplicação – filtragem baseada em aplicativo, programa ou serviço
· Firewall de aplicação com reconhecimento de contexto – filtragem baseada em usuário, dispositivo, função, tipo de aplicativo e perfil de ameaça
· Servidor proxy – filtragem de solicitações de conteúdo da Web, como URL, domínio, mídia etc.
· Servidor proxy reverso – colocado na frente de servidores da Web, os servidores proxy protegem, ocultam, fazem o offload e distribuem o acesso a servidores da Web
· Firewall Network Address Translation (NAT) – oculta ou disfarça os endereços privados de hosts de rede
· Firewall baseado em host – filtragem de portas e chamadas de serviço do sistema em um sistema operacional de computador único
Varredura de porta
A varredura de porta pode ser usada de forma mal-intencionada como uma ferramenta de reconhecimento para identificar o sistema operacional e os serviços em execução em um host ou computador, ou pode ser usada por um administrador de rede, sem causar danos, para verificar as políticas de segurança da rede.
Para avaliar a segurança de porta e o firewall da rede do computador, use uma ferramenta de varredura de porta, como Nmap, para localizar todas as portas abertas na rede.
A varredurade porta pode ser considerada como um precursor para um ataque à rede e, portanto, não deve ser feita em servidores públicos na Internet ou em uma rede corporativa sem permissão.
A varredura de uma porta geralmente resulta em uma destas três respostas:
· Aberta ou aceita – o host respondeu indicando que um serviço está escutando na porta.
· Fechada, negada ou não escutando – o host respondeu indicando que as conexões serão negadas à porta.
· Filtrada, descartada ou bloqueada – não houve resposta do host.
Equipamentos de segurança
Atualmente, não há equipamentos de segurança ou tecnologia que solucionará todas as necessidades de segurança da rede. Como há uma variedade de equipamentos de segurança e ferramentas que precisa ser implementada, é importante que todos eles trabalhem juntos. Equipamentos de segurança são mais eficazes quando fazem parte de um sistema.
 Os equipamentos de segurança enquadram-se nestas categorias gerais:
Roteadores - o Cisco Integrated Services Router (ISR), mostrado na Figura 1, tem muitos recursos de firewall, além de funções apenas de roteamento, incluindo a filtragem de tráfego, a capacidade de executar um IPS (sistema de prevenção de intrusão), a criptografia e os recursos de VPN para tunelamento criptografado seguro.
Firewalls - firewalls de última geração da Cisco têm todos os recursos de um roteador ISR, bem como gerenciamento avançado de redes e análise. O Cisco Adaptive Security Appliance (ASA) com recursos de firewall é mostrado na Figura 2.
IPS - dispositivos IPS de última geração da Cisco, mostrados na Figura 3, são dedicados à prevenção de intrusão.
VPN - os equipamentos de segurança da Cisco são equipados com tecnologias de cliente e servidor de uma rede privada virtual (VPN). Eles são projetados para tunelamento criptografado seguro.
Malware/antivírus - O Cisco Advanced Malware Protection (AMP) vem na próxima geração de roteadores, firewalls, dispositivos IPS, dispositivos de segurança da Web e e-mail da Cisco e também pode ser instalado como um software em computadores host.
Outros dispositivos de segurança – esta categoria inclui dispositivos de segurança de e-mail e Web, dispositivos de decriptografia, servidores de controle de acesso para cliente e sistemas de gerenciamento de segurança.
Detecção de ataques em tempo real
O software não é perfeito. Quando um hacker explora uma falha em uma parte do software antes do criador poder corrigi-la, isso é conhecido como um ataque de dia zero.
Infelizmente, muitas empresas são incapazes de detectar ataques, em até dias ou mesmo meses depois que eles ocorreram.
· Varredura em tempo real da borda para o endpoint - a detecção de ataques em tempo real requer a varredura ativa de ataques usando firewall e dispositivos de rede IDS/IPS. A detecção de malware de cliente/servidor de última geração com conexões a centros de ameaças on-line globais também deve ser usada. Atualmente, os softwares e dispositivos de varredura ativos devem detectar anomalias de rede usando a detecção de comportamento e análise baseada em contexto.
· Ataques de DDoS e resposta em tempo real - DDoS é a maior ameaça de ataque, que exige resposta e detecção em tempo real. É extremamente difícil se defender de ataques de DDoS, pois eles originam centenas ou milhares de hosts zumbis e aparecem como tráfego legítimo, conforme mostrado na figura. Para muitas empresas, os ataques de DDoS que ocorrem regularmente prejudicam os servidores de Internet e a disponibilidade de rede. A capacidade de detectar e responder a ataques de DDoS em tempo real é crucial.
Proteção contra malware
Como você oferece defesa contra a constante presença de ataques de dia zero, bem como ameaças persistentes avançadas (APT) que roubam dados por longos períodos? Use uma solução de detecção de malware de nível empresarial avançada que oferece a detecção de malware em tempo real.
Práticas recomendadas de segurança
Muitas empresas e profissionais publicaram listas das melhores práticas de segurança. Esta é uma lista das melhores práticas de segurança:
· Realizar a avaliação de risco – Saber o valor do que você está protegendo ajudará a justificar as despesas de segurança.
· Criar uma política de segurança – Criar uma política que define claramente as regras da empresa, os deveres e as expectativas do trabalho.
· Medidas de segurança física – Restringir o acesso a racks de rede, locais de servidor, bem como supressão de fogo.
· Medidas de segurança de recursos humanos – Os antecedentes dos funcionários devem ser devidamente pesquisados.
· Executar e testar backups – Fazer backups regulares e teste de recuperação de dados de backups.
· Manter atualizações e patches de segurança – Atualizar regularmente o servidor e os sistemas operacionais e programas de dispositivos de rede e do cliente.
· Empregar controles de acesso – Configurar funções de usuário e níveis de privilégio, bem como autenticação forte ao usuário.
· Testar regularmente a resposta a incidentes – Empregar uma equipe de resposta a incidentes e testar cenários de resposta a emergências.
· Implementar uma rede de monitoramento, análise e ferramenta de gerenciamento - Escolher uma solução de gerenciamento de segurança que se integra a outras tecnologias.
· Implementar dispositivos de segurança de rede – Use roteadores next generation, firewalls e outros dispositivos de segurança.
· Implementar uma solução abrangente de segurança de endpoint – Use software antivírus e antimalware de nível corporativo.
· Treinar os usuários – Treinar os usuários e funcionários nos procedimentos de segurança.
· Criptografar dados – Criptografar todos os dados confidenciais da empresa, incluindo e-mail.
Botnet
É um grupo de robôs (bots), conectados pela Internet, com a capacidade de ser controlado por um indivíduo ou grupo mal-intencionado.
Um computador bot normalmente é infectado por visitar um site, abrir um anexo de e-mail ou abrir um arquivo de mídia infectado.
Os criminosos virtuais frequentemente alugam Botnets, por uma taxa, para terceiros com finalidade inapropriada.
Kill Chain na defesa cibernética
Em segurança cibernética, a Kill Chain consiste nas etapas de um ataque de sistemas de informação.
Desenvolvida pela Lockheed Martin como uma estrutura de segurança para detecção e resposta a incidente, a Cyber Kill Chain é composta das seguintes etapas:
Etapa 1. Reconhecimento - o invasor reúne informações sobre o alvo.
Etapa 2. Armamento - o invasor cria um exploit e payload mal-intencionado para enviar ao alvo.
Etapa 3. Entrega -o invasor envia o exploit e o payload mal-intencionado para o alvo por e-mail ou outro método.
Etapa 4. Exploração - o exploit é executado.
Etapa 5 Instalação - malware e backdoors são instalados no alvo.
Etapa 6. Comando e controle - controle remoto do alvo é adquirido por um servidor ou canal de comando e controle.
Etapa 7. Ação - o invasor executa ações mal-intencionadas, como roubo de informações, ou executa ataques adicionais em outros dispositivos de dentro da rede, percorrendo novamente as etapas da Kill Chain.
Para se defender contra a Kill Chain, as defesas de segurança de rede são projetadas contra essas etapas. Estas são algumas perguntas sobre as defesas de segurança da empresa, com base na Cyber Kill Chain:
• Quais são os indicadores de ataque em cada etapa da Kill Chain?
• Quais ferramentas de segurança são necessárias para detectar os indicadores de ataque em cada uma das etapas?
• Existem lacunas na capacidade de a empresa detectar um ataque?
De acordo com a Lockheed Martin, compreender as etapas de Kill Chain permitiu colocar obstáculos defensivos, retardar o ataque e, finalmente, evitar a perda de dados.
Segurança baseada em comportamento
Segurança baseada em comportamento é uma forma de detecção de ameaças que não depende de assinaturas mal-intencionadas conhecidas, mas em vez disso, usa o contexto de informações para detectar anomalias na rede. 
A detecção baseada em comportamento pode descobrir a presença de um ataque por uma mudança no comportamento normal.
· Honeypots - a Honeypot é umaferramenta de detecção baseada em comportamento que primeiro atrai o invasor apelando ao padrão previsto de comportamento malicioso, e então, quando dentro da honeypot, o administrador de rede pode capturar, registrar e analisar o comportamento do invasor. Isso permite que um administrador obtenha mais conhecimento e desenvolva uma defesa melhor.
· Arquitetura de soluções da Threat Defense Cyber da Cisco - esta é uma arquitetura de segurança que usa detecção baseada em comportamento e indicadores para fornecer maior visibilidade, contexto e controle. O objetivo é saber quem, o quê, onde, quando e como um ataque está ocorrendo. Essa arquitetura de segurança usa muitas tecnologias de segurança para atingir esse objetivo.
NetFlow
A Tecnologia NetFlow é usada para coletar informações sobre dados fluindo por uma rede. As informações do NetFlow podem ser comparadas a uma conta de telefone para seu tráfego de rede. Ele mostra quem e o que são dispositivos na sua rede, quando e como os usuários e dispositivos acessaram a sua rede.
O NetFlow é um componente importante na análise e detecção baseada em comportamento. 
Switches, roteadores e firewalls equipados com NetFlow podem relatar informações sobre dados que entram, saem e se deslocam pela rede. As informações são enviadas para os coletores NetFlow que coletam, armazenam e analisam registros de NetFlow.
CSIRT
Muitas empresas de grande porte têm uma Equipe de resposta a incidentes de segurança computacional (CSIRT) para recepção, análise e resposta de incidentes de segurança de computador,
A principal missão da CSIRT é ajudar a garantir a preservação de dados, do sistema e da empresa pela realização de investigações abrangentes sobre incidentes de segurança computacional.
Para evitar incidentes de segurança, a CSIRT da Cisco fornece avaliação proativa de riscos, planejamento de mitigação, análise de tendência de incidentes e revisão da arquitetura de segurança.
Manual de segurança
 Um manual de segurança é uma coleção de consultas repetidas (relatórios) em fontes de dados de evento de segurança que levam à detecção e resposta a incidente.
A segurança está se tornando uma preocupação corporativa importante por causa da reputação resultante e o impacto financeiro de violações de segurança. Os ataques estão apontando redes importantes e dados confidenciais. As empresas devem ter planejamento, preparação, método e recuperação de uma violação.
Depois de conter a violação e restaurar os sistemas e serviços comprometidos, as medidas e os processos de segurança devem ser atualizados para incluir as lições aprendidas durante a violação.
O manual de segurança deve realizar as seguintes ações:
· Detectar máquinas infectadas com malware.
· Detectar atividades suspeitas na rede.
· Detectar tentativas de autenticação irregulares.
· Descrever e compreender o tráfego de entrada e de saída.
· Fornecer informações resumidas, incluindo tendências, estatísticas e contagens.
· Dar acesso útil e rápido a estatísticas e métricas.
· Correlacionar eventos em todas as fontes de dados relevantes.
Ferramentas para prevenção e detecção de incidentes
Estas são algumas das ferramentas usadas para detectar e prevenir incidentes de segurança:
· SIEM – um sistema de informações de segurança e gerenciamento de eventos (SIEM) é um software que recolhe e analisa os alertas de segurança, registros e outros dados históricos e em tempo real dos dispositivos de segurança na rede.
· DLP – o software de prevenção de perda de dados (DLP) é um sistema de software ou hardware projetado para impedir que os dados confidenciais sejam roubados ou vazem de uma rede. Um sistema DLP pode abordar a autorização de acesso de arquivo, a troca de dados, cópia de dados, monitoramento das atividades do usuário e muito mais. Os sistemas DLP são projetados para monitorar e proteger dados em três estados diferentes: dados em uso, dados em movimento e dados em repouso. Dados em uso são focados no cliente, dados em movimento se referem aos dados em deslocamento pela rede e dados em repouso se referem ao armazenamento de dados.
· Cisco TrustSec e ISE – Cisco Identity Services Engine (Cisco ISE) e Cisco TrustSec executam o acesso aos recursos da rede através da criação de políticas de controle de acesso por função, que segmentam o acesso à rede (convidados, usuários de dispositivos móveis, funcionários) sem mais complexidade. A classificação de tráfego baseia-se na identidade do usuário ou dispositivo. Clique em Play (Reproduzir) na figura para obter mais informações sobre ISE.
IDS e IPS
Um sistema de detecção de invasão (IDS), é um dispositivo de rede dedicado, ou uma das várias ferramentas em um servidor ou firewall que varre os dados em um banco de dados de regras ou de assinaturas de ataques, à procura de tráfego mal-intencionado.O sistema de detecção de invasão não age quando uma correspondência é detectada, então não impede os ataques. O trabalho do IDS é apenas detectar, registrar e relatar.A varredura realizada pelo IDS deixa a rede mais lenta (conhecido como latência). Para se prevenir contra o atraso de rede, um IDS é geralmente colocado off-line, separado do tráfego de rede regular.
Um IPS (sistema de prevenção de intrusão) tem a capacidade de bloquear ou negar o tráfego com base em uma correspondência de regra ou assinatura positiva. Um dos sistemas mais conhecidos de IPS/IDS é o Snort. A versão comercial do Snort é o Sourcefire da Cisco. O Sourcefire tem a capacidade de executar o tráfego em tempo real e análise de porta, gerar registros, buscar e corresponder conteúdo e pode detectar probes, ataques e varreduras de portas. Ele também se integra com outras ferramentas de terceiros para geração de relatórios, análise de desempenho e registro.
Resumo Proteção da empresa
Este capítulo começou discutindo algumas tecnologias e processos utilizados por profissionais de segurança cibernética para proteger a rede, o equipamento e os dados da empresa. Isto inclui tipos de firewalls, equipamentos de segurança e software.
Botnets, Kill Chain, a segurança baseada em comportamento e o uso do NetFlow para monitorar uma rede foram abordados.
Capítulo 5:
O seu futuro estará na segurança cibernética
Este capítulo aborda as questões jurídicas e éticas que surgem quando se trabalha com segurança cibernética. Ele também discute os caminhos educacionais e de carreira para segurança cibernética.
Questões jurídicas em segurança cibernética
Os profissionais de segurança cibernética devem ter as mesmas qualificações profissionais que os hackers, principalmente os hackers Black Hats, para proteger contra ataques. Uma diferença entre um hacker e um profissional de segurança cibernética é que o profissional de segurança cibernética deve trabalhar dentro dos limites da lei.
Questões jurídicas pessoais
Você não precisa ser um funcionário para estar sujeito às leis de segurança cibernética. Na sua vida privada, você pode ter a oportunidade e as qualificações profissionais para hackear o computador ou a rede de outra pessoa. 
Questões jurídicas corporativas
A maioria dos países tem algumas leis de segurança cibernética implantadas. Elas podem estar relacionadas às privacidades individual e corporativa, redes e infraestrutura essencial. As empresas são obrigadas a respeitar essas leis.
Direito internacional e a segurança cibernética
A área da lei da segurança cibernética é muito mais recente do que a segurança cibernética propriamente dita. Como mencionado anteriormente, a maioria dos países tem algumas leis implantadas, e haverá mais leis no futuro.
Questões éticas em segurança cibernética
Além de trabalhar dentro dos limites da lei, os profissionais de segurança cibernética devem também demonstrar comportamento ético.
Questões éticas pessoais
Uma pessoa pode agir de forma antiética e não estar sujeita a ações judiciais, multas ou prisão. Isso ocorre porque a ação pode não ter sido tecnicamente ilegal. Mas isso não significa que o comportamento é aceitável.
É impossível listar todos os comportamentos antiéticos que podem ser exibidospor alguém com qualificações profissionais de segurança cibernética. Abaixo estão apenas dois. Pergunte-se:
· Eu gostaria de descobrir que alguém invadiu meu computador e alterou as imagens em meus sites de rede social?
· Eu gostaria de descobrir que um técnico de informática, a quem confiei o conserto da minha rede, coletou e espalhou minhas informações pessoais a colegas?
Questões de ética corporativas
A ética consiste em códigos de comportamento que, às vezes, são impostos pelas leis. Há muitas áreas na segurança cibernética que não estão cobertas pelas leis.
Abaixo, está uma lista de três empresas com códigos de ética:
· A CyberSecurity Institute (CSI) publicou um código de ética que você pode ler aqui.
· A Information Systems Security Association (ISSA) tem um código de ética encontrado aqui.
· A Association of Information Technology Professionals (AITP) tem um código de ética e um padrão de conduta encontrado aqui.
Empregos de segurança cibernética
Existem vários mecanismos de pesquisa on-line para ajudá-lo a encontrar o emprego certo em segurança cibernética:
· ITJobMatch – o mecanismo de pesquisa ITJobMatch é específico para empregos de TI de qualquer tipo, em todo o mundo.
· Monster - Monster é um mecanismo de pesquisa para todos os tipos de empregos. O link fornecido direciona para vagas de emprego de segurança cibernética.
· CareerBuilder - CareerBuilder também é um mecanismo de pesquisa para todos os tipos de empregos. O link fornecido direciona para vagas de emprego de segurança cibernética.
O seu futuro estará na segurança cibernética?
Este capítulo começou a discutir as questões jurídicas e éticas enfrentadas normalmente por profissionais de segurança cibernética. Ele também apresentou caminhos educacionais e de carreira para aqueles que desejam se tornar profissionais de segurança cibernética. São apresentados três mecanismos de busca de trabalho externos na Internet para você conferir.