RESUMO - FUNDAMENTOS CIBERSEGURANÇA CISCO

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Resumos/ResumoCAP7.odt
7.1 Defesa de sistemas e dispositivos
Blindagem (codificação) do host
Segurança do sistema operacional - o sistema operacional desempenha um papel importante na operação de um sistema de computador e é o alvo de muitos ataques. 
Um administrador blinda ou codifica um sistema operacional ao modificar a configuração padrão para torná-lo mais seguro em relação a ameaças externas. 
Esse processo inclui a remoção de programas e serviços desnecessários. 
Outro requisito crítico de blindagem de sistemas operacionais é a aplicação de patches e atualizações de segurança. 
Antimalware - malware inclui vírus, worms, cavalos de Troia, keyloggers, spyware e adware. 
Todos eles invadem a privacidade, roubam informações, danificam o sistema ou excluem e corrompem os dados. 
É importante proteger os computadores e dispositivos móveis com software antimalware de qualidade. 
Gerenciamento de patches - patches são atualizações de código que os fabricantes fornecem para evitar que um vírus ou um worm recém-descoberto faça um ataque bem-sucedido. Os fabricantes combinam patches e atualizações em uma aplicação completa de atualização chamada de service pack. 
Firewalls baseados em host - um firewall de software é um programa que é executado em um computador para permitir ou negar o tráfego entre o computador e outros computadores conectados. O firewall por software aplica um conjunto de regras a transmissões de dados por meio da inspeção e filtragem de pacotes de dados. 
Sistemas de detecção de invasão de host - um sistema de detecção de invasão de host (HIDS) é um software que é executado em um computador host que monitora atividade suspeita. 
Comunicações seguras (VPNs) - ao se conectar à rede local e compartilhar arquivos, a comunicação entre os computadores permanece dentro dessa rede. Para comunicar e compartilhar recursos por uma rede que não seja segura, os usuários empregam uma rede privada virtual (VPN). A VPN é uma rede privada que conecta usuários ou sites remotos por uma rede pública, como a Internet.
Blindagem de dispositivos sem fio e móveis
Wired Equivalent Privacy (WEP) - um dos componentes mais importantes da computação moderna são dispositivos móveis. A maioria dos dispositivos encontrados nas redes atuais são laptops, tablets, smartphones e outros dispositivos sem fio. WEP é um dos primeiros padrões de segurança Wi-Fi utilizadas. O padrão WEP fornece autenticação e proteções por criptografia. 
WPA/WPA2 - o próximo grande avanço à segurança sem fio foi a introdução do WPA e WPA2. O Wi-Fi Protected Access (WPA) foi a resposta do setor de computadores para enfraquecer a utilização do padrão WEP. O padrão WPA proporcionou várias melhorias de segurança.
Autenticação mútua - o impostor pode lançar um ataque man in the middle, que é muito difícil de detectar e pode resultar em credenciais de login roubadas e dados transmitidos. Para evitar access points não autorizados, o setor da computação desenvolveu a autenticação mútua. A autenticação mútua, também chamada de autenticação bidirecional, é um processo ou tecnologia em que ambas entidades em um link de comunicação se autenticam.
Proteção de dados de host
Controle de acesso de arquivo - consiste em permissões que limitam o acesso do arquivo ou da pasta a um indivíduo ou um grupo de usuários. 
Criptografia de arquivo - a criptografia de arquivo é uma ferramenta usada para proteger os dados armazenados na forma de arquivos. A criptografia transforma os dados usando um algoritmo complicado para torná-los ilegíveis. Programas de software podem criptografar arquivos, pastas e até mesmo unidades inteiras.
Backups de dados e sistemas - um backup de dados armazena uma cópia das informações de um computador para a mídia de backup removível. Fazer backup de dados é uma das formas mais eficazes de proteção contra perda de dados. Se houver falha no hardware do computador, o usuário pode restaurar os dados do backup depois que o sistema estiver funcional novamente.
Imagens e Controle de conteúdo
Rastreamento e bloqueio de conteúdo 
O software de controle de conteúdo restringe o conteúdo que um usuário pode acessar com um navegador da Web na Internet. 
O software de controle de conteúdo pode bloquear os sites que contêm determinados tipos de material, como pornografia, religioso ou político controverso. 
Clonagem de disco e Deep Freeze
Muitos aplicativos de terceiros estão disponíveis para restaurar um sistema para um estado padrão. Isso permite que o administrador proteja o sistema operacional e os arquivos de configuração de um sistema.
A clonagem de disco copia o conteúdo do disco rígido do computador em um arquivo de imagem. 
O Deep Freeze “congela” a partição do disco rígido. Quando um usuário reinicializa o sistema, esse sistema volta para a configuração congelada. O sistema não salva as alterações feitas pelo usuário, portanto qualquer aplicativo instalado ou arquivo salvo é perdido quando o sistema reinicia.
Proteção física e estações de trabalho
Cabos de segurança e cadeados - há vários métodos para proteger fisicamente os equipamentos de computação:
Usar cabos de segurança 
Mantenha as salas de telecomunicações trancadas.
Use gaiolas de segurança ao redor do equipamento.
Temporizadores de logoff - um funcionário se levanta e deixa o seu computador para fazer uma pausa. Se o funcionário não toma providências para proteger a estação de trabalho, qualquer informação naquele sistema está vulnerável a um usuário não autorizado. 
Limite de Período de inatividade e Bloqueio de Tela - os funcionários podem ou não encerrar sessão do computador ao deixarem o local de trabalho. Portanto, é uma prática recomendada de segurança configurar um temporizador de inatividade que fará, automaticamente, o logoff do usuário e bloqueará a tela. 
Horário de Login - em algumas situações, uma empresa pode querer que os funcionários façam login em horas específicas, como das 7h às 18h. O sistema bloqueia logins durante os horários fora do período de login permitido.
Rastreamento de GPS - utiliza satélites e computadores para determinar a localização de um dispositivo. A tecnologia GPS é um recurso padrão em smartphones que fornece o rastreamento da posição em tempo real. O rastreamento de GPS pode identificar a localização a menos de 100 metros. 
Inventário e etiquetas RFID - a identificação por radiofrequência (RFID) usa ondas de rádio para identificar e acompanhar objetos. Os sistemas de inventário de RFID usam identificadores anexados a todos os itens que uma empresa quer rastrear.
7.2 Blindagem (codificação) do servidor
Acesso remoto seguro
Gerenciamento de acesso remoto - o acesso remoto se refere a qualquer combinação de hardware e software que permita aos usuários acessar remotamente uma rede local interna.
Telnet, SSH e SCP - o Secure Shell (SSH) é um protocolo que fornece uma conexão de gerenciamento segura (criptografada) a um dispositivo remoto. 
O SSH deve substituir o Telnet nas conexões de gerenciamento. 
O Telnet é um protocolo mais antigo que usa transmissão de texto não criptografado, não protegido, tanto para autenticação de logon (nome de usuário e senha) quanto para dados transmitidos entre os dispositivos de comunicação. 
A cópia segura (SCP) transfere com segurança arquivos de computador entre dois sistemas remotos. O SCP usa SSH para transferência de dados (incluindo o elemento de autenticação), então o SCP garante a autenticidade e a confidencialidade dos dados em trânsito.
Medidas administrativas
Segurança de portas e serviços - criminosos virtuais exploram os serviços em execução em um sistema, porque sabem que a maioria dos dispositivos executam mais serviços ou programas do que eles precisam. Um administrador deve analisar cada serviço para verificar a necessidade e avaliar os riscos. Remova qualquer serviço desnecessário.
Contas privilegiadas - criminosos virtuais exploram contas privilegiadas
porque elas são as contas com mais poder da empresa. As contas privilegiadas têm credenciais para obter acesso aos sistemas e eles fornecem acesso elevado e irrestrito. Os administradores usam essas contas para implementar e gerenciar os sistemas operacionais, aplicativos e dispositivos de rede. Essas contas devem ser protegidas ou removidas para mitigar esses riscos.
Políticas de grupo - na maioria das redes que usam computadores Windows, um administrador configura o Acitve Directory (AD) com Domínios em um Servidor Windows. Um administrador configura políticas de conta de usuário como políticas de senha e políticas de bloqueio ao adicionar usuários a grupos e definir a política para um nível de grupo.
Ativar registros e alertas - registra os eventos a medida que ocorrem em um sistema. As entradas de registro compõem um arquivo de registro e uma entrada de registro contém todas as informações relacionadas a um evento específico. Os registros relacionados à segurança do computador estão mais importantes.
Proteção física do servidor
Energia - uma questão essencial na proteção de sistemas de informação são as considerações dos sistemas de energia elétrica. Um fornecimento contínuo de energia elétrica é crítico nas instalações atuais de servidores e enormes armazenamento de dados. 
Aquecimento, ventilação e ar condicionado (HVAC) - sistemas HVAC são importantes para a segurança de pessoas e sistemas de informação nas instalações da empresa. No projeto de instalações de TI modernas, esses sistemas têm um papel importante na segurança geral. Os sistemas HVAC controlam o ambiente (temperatura, umidade, fluxo de ar e filtragem de ar) e devem ser planejados e operados para funcionarem juntamente com outros componentes do data center, como hardware de computador, cabeamento, armazenamento de dados, proteção contra incêndio, sistemas de segurança física e potência. 
Monitoramento de hardware - o monitoramento de hardware muitas vezes é encontrado em “server farms”. Um “server farm” é uma instalação que hospeda centenas ou milhares de servidores para empresas. 
7.3 Blindagem (codificação) da rede
Proteção de dispositivos de rede
Centros de operação - o Centro de operações de rede (NOC) é um (ou mais) local que contém as ferramentas que fornecem aos administradores um status detalhado da rede da empresa. O NOC é a base da solução de problemas de rede, monitoramento de desempenho, distribuição e atualizações de software e gerenciamento de dispositivo.
Switches, roteadores e dispositivos de rede - dispositivos de rede são enviados sem senhas ou com senhas padrão. 
Os switches de rede são o centro da rede de comunicação de dados moderna. A ameaça principal aos switches de rede são roubos, invasão, acesso remoto, ataques contra os protocolos de rede, como ARP/STP, ou ataques contra o desempenho e a disponibilidade. 
VLANs - fornecem um caminho para os dispositivos de grupo dentro de uma LAN e em switches individuais. As VLANs usam conexões lógicas em vez de físicas.
Firewalls - são soluções de hardware ou software que aplicam políticas de segurança de rede. Um firewall filtra a entrada de pacotes não autorizados ou potencialmente perigosos na rede.
Roteadores - roteadores formam o backbone da Internet e das comunicações entre redes diferentes. Os roteadores se comunicam para identificar o melhor caminho possível de tráfego para redes diferentes. Os roteadores usam protocolos de roteamento para tomar as decisões de roteamento.
Dispositivos móveis e sem fio - dispositivos móveis e sem fio se tornaram o tipo predominante de dispositivos das redes mais modernas. Eles proporcionam mobilidade e praticidade, mas contêm várias vulnerabilidades. Essas vulnerabilidades incluem roubo, invasão, acesso remoto não autorizado, sniffing, ataques man in the middle, ataques ao desempenho e à disponibilidade. 
Rede e serviços de roteamento - criminosos virtuais usam serviços de rede vulneráveis para atacar um dispositivo ou usá-lo como parte do ataque. Proteger os serviços de rede garante que somente as portas necessárias estejam expostas e disponíveis. Serviços de rede incluem: DHCP, DNS, ICMP, serviços de roteamento (RIP, OSPF,IS-IS), NTP e outros.
Equipamento de voz e vídeo
Equipamentos de VoIP - usam redes como a Internet para fazer e receber chamadas de telefone. O equipamento necessário para VoIP inclui uma conexão com a Internet e um telefone. 
Câmeras - uma câmera da Internet envia e recebe dados sobre uma LAN e/ou a Internet. Um usuário pode visualizar remotamente um vídeo em tempo real usando um navegador da Web em uma ampla variedade de dispositivos, incluindo sistemas de computador, laptops, tablets e smartphones. As câmeras têm várias formas, incluindo a câmera de segurança tradicional. 
Equipamento de videoconferência - permite que dois ou mais locais se comuniquem simultaneamente usando tecnologias de telecomunicações. Essas tecnologias utilizam os novos padrões de vídeo de alta definição. A videoconferência agora é parte das operações diárias normais em setores como o setor de saúde (setor médico). 
Rede e sensores da IoT - um dos setores que cresce mais rápido na tecnologia da informação é o uso de sensores e dispositivos inteligentes. O setor de informática identifica esse setor como a Internet das Coisas (IoT). Empresas e consumidores usam dispositivos de IoT para automação de processos, monitoramento de condições ambientais e sistema de alerta ao usuário sobre condições adversas. 
7.4 Segurança física
Controle de acesso físico
Vedações e barricadas - barreiras físicas são a primeira coisa que vem à mente quando se pensa em segurança física. A camada mais externa de segurança e essas soluções são as mais visíveis publicamente. Um sistema de segurança de perímetro normalmente consiste em sistema de cercamento do perímetro, sistema de porta de segurança, moirões, barreiras de entrada de veículo e abrigos para guardas.
Biometria - são os métodos automatizados para o reconhecimento de um indivíduo com base em uma característica fisiológica ou comportamental. Os sistemas de autenticação de biometria incluem medições da face, digitais, geometria da mão, íris, retina, assinatura e voz. As tecnologias de biometria podem ser a base das soluções de identificação e verificação pessoal altamente seguras.
Logs de acesso e crachás - um crachá permite que um indivíduo obtenha acesso a uma área com pontos de entrada automatizada. Um ponto de entrada pode ser uma porta, uma catraca, um portão ou outra barreira. Os crachás de acesso usam diversas tecnologias, como tira magnética, código de barras ou biometria. O sistema registra a transação para recuperação posterior. Os relatórios revelam quem entrou, quando entrou e em quais pontos de entrada.
Vigilância
Guardas e escoltas - todos os controles de acesso físico inclusive os sistemas de detecção e dissuasão dependem de funcionários para intervir e interromper o ataque ou a intrusão real. Nas instalações com sistema de informação altamente seguro, guardas controlam o acesso a áreas confidenciais da empresa. 
Vigilância eletrônica e vídeo - esse tipo de vigilância pode complementar ou, em alguns casos, substituir os guardas de segurança. A vantagem da vigilância por vídeo e eletrônica é a capacidade de monitorar áreas mesmo que nenhum guarda ou pessoal esteja presente, a capacidade de gravar e registrar vídeos e dados de vigilância por longos períodos e a capacidade de incorporar a detecção e notificação de movimento.
RFID e vigilância sem fio - esses tipos de vigilância são usados para gerenciar e localizar recursos importantes do sistema de informações. 
Resumos/ResumoCAP5.odt
5.1 Tipos de controle de integridade de dados
Algoritmos hash
O hash é uma ferramenta que garante a integridade dos dados ao considerar dados binários (a mensagem) e produzir uma representação de comprimento fixo chamada de valor de hash ou message digest.
O hash é uma função matemática unidirecional
relativamente fácil de calcular, mas bastante difícil de reverter. Moer grãos de café é uma boa analogia para uma função unidirecional. É fácil moer grãos de café, mas é quase impossível unir novamente todos os pedaços para reconstruir os grãos originais.
Uma função de hash criptográfico tem as seguintes propriedades:
A entrada pode ser de qualquer tamanho.
A saída tem um tamanho fixo.
A função de hash é unidirecional e não é reversível.
Dois valores diferentes de entrada sempre resultam em valores de hash diferentes.
Há muitos algoritmos hash modernos amplamente usados atualmente. Dois dos mais populares são MD5 e SHA.
Algoritmo Message Digest 5 (MD5) - é um algoritmo de hash desenvolvido por Ron Rivest que produz um valor de hash de 128 bits. 
Secure Hash Algorithm (SHA) - foi desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST) e pode ser implementado em diferentes intensidades:
SHA-224 (224 bits)
SHA-256 (256 bits)
SHA-384 (384 bits)
SHA-512 (512 bits)
Salting 
O salting é usado para tornar o hash mais seguro. Se dois usuários têm a mesma senha, eles também terão os mesmos hashes de senha. Um SALT, que é uma cadeia de caracteres aleatória, é uma entrada adicional à senha antes do hash. 
Isso cria um resultado de hash diferente para as duas senhas. Um banco de dados armazena o hash e o SALT.
HMAC
Os HMACs fortalecem os algoritmos hash ao usar uma chave secreta adicional como entrada à função de hash. 
O uso do HMAC ultrapassa a garantira de integridade ao adicionar a autenticação. 
Um HMAC usa um algoritmo específico que combina uma função de hash de criptografia com uma chave secreta.
5.2 Assinaturas digitais
Assinaturas e a lei
As assinaturas digitais proporcionam a mesma funcionalidade que as assinaturas escritas a mão para documentos eletrônicos.
Uma assinatura digital é usada para determinar se alguém edita um documento depois que o usuário o assina. 
Uma assinatura digital é um método matemático usado para verificar a autenticidade e a integridade de uma mensagem, documento digital ou software.
Em muitos países, as assinaturas digitais têm a mesma importância jurídica que um documento assinado manualmente. 
Assinaturas digitais também oferecem repúdio.
Como funciona a tecnologia de assinatura digital
A criptografia assimétrica é a base das assinaturas digitais. Um algoritmo de chave pública, como o RSA, gera duas chaves: uma privada e outra pública. As chaves estão matematicamente relacionadas.
5.3 Certificados
Noções básicas de certidões digitais
Um certificado digital é equivalente a um passaporte eletrônico. 
Os certificados digitais permitem que os usuários, hosts e empresas troquem informações de forma segura através da Internet. 
Um certificado digital autentica e verifica que os usuários enviando uma mensagem são quem dizem ser. 
Os certificados digitais também podem proporcionar a confidencialidade para o destinatário por meio da criptografia de uma resposta.
Construção de um certificado digital
O certificado digital deve seguir uma estrutura padrão para que qualquer entidade possa lê-lo e entendê-lo independentemente do emissor. 
O X.509 é o padrão para a construção de certificados digitais e a infraestrutura de chave pública (PKI) usado para gerenciar certificados digitais. 
PKI consistem em políticas, funções e procedimentos necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais. 
5.4 Aplicação de integridade de banco de dados
Integridade do banco de dados
Os bancos de dados proporcionam uma maneira eficiente de armazenar, recuperar e analisar os dados. 
À medida que a coleta de dados aumenta e os dados se tornam mais confidenciais, é importante que os profissionais de segurança cibernética protejam o número cada vez maior de banco de dados. 
A integridade de dados refere-se à precisão, consistência e confiabilidade dos dados armazenados em um banco de dados. 
As quatro restrições ou regras de integridade do banco de dados são as seguintes:
Integridade da entidade: todas as linhas devem ter um identificador único chamado de chave primária.
Integridade do domínio: todos os dados armazenados em uma coluna devem seguir o mesmo formato e a mesma definição.
Integridade referencial: as relações de tabela devem permanecer coerentes. Portanto, um usuário não conseguirá excluir um registro que está relacionado a outro.
Integridade definida pelo usuário: um conjunto de regras definidas por um usuário que não pertence a uma das outras categorias. Por exemplo, um cliente faz um novo pedido. O usuário verifica primeiro para saber se é um novo cliente. Em caso afirmativo, o usuário adicionará o novo cliente à tabela de clientes.
Validação do banco de dados
Uma regra de validação verifica se os dados estão nos parâmetros definidos pelo projetista de banco de dados. Uma regra de validação ajuda a garantir a integridade, a precisão e a consistência dos dados. Os critérios usados na regra de validação incluem o seguinte:
Tamanho - verifica o número de caracteres em um item de dados
Formato - verifica se os dados estão de acordo com um formato especificado
Consistência - verifica a consistência dos códigos nos itens de dados relacionados
Intervalo - verifica se os dados estão dentro de valores mínimo e máximo
Dígito de verificação - oferece um cálculo extra para gerar um dígito de verificação para detecção de erros.
Requisitos de integridade de banco de dados
Manter um arquivamento correto é fundamental para preservar a confiança e a utilidade dos dados no banco de dados. 
Tabelas, registros, campos e dados dentro de cada campo compõem um banco de dados. 
Para manter a integridade do sistema de arquivos do banco de dados, os usuários devem seguir determinadas regras. 
A integridade da entidade é uma regra de integridade, declarando que cada tabela deve ter uma chave primária e que a coluna ou colunas escolhidas como chave primária devem ser exclusivas e não NULAS. 
Nula em um banco de dados significa valores ausentes ou desconhecidos. A integridade da entidade proporciona organização adequada dos dados para aquele registro.
Outra verificação de integridade importante é a integridade referencial que lida com chaves estrangeiras. Uma chave estrangeira em uma tabela faz referência a uma chave primária em uma segunda tabela. A chave primária de uma tabela é um identificador único das entidades (linhas) na tabela. A integridade referencial mantém a integridade das chaves estrangeiras.
A integridade do domínio garante que todos os itens de dados em uma coluna estejam dentro de um conjunto definido de valores válidos. Cada coluna em uma tabela tem um conjunto definido de valores, como o conjunto de todos os números de cartão de crédito, CPFs ou endereços de e-mail. Limitar um valor atribuído a uma instância dessa coluna (um atributo) reforça a integridade do domínio. O reforço de integridade do domínio pode ser tão simples quanto escolher o tipo de dado, comprimento ou formato de uma coluna.
Resumos/ResumoCAP6.odt
6.1 Alta disponibilidade
O que são os cinco noves?
Cinco noves significam que os sistemas e serviços estão disponíveis 99,999% do tempo. Também significam que o tempo de inatividade planejado e não planejado é menor que 5,26 minutos por ano. A alta disponibilidade refere-se a um sistema ou componente continuamente operacional por um determinado período. Para ajudar a garantir a disponibilidade:
Eliminar pontos únicos de falha
Design para confiabilidade
Detectar falhas à medida que ocorrem
 
Ambientes que precisam dos cinco noves
Embora o custo de sustentar a alta disponibilidade possa ser muito alto para alguns setores, vários ambientes necessitam de cinco noves.
O setor financeiro precisa manter uma alta disponibilidade para negociação contínua, conformidade e confiança do cliente. 
As instalações de serviços
de saúde necessitam de alta disponibilidade para fornecer cuidados ininterruptos aos pacientes. 
O setor de segurança pública inclui órgãos que fornecem segurança e serviços a uma comunicada, Estado ou nação. 
O setor de varejo depende de cadeias de abastecimento eficientes e da entrega de produtos aos clientes. A interrupção pode ser devastadora, especialmente durante os períodos de alta demanda, como feriados comemorativos.
Ameaças à disponibilidade
Existem muitos tipos diferentes de ameaças à alta disponibilidade. Elas podem variar da falha de um aplicativo de missão crítica a uma tempestade forte, como um furacão ou tornado. As ameaças também podem incluir eventos catastróficos, como um ataque terrorista, bombardeio de edifícios ou incêndio no edifício.
Projetar um sistema de alta disponibilidade
A alta disponibilidade incorpora três principais princípios para alcançar a meta de acesso ininterruptos aos dados e serviços:
Eliminação ou redução de pontos únicos de falha
Resiliência do sistema
Tolerância a falhas
6.2 Medidas para melhorar a disponibilidade
Gerenciamento de ativos
Uma empresa precisa saber quais ativos de hardware e software têm, a fim de protegê-los. O gerenciamento de ativos inclui um inventário completo de hardware e software. Isso significa que a empresa precisa saber todos os componentes que podem estar sujeitos a riscos de segurança, incluindo:
Cada sistema de hardware
Cada sistema operacional
Cada dispositivo de rede de hardware
Cada sistema operacional do dispositivo de rede
Cada aplicativo
Todos os firmwares
Todos os runtime environments de linguagens
Todas as bibliotecas individuais
Muitas empresas podem escolher uma solução automatizada para controlar os ativos. 
Classificação de ativos - atribui todos os ativos de uma empresa a um grupo com base em características comuns. Uma empresa deve aplicar um sistema de classificação de ativos para documentos, registros de dados, arquivos de dados e discos. 
Padronização de ativos - como parte de um sistema de gerenciamento de ativos de TI, uma empresa especifica os ativos de TI aceitáveis que atendam a seus objetivos
Identificação de ameaças - o United States Computer Emergency Readiness Team (US-CERT) e o departamento de segurança interna dos EUA patrocinam um dicionário de Common Vulnerabilities and Exposures (CVE, dicionário de Vulnerabilidades e Exposições Comuns). O CVE contém um número de identificadores padrão com uma breve descrição e referências para avisos e relatórios de vulnerabilidade relacionados. 
Análise de risco - é o processo de analisar os perigos representados pelos eventos naturais e causados por seres humanos aos ativos de uma empresa. Um usuário realiza a identificação de ativos para ajudar a determinar quais ativos serão protegidos. 
Mitigação - mitigação envolve reduzir a severidade da perda ou a probabilidade de a perda ocorrer. Muitos controles técnicos mitigam riscos, incluindo sistemas de autenticação, permissões de arquivo e firewalls. 
Defesa em profundidade
A defesa em profundidade não fornecerá um escudo cibernético impenetrável, mas ajudará a empresa a minimizar riscos, mantendo-se um passo à frente dos criminosos virtuais. Para garantir que as informações e os dados permaneçam disponíveis, uma empresa deve criar diferentes camadas de proteção:
Uma abordagem em camadas oferece a proteção mais abrangente. Se criminosos virtuais penetrarem uma camada, eles ainda precisarão lidar com várias outras camadas, cada uma mais complicada que a anterior. A disposição em camadas é a criação de uma barreira de várias defesas que, juntas, coordenam-se para prevenir ataques. 
Limitar o acesso aos dados e às informações reduz a possibilidade de uma ameaça. Uma empresa deve restringir o acesso, de modo que os usuários somente tenham o nível de acesso necessário para fazer o trabalho. 
A diversidade se refere a mudar os controles e procedimentos em diferentes camadas. Quebrar uma camada de segurança não compromete todo o sistema. Uma empresa pode usar diferentes algoritmos de criptografia ou sistemas de autenticação para proteger os dados em diferentes estados.
Ocultar informações também pode proteger dados e informações. Uma empresa não deve revelar informações que os criminosos virtuais poderiam usar para descobrir em qual versão do sistema operacional um servidor é executado ou o tipo de equipamento que ele usa. 
A complexidade não garante necessariamente a segurança. Se o processo ou a tecnologia for muito complexo, o resultado pode ser configurações incorretas ou a falha de conformidade. Na verdade, a simplicidade pode melhorar a disponibilidade.
Redundância
Um ponto de falha único deve ser identificado e abordado. Um ponto de falha único pode ser uma parte específica do hardware, um processo, uma parte específica de dados ou até mesmo um utilitário essencial. 
Únicos pontos de falha são links fracos na cadeia que podem provocar interrupção das operações da empresa. 
Geralmente, a solução para um único ponto de falha é modificar a operação crítica, de modo que não confie em um único elemento. 
A empresa também pode criar componentes redundantes na operação crítica, com o objetivo de assumir o processo, caso algum desses pontos falhem.
A redundância N + 1 garante a disponibilidade do sistema no caso da falha de um componente. 
Os componentes (N) precisam ter, no mínimo, um componente de backup (+1). 
Por exemplo, um carro tem quatro pneus (N) e um pneu sobressalente no porta-malas, caso um fure (+1).
A matriz redundante de discos independentes (RAID) combina vários discos rígidos físicos em uma única unidade lógica para oferecer redundância de dados e melhorar o desempenho. 
O RAID obtém os dados normalmente armazenados em um único disco e os espalha entre várias unidades. Se qualquer disco único for perdido, o usuário poderá recuperar os dados de outros discos que também hospedam os dados.
O RAID também pode aumentar a velocidade da recuperação de dados. 
O uso de várias unidades agiliza a recuperação de dados solicitados, em vez de depender de apenas um disco para fazer o trabalho.
Uma solução RAID pode ser baseada em software ou hardware. Os termos a seguir descrevem como a RAID armazena dados nos vários discos:
Paridade - Detecta erros de dados.
Distribuição - Grava dados em várias unidades.
Espelhamento - Armazena dados duplicados em uma segunda unidade.
Spanning Tree (STP) é um protocolo de rede que oferece para a redundância: 
A função básica do STP é prevenir loops em uma rede, quando os switches se interconectarem por vários caminhos. 
O STP garante que os links físicos redundantes estejam sem loop. Ele garante que haja somente um caminho lógico entre todos os destinos na rede. 
O STP bloqueia intencionalmente os caminhos redundantes que poderiam provocar um loop.
O gateway padrão é normalmente o roteador que fornece aos dispositivos o acesso para o resto da rede ou para a Internet. Se houver somente um roteador como gateway padrão, é um único ponto de falha. A redundância do roteador envolve:
Optar por instalar um roteador em espera adicional.
A capacidade de uma rede de se recuperar dinamicamente da falha de um roteador que atua como um gateway padrão é conhecida como redundância de primeiro salto.
Opções de redundância do roteador - as opções disponíveis para a redundância do roteador incluem:
Hot Standby Router Protocol (HSRP) - o HSRP fornece alta disponibilidade ao fornecer redundância de roteamento do primeiro salto. 
Protocolo de redundância de roteador (VRRP) - um roteador VRRP executa o protocolo VRRP em conjunto com um ou mais roteadores conectados a uma LAN. Em uma configuração de VRRP, o roteador eleito é o roteador virtual mestre, e os outros roteadores atuam como backup, se o roteador virtual mestre falhar.
Protocolo de balanceamento de carga do gateway (GLBP) - o GLBP protege o tráfego de dados de um roteador ou um circuito
com falha, como HSRP e VRRP, ao mesmo tempo que também permite o balanceamento de carga (também chamado de compartilhamento de carga) entre um grupo de roteadores redundantes.
Redundância de local - uma empresa pode precisar considerar a redundância de local, dependendo de suas necessidades. Os seguintes itens definem três formas de redundância de local:
Síncrono - sincroniza os dois locais em tempo real, requer alta largura de banda e os locais devem estar próximos um do outro para reduzir a latência.
Replicação assíncrona - não sincroniza em tempo real, mas próximo a isso, requer menos largura de banda e os locais podem estar mais distantes porque a latência não é tanto um problema.
Replicação em um momento específico - atualiza a localização de backup de dados periodicamente e é a opção mais conservadora de largura de banda, porque não exige uma conexão constante.
Resiliência do sistema
A resiliência define os métodos e as configurações usadas para fazer um sistema ou uma rede tolerante a falhas. Os protocolos de roteamento fornecem resiliência. O design resiliente é mais do que simplesmente adicionar redundância. A resiliência é fundamental para compreender as necessidades corporativas da empresa, para depois incorporar a redundância e criar uma rede resiliente.
6.3 Fases da resposta a incidentes
A resposta a incidentes define os procedimentos que uma empresa segue após a ocorrência de um evento fora do intervalo normal. Quando ocorre um incidente, a empresa deve saber como responder. As empresas precisam desenvolver um plano de resposta a incidentes e montar uma Equipe de resposta a incidentes de segurança do computador (CSIRT) para gerenciar a resposta. A resposta a incidentes consiste em quatro fases:
1 - Preparação - planejamento para possíveis incidentes
2 - Detecção e análise - descoberta do incidente
3 - Contenção e erradicação e recuperação - esforços para conter ou erradicar a ameaça imediatamente e começar os esforços de recuperação
4 - Acompanhamento pós-incidente - investigar a causa do incidente e fazer perguntas para entender melhor a natureza da ameaça
Existem muitas tecnologias que são usadas para implementar uma resposta a incidentes:
Network Admission Control (NAC) - permite o acesso à rede para usuários autorizados com sistemas em conformidade. Um sistema em conformidade atende a todos os requisitos de política da empresa. 
Sistemas de detecção de invasão (IDSs) - monitoram o tráfego na rede. Os IDS são passivos. 
Sistemas de prevenção de intrusões - operam no modo em linha. Ele consegue detectar e resolver imediatamente um problema de rede.
NetFlow e IPFIX - NetFlow é uma tecnologia Cisco IOS que fornece estatísticas em pacotes que passam por meio de um switch multicamadas ou de um roteador da Cisco. A Força-tarefa de engenharia da Internet (IETF, Internet Engineering Task Force) usou o NetFlow da Cisco, versão 9, como base para o exportação de informações de fluxo de IP (IPFIX).
Inteligência de ameaças avançada - pode ajudar as empresas a detectarem ataques durante uma das etapas do ataque digital (e, às vezes, antes dele, com a informação correta).
6.4 Recuperação de desastres
Planejamento da recuperação de desastres
Tipos de desastres - é fundamental manter uma empresa funcionamento quando ocorre um desastre. Um desastre inclui qualquer evento natural ou causado por humanos que danifica os ativos ou propriedade e prejudica a capacidade de operação da empresa.
Desastres naturais - desastres geológicos (terremotos, deslizamentos de terra, vulcões e tsunamis), desastres meteorológicos (furacões, tornados, nevascas, raios e granizo), desastres de saúde (doenças generalizadas, quarentenas e pandemias) e desastres diversos (incêndios, inundações, tempestades solares e avalanches).
Catástrofes causadas por seres humanos - catástrofes causadas por seres humanos (greves, passeatas e greve por lentidão), eventos sócio-políticos (vandalismo, bloqueios, protestos, sabotagem, terrorismo e guerra), eventos materiais (derramamentos perigosos e incêndios) e interrupções de utilitários (falhas de energia, falhas de comunicação, escassez de combustível e precipitação radioativa)
Planejamento de continuidade dos negócios
Necessidade de continuidade dos negócios - continuidade dos negócios é um dos conceitos mais importantes na segurança computacional. Mesmo que as empresas façam o que podem para evitar desastres e perda de dados, é impossível prever todos os cenários. É importante que as empresas tenham planos implementados para garantir a continuidade dos negócios, independentemente do que possa ocorrer. 
Considerações sobre a continuidade dos negócios - os controles de continuidade dos negócios são mais do que apenas fazer backup de dados e fornecer hardware redundante. Considerações sobre a continuidade dos negócios devem incluir: 
Documentação de configurações
Estabelecimento de canais de comunicação alternativos 
Fornecimento de energia
Identificação de todas as dependências para aplicações e processos 
Compreensão de como realizar essas tarefas automatização manualmente
Melhores práticas de continuidade dos negócios
1 - Escrever uma política que forneça orientações para desenvolver o plano de continuidade dos negócios e atribuir funções para realizar as tarefas.
2 - Identificar os processos e sistemas importantes e priorizá-los com base na necessidade.
3 - Identifique vulnerabilidades, ameaças e calcule os riscos.
4 - Identifique e implemente controles e contramedidas para reduzir o risco.
5 - Planeje métodos para recuperar rapidamente os sistemas críticos.
6 - Escrever os procedimentos para manter a empresa funcionando quando estiver em um estado caótico.
7 - Teste o plano.
8 - Atualize o plano regularmente.
Resumos/ResumoCAP3.odt
3.1 Malware e Código malicioso
Tipos de Malware
Os criminosos virtuais tem como alvo os dispositivos finais do usuário por meio da instalação do malware.
Vírus - um vírus é o código executável mal-intencionado anexado a outro arquivo executável, como um programa legítimo. A maioria dos vírus necessitam de inicialização do usuário final e podem ser ativados a uma hora ou data específica.
Worms - worms são códigos maliciosos que se replicam ao explorar, de forma independente, vulnerabilidades em redes. Os worms normalmente deixam a rede mais lenta. Enquanto um vírus requer um programa host para execução, os worms podem ser executados de modo autônomo. Exceto pela infecção inicial, os worms não precisam mais da participação do usuário.
Cavalo de Troia (Trojan) - um cavalo de Troia é um malware que realiza operações mal-intencionadas sob o pretexto de uma operação desejada, como um jogo on-line. Esse código malicioso explora os privilégios do usuário que o executa. Um cavalo de Troia difere de um vírus porque o cavalo de Troia se liga a arquivos não executáveis, como arquivos de imagem, arquivos de áudio ou jogos.
Bomba lógica - uma bomba lógica é um programa mal-intencionado que utiliza um gatilho para despertar o código malicioso. Por exemplo, os acionadores podem ser datas, horas, outros programas em execução ou a exclusão de uma conta de usuário. A bomba lógica permanece inativa até que o evento acionador aconteça. Assim que ativada, a bomba lógica implementa um código malicioso que danifica o computador.
Ransomware - Ransomware mantém um sistema de computador, ou os dados que ele contém, refém até o alvo fazer um pagamento. O ransomware normalmente funciona criptografando os dados no computador com uma chave desconhecida ao usuário.
Backdoors e Rootkits - uma backdoor ou rootkit se refere ao programa ou código introduzido por um criminoso que tenha comprometido um sistema. O backdoor ignora a autenticação normal usada para acessar o sistema. Um rootkit modifica o sistema operacional para criar um backdoor. Os invasores usam o backdoor para acessar o computador remotamente.
Ataques ao e-mail e navegador
O e-mail é um serviço universal usado por bilhões de pessoas em todo o mundo. Como um dos serviços mais populares, o e-mail se tornou uma grande vulnerabilidade para usuários e empresas. 
Spam - também conhecido como lixo eletrônico, é um e-mail não solicitado, nem autorizado. Na maioria dos casos, o spam é um método de anúncio. Entretanto, o spam pode enviar links perigosos, malware ou conteúdo enganoso. 
Spyware - spyware é um software que permite que um criminoso obtenha informações sobre as atividades do computador do usuário. O spyware frequentemente inclui rastreadores de atividade, coleta de toque de tela e captura de dados. Para tentar combater as medidas de segurança, o spyware quase sempre modifica as configurações de segurança.
Adware - adware normalmente exibe pop-ups irritantes para gerar receita para seus autores. O malware pode analisar os interesses do usuário rastreando os sites visitados. Em seguida, ele pode enviar anúncios pop-ups relacionados a esses sites.
Scareware - scareware induz o usuário a executar uma ação específica com base no medo. O scareware simula janelas pop-up que se assemelham às janelas de diálogo do sistema operacional.
Phishing - phishing é uma forma de fraude. Os criminosos virtuais usam e-mail, mensagem instantânea ou outras mídias sociais para coletar informações, como credenciais de logon ou informações da conta, ao colocar uma fachada de entidade ou pessoa confiável. O phishing ocorre quando uma parte mal-intencionada envia um e-mail fraudulento disfarçado de uma fonte legítima e confiável. A intenção da mensagem é enganar o destinatário para instalar o malware no dispositivo dele ou compartilhar informações pessoais ou financeiras.
Spear phishing - spear phishing é um ataque de phishing altamente direcionado. Embora o phishing e o spear phishing usem e-mails para alcançar as vítimas, o spear phishing envia e-mails personalizados a uma pessoa específica.
Vishing - vishing é o phishing que usa a tecnologia de comunicação por voz. Os criminosos podem falsificar as chamadas de origens legítimas usando a tecnologia VoIP (voice over IP). As vítimas também podem receber uma mensagem gravada que pareça legítima.
Pharming - pPharming é a imitação de um site legítimo na tentativa de enganar os usuários para que insiram suas credenciais.
Whaling - whaling é um ataque de phishing direcionado a alvos de alto nível dentro de uma empresa, como executivos seniores.
Plugins - os plugins Flash e Shockwave da Adobe viabilizam o desenvolvimento de animações gráficas e desenhos animados interessantes que melhoram consideravelmente a aparência de uma página da Web. Os plugins exibem o conteúdo desenvolvido usando o software apropriado.
Envenenamento de SEO - mecanismos de pesquisa como o Google funcionam com a classificação de páginas e apresentando resultados relevantes com base em consultas de pesquisa dos usuários. Dependendo da relevância do conteúdo do site, ele pode aparecer mais alto ou mais baixo na lista de resultado da pesquisa. SEO, abreviação de Search Engine Optimization (Otimização de mecanismo de pesquisa), é um conjunto de técnicas usadas para melhorar a classificação do site por um mecanismo de pesquisa. Embora muitas empresas legítimas se especializem na otimização de sites para melhor posicioná-las, o envenenamento de SEO usa a SEO para que um site mal-intencionado ocupe uma posição mais alta nos resultados da pesquisa.
Sequestrador de navegador - um sequestrador de navegador é o malware que altera as configurações do navegador de um computador para redirecionar o usuário para sites pagos pelos clientes de criminosos virtuais. Sequestradores de navegador geralmente fazem a instalação sem a permissão do usuário e, normalmente, fazem parte de um download drive-by.
3.2 Fraude
A arte de enganar
Engenharia Social - é um meio completamente não técnico de um criminoso coletar informações sobre um alvo. Engenharia Social é um ataque que tenta manipular indivíduos para realizar ações ou divulgar informações confidenciais.
Geralmente, os engenheiros sociais dependem da boa vontade das pessoas em ajudar, mas também exploram seus pontos fracos. Há alguns tipos de ataques de Engenharia Social:
Pretexting - acontece quando um invasor liga para um indivíduo e mente na tentativa de obter acesso a dados privilegiados. Um exemplo envolve um invasor que finge precisar de dados pessoais ou financeiros para confirmar a identidade do destinatário.
Uma coisa por outra coisa (recompensa) - é quando um invasor solicita informações pessoais de alguém em troca de algo, como um presente.
Tipos de fraude
Navegação bisbilhoteira (Shoulder Surfing) e busca na lixeira - refere-se a descobrir senhas, códigos de acesso ou números de cartão de crédito. Um invasor pode estar perto da sua vítima ou pode usar binóculos ou câmeras de circuito fechado para descobrir informações.
Imitação e trote - imitação é a ação de fingir ser outra pessoa. Por exemplo, um scam de telefone recente tinha como alvo oscontribuintes. Um criminoso, disfarçado de funcionário da Receita Federal, dizia para as vítimas que elas deviam dinheiro à Receita.
Carona e tailgating - a carona ocorre quando um criminoso acompanha uma pessoa autorizada para conseguir entrar em um local seguro ou uma área restrita. Tailgating é outro termo que descreve a mesma prática.
Truques on-line, por e-mail e na Web - encaminhar trotes por e-mails, piadas, filmes engraçados e e-mails não relacionados ao trabalho durante o expediente pode violar a política de uso aceitável da empresa e resultar em ações disciplinares.
3.3 Ataques
Tipos de ataques cibernéticos
Ataques de negação de serviço (DoS) - são um tipo de ataque de rede. Um ataque de negação de serviço (DoS) resulta em algum tipo de interrupção de serviço aos usuários, dispositivos ou aplicações. Os ataques de negação de serviço (DoS) são um grande risco porque podem facilmente interromper a comunicação e causar perda considerável de tempo e dinheiro. Esses ataques são relativamente simples de conduzir, mesmo por um invasor não capacitado.
Sniffing - sniffing é semelhante a escutar alguém às escondidas. Eles ocorrem quando os invasores examinam todo o tráfego de rede à medida que passa pela placa de rede, independentemente de se o tráfego é endereçado a eles ou não. Os criminosos conseguem vasculhar a rede com um aplicativo, dispositivo de hardware ou uma combinação dos dois. 
Spoofing - spoofing é um ataque de imitação, em que se aproveita de uma relação de confiança entre dois sistemas. Se os dois sistemas aceitam a autenticação de cada um deles, um indivíduo conectado a um sistema pode não passar novamente pelo processo de autenticação novamente para acessar outro sistema.
Ataque indireto - um criminoso executa um ataque indireto (Man-in-the-Middle, MitM) interceptando comunicações entre computadores para roubar informações que cruzam a rede. O criminoso também pode optar por manipular as mensagens e transmitir informações falsas entre os hosts, já que os hosts não sabem que uma modificação de mensagens ocorreu. O MitM permite que o criminoso controle o dispositivo sem o conhecimento do usuário.
Ataques de dia zero - um ataque de dia zero, às vezes conhecido como uma ameaça de dia zero, é um ataque de computador que tenta explorar as vulnerabilidades do software que são desconhecidas ou não divulgadas pelo fornecedor do software. O termo zero hora descreve o momento em que alguém descreve essas explorações. 
Registro de teclado - é um software que grava ou registra os toques de teclas do usuário do sistema. Os criminosos podem implementar registradores de toque de tela no software instalado em um sistema de computador ou por meio de um hardware fisicamente conectado a um computador. O criminoso configura o software registrador de tecla para enviar um e-mail com o arquivo de log. Os toques de tela capturados no arquivo de log podem revelar nomes de usuários, senhas, sites acessados e
outras informações confidenciais.
Ataques sem fio e móveis
Grayware e SMiShing
Grayware inclui aplicativos que se comportam de modo incômodo ou indesejável. O grayware pode não ter malware reconhecível oculto, mas pode ser um risco ao usuário. O grayware está se tornando um problema na segurança móvel com a popularidade dos smartphones.
SMiShing é abreviação do SMS phishing. Ele usa o Serviço de mensagens curtas (SMS) para enviar mensagens de texto falsas. Os criminosos fazem com que o usuário acesse um site ou ligue para um telefone. As vítimas enganadas podem fornecer informações confidenciais, como dados de cartão de crédito. O acesso a um site pode resultar em download de malware que invade o dispositivo, sem o conhecimento do usuário.
Access points não autorizados - um access point não autorizado é um access point sem fio instalado em uma rede segura sem autorização explícita. Um access point não autorizado pode ser configurado de duas maneiras. 
Congestionamento de RF - sinais sem fio são suscetíveis à interferência eletromagnética (EMI), interferência de rádio frequência (RFI) e podem até ser suscetíveis a ruídos ou reatores de luzes fluorescentes. Sinais sem fio também são suscetíveis a congestionamento deliberado. O congestionamento de radiofrequência (RF) interfere na transmissão de uma estação de rádio ou satélite, para que o sinal não alcance a estação de recepção.
Bluejacking e Bluesnarfing - bluejacking é o termo usado para enviar mensagens não autorizadas para outro dispositivo Bluetooth. O bluesnarfing ocorre quando o invasor copia as informações da vítima no dispositivo dela. Essas informações podem incluir e-mails e listas de contato.
Ataques de WEP e WPA
Wired Equivalent Privacy (WEP) é um protocolo de segurança que tentou fornecer uma rede local sem fio (WLAN) com o mesmo nível de segurança que uma LAN com fio. Como as medidas de segurança físicas ajudam a proteger uma LAN com fio, o WEP procura fornecer proteção similar para dados transmitidos pela WLAN com criptografia.
O WEP usa uma chave de criptografia.
Não há provisão para gerenciamento de chave com WEP, então o número de pessoas que compartilham a chave continuará crescendo.
WiFi Protected Access (WPA) e, depois, WPA2 surgiram como protocolos melhorados para substituir o WEP. O WPA2 não tem os mesmos problemas de criptografia pois um invasor não pode recuperar a chave pela observação do tráfego.
O WPA2 é suscetível ao ataque porque os criminosos virtuais podem analisar os pacotes transmitidos entre o access point e um usuário legítimo.
Os criminosos virtuais usam um sniffer de pacote e, em seguida, executam os ataques off-line na senha.
Defesa contra ataques de dispositivo sem fio e móvel
Há várias etapas que devem ser seguidas para se defender contra ataques ao dispositivo sem fio e móvel.
A maioria dos produtos WLAN usa configuração padrão. Utilize os recursos de segurança básicos sem fio, como autenticação e criptografia, ao alterar as configuração padrão.
Restringir a colocação do ponto de acesso na rede ao posicionar esses dispositivos fora do firewall ou dentro de uma zona desmilitarizada (DMZ) que contenha outros dispositivos não confiáveis como servidores de e-mail e Web.
As ferramentas WLAN, como NetStumbler, podem descobrir access points e estações de trabalho não autorizados. Desenvolva uma política de convidado para abordar a necessidade de os convidados legítimos precisarem se conectar à Internet durante a visita. Para funcionários autorizados, utilize uma rede privada virtual de acesso remoto (VPN) para acessar a WLAN.
Ataques de aplicativos
Script entre sites (XSS) - é uma vulnerabilidade encontrada em aplicativos da Web. XSS permite que os criminosos injetem scripts em páginas da Web visualizadas por usuários. Esse script pode ter código malicioso. O script entre sites tem três participantes: o criminoso, a vítima e o site. O criminoso virtual não mira diretamente em uma vítima. O criminoso explora a vulnerabilidade em um site ou aplicativo da Web. Os criminosos injetam scripts no cliente em páginas da Web visualizadas pelos usuários, as vítimas.
Ataques por injeção de código - uma maneira de armazenar dados em um site é usar um banco de dados. Há vários tipos diferentes de bancos de dados, como Structured Query Language (SQL) ou Extensible Markup Language (XML). Ambos os ataques de injeção de XML e SQL exploram as vulnerabilidades no programa, como a não validação correta de consultas de banco de dados.
Saturação do buffer - uma saturação do buffer ocorre quando dados ultrapassam os limites de um buffer. Os buffers são áreas de memórias alocadas a um aplicativo. Ao alterar os dados além dos limites de um buffer, o aplicativo acessa a memória alocada a outros processos. Isso pode levar à queda do sistema, comprometimento de dados ou fornecer o escalonamento de privilégios.
Vulnerabilidades de execuções de código remoto permitem que um criminoso virtual execute um código malicioso e assuma o controle de um sistema com os privilégios do usuário executando a aplicação. A execução de código remota permite que o criminoso execute qualquer comando em uma máquina de destino.
Controles ActiveX e Java oferecem recursos de plugin para o Internet Explorer.
Os controles ActiveX são partes de softwares instalados pelos usuários para fornecer recursos estendidos. Terceiros escrevem alguns controles ActiveX e, portanto, podem ser mal-intencionados. Eles podem monitorar os hábitos de navegação, instalar malware ou registrar toques de tela. Os controles Active X também funcionam em outros aplicativos da Microsoft.
O Java opera por meio de um intérprete, o Java Virtual Machine (JVM). O JVM ativa a funcionalidade do programa Java. O JVM coloca em sandboxes ou isola o código não confiável do restante do sistema operacional. Essas vulnerabilidades permitem ao código não confiável ignorar as restrições impostas pelo sandbox.
Defesa contra ataques de aplicativo
A primeira linha de defesa contra um ataque de aplicativo é escrever um código sólido.
Independentemente da linguagem usada, ou da origem da entrada externa, a prática de programação recomendada é tratar todas as entradas externas como uma função hostil.
Valide todas as entradas como se fossem hostis.
Mantenha todos os softwares, inclusive os sistemas operacionais e aplicativos, atualizados e não ignore as atualizações solicitadas.
Nem todos os programas atualizam automaticamente, então, no mínimo, selecione sempre a opção de atualização manual.
Resumos/ResumoCAP1.odt
Capítulo 1:Segurança cibernética - Um mundo de especialistas e criminosos
1.1 O mundo da segurança cibernética
Os sites e o poder dos dados
Grandes empresas foram criadas ao coletar e aproveitar o potencial dos dados e da análise de dados
Essas empresas têm a responsabilidade de proteger esses dados do uso indevido e do acesso não autorizado
O aumento de dados criou grandes oportunidades para especialistas em segurança cibernética
Domínios
Empresas de grande e pequeno porte têm reconhecido o poder do big data e da análise de dados
Empresas como Google, LinkedIn e Amazon oferecem serviços e oportunidades importantes para seus clientes
Se não forem tomadas precauções para proteger dados confidenciais de criminosos ou de outras pessoas que tenham a intenção de causar danos, o aumento da análise e da coleta de dados apresentará grandes riscos a indivíduos e à vida moderna.
Hoje em dia, os especialistas digitais têm a tecnologia para acompanhar as tendências do clima em todo o mundo, monitorar os oceanos e rastrear o movimento e o comportamento de pessoas, animais e objetos em tempo real.
Novas tecnologias surgiram, como os Sistemas de Informação Geoespacial (SIG) e a Internet das Coisas (IoT). Elas dependem da análise e da coleta de enormes volumes de dados.
Essa coleta de dados cada vez maior pode ajudar as pessoas a economizar energia, melhorar a eficiência e reduzir os riscos de
segurança. 
1.2 Criminosos da segurança cibernética versus Especialistas em segurança cibernética
Hackers - este grupo de criminosos invade computadores ou redes para obter acesso por vários motivos.
Hackers “do bem” (White hats) invadem redes ou sistemas de computador para descobrir pontos fracos e melhorar a segurança desses sistemas.
Hackers “suspeitos” (Gray hats) estão entre os invasores “do bem” (White hats) e “do mal” (Black Hats). Os invasores cinzas (Gray Hats) podem encontrar uma vulnerabilidade e relatá-la para os proprietários do sistema, se essa ação coincidir com sua agenda.
Hackers “do mal” (Black Hats) são criminosos antiéticos que violam a segurança do computador e da rede para ganho pessoal ou por motivos mal-intencionados, como atacar redes. 
Os criminosos existem das mais variadas formas. Cada criminoso tem seus próprios motivos:
Script Kiddies - adolescentes ou hobbysts que se limitam principalmente a brincadeiras e vandalismo, têm pouca ou nenhuma qualificação e muitas vezes utilizam ferramentas prontas ou instruções encontradas na Internet para lançar ataques. 
Corretores de vulnerabilidade - hackers “suspeitos” (Gray Hats) tentam descobrir explorações e relatá-las aos fornecedores, às vezes por prêmios ou recompensas.
Hacktivistas - hackers “suspeitos” (Gray Hats) que se unem e protestam contra diferentes ideias políticas e sociais. Os hacktivistas protestam publicamente contra organizações ou governos, publicando artigos, vídeos, vazando informações confidenciais e realizando ataques DDoS (Denial of Service, Negação de serviço).
Os criminosos existem das mais variadas formas. Cada criminoso tem seus próprios motivos:
Criminosos virtuais - hackers “do mal” (Black hats) são independentes ou trabalham para grandes empresas de crime digital. A cada ano, os criminosos virtuais são responsáveis por roubar bilhões de dólares de consumidores e empresas.
Hackers patrocinados pelo estado - dependendo do ponto de vista, eles são hackers “do bem” (White hats) ou “do mal” (Black hats) que roubam segredos do governo, reúnem informações e sabotam redes. Seus alvos são governos estrangeiros, grupos terroristas e corporações. A maioria dos países do mundo participam, em algum grau, em ataques de hackers patrocinados pelo estado.
Impedir os criminosos virtuais é uma tarefa difícil. Empresas, governos e empresas internacionais têm começado a realizar ações coordenadas para limitar ou se defender de criminosos virtuais. As ações coordenadas incluem:
Banco de dados de vulnerabilidade: a base de dados Nacional de CVE (Common Vulnerabilities and Exposures, Vulnerabilidades e exposições comuns) é um exemplo do desenvolvimento de um banco de dados nacional. O banco de dados nacional de CVE foi desenvolvido para fornecer um banco de dados publicamente disponível de todas as vulnerabilidades conhecidas. http://www.cvedetails.com/
Sistemas de aviso inicial: o projeto Honeynet é um exemplo de criação de sistemas de aviso inicial. O projeto fornece um HoneyMap, que exibe visualização em tempo real de ataques. https://www.honeynet.org/node/960
Compartilhamento de informações digitais: InfraGard é um exemplo de compartilhamento amplamente disseminado de informações digitais. O programa InfraGard é uma parceria do setor privado. Os participantes são dedicados a compartilhar informações e inteligência para evitar ataques cibernéticos. https://www.infragard.org/
Normas ISM: os padrões ISO 27000 são exemplos de Padrões de Gerenciamento de Segurança da Informação. Os padrões fornecem uma estrutura para implementar medidas de segurança cibernética dentro de uma organização. http://www.27000.org/
Novas leis: o grupo ISACA acompanha leis decretadas relacionadas à segurança cibernética. Essas leis podem abordar a privacidade individual para proteção de propriedade intelectual. São exemplos dessas leis: Cybersecurity Act, Federal Exchange Data Breach Notification Act e Data Accountability and Trust Act. http://www.isaca.org/cyber/pages/cybersecuritylegislation.aspx
1.3 Ameaças comuns
Os especialistas em segurança cibernética contam com informações para reconhecer a influência dos dados e aproveitar esse potencial para criar grandes empresas, oferecer serviços e proteger as pessoas contra ataques digitais
Especialistas em segurança cibernética reconhecem a ameaça que os dados apresentam se forem usados contra pessoas
Uma ameaça de segurança cibernética é a possibilidade de que ocorra um evento prejudicial, como um ataque
A vulnerabilidade digital é a fraqueza que torna um alvo suscetível a um ataque
Ameaças digitais são principalmente perigosas para certos setores devido ao tipo de informações que eles coletam e protegem
Os exemplos a seguir são apenas algumas fontes de dados que podem vir de empresas estabelecidas:
Informações pessoais
Registros médicos
Registros de educação
Registros de emprego e financeiros
Serviços de rede como DNS, HTTP e bancos de dados on-line são os alvos principais dos criminosos virtuais.
Os criminosos usam ferramentas de sniffing de pacotes para capturar streams de dados em uma rede. Sniffers de pacote funcionam monitorando e registrando todas as informações que passam por uma rede. 
Os criminosos também podem usar dispositivos não autorizados, como pontos de acesso Wi-Fi inseguro. 
A falsificação de pacotes (ou injeção de pacotes) interfere na comunicação de uma rede estabelecida inserindo pacotes para aparecer como se fossem parte de uma comunicação.
Os domínios incluem:
Produção
 Controles do setor
 Automação
 SCADA
Distribuição e produção de energia
 Distribuição de energia elétrica e rede inteligente
 Petróleo e gás
Comunicação 
 Telefone
 E-mail
 Mensagens
Sistemas de transporte
 Viagens aéreas
 Trilho
 Pela estrada
Em um nível pessoal, todos precisam proteger sua identidade, seus dados e seus dispositivos computacionais.
No nível corporativo, é responsabilidade dos funcionários proteger a reputação, os dados e os clientes da organização.
No nível do estado, a segurança nacional e a segurança do bem-estar dos cidadãos estão em jogo.
Nos EUA, a NSA (National Security Agency, Agência de segurança nacional) é responsável por atividades de coleta de inteligência e de vigilância.
As iniciativas para proteger o estilo de vida das pessoas entram em conflito com seu direito à privacidade.
1.4 Disseminação de ameaças à segurança cibernética
Os ataques podem se originar de dentro de uma organização ou de fora da organização, conforme mostrado na figura.
Ameaças à segurança interna
Um usuário interno, como um funcionário ou parceiro de contrato, pode ser uma ameaça de forma acidental ou intencional
Ameaças internas têm o potencial de causar maior dano que as ameaças externas, pois os usuários internos têm acesso direto ao edifício e a seus dispositivos de infraestrutura. Os invasores internos normalmente têm conhecimento da rede corporativa, de seus recursos e de seus dados confidenciais. Eles também podem ter conhecimento de contramedidas de segurança, políticas e níveis mais altos de privilégios administrativos.
Ameaças à segurança externa
Ameaças externas de amadores ou invasores habilidosos podem explorar vulnerabilidades em dispositivos conectados em rede ou podem usar engenharia social, como enganações, para ter acesso. 
Ataques externos exploram fraquezas ou vulnerabilidades para obter acesso a recursos externos.
Vulnerabilidades de dispositivos móveis - no passado, os funcionários normalmente usavam computadores da empresa conectados a uma LAN corporativa. 
Hoje, dispositivos móveis, como iPhones, smartphones, tablets e milhares de outros dispositivos, estão se tornando substitutos poderosos ou adições, ao computador tradicional. 
Mais e mais pessoas estão usando esses dispositivos para acessar informações empresariais. Traga seu próprio dispositivo (BYOD) é uma tendência cada vez mais forte. 
A incapacidade de
gerenciar e atualizar de maneira central dispositivos móveis impõe uma ameaça cada vez maior às empresas que permitem dispositivos móveis de funcionários em suas redes.
Surgimento da Internet das Coisas -a Internet das Coisas (IoT) é um conjunto de tecnologias que possibilitam a conexão de vários dispositivos à Internet. 
As tecnologias IoT permitem às pessoas conectarem bilhões de dispositivos à Internet. Esses dispositivos incluem aparelhos, bloqueios, motores e dispositivos de entretenimento, para citar apenas alguns. 
Essa tecnologia afeta a quantidade de dados que precisam de proteção. Os usuários acessam esses dispositivos remotamente, o que aumenta o número de redes que precisam de proteção.
Com o surgimento da IoT, há muito mais dados que precisam ser gerenciados e protegidos. Todas essas conexões, além da maior capacidade de armazenamento e de serviços de armazenamento oferecidos na nuvem e na virtualização, geraram o crescimento exponencial de dados. 
Impacto do Big Data – Big Data é o resultado de conjuntos de dados que são grandes e complexos, o que torna as aplicações de processamento de dados tradicionais inadequadas. O big data impõe desafios e oportunidades, com base em três dimensões:
O volume ou a quantidade de dados
A velocidade ou a rapidez dos dados
A variedade ou a gama de tipos e fontes de dados
Há vários exemplos de grandes ataques corporativos de hackers nos jornais. Como resultado, os sistemas empresariais exigem mudanças drásticas nos designs dos produtos de segurança e atualizações consideráveis nas tecnologias e nas práticas. Além disso, os governos e as indústrias estão introduzindo mais regulamentações e demandas que exigem melhor proteção dos dados e controles de segurança para ajudar a proteger o big data.
Armas avançadas
Advanced Persistent Threat (APT) é um tipo de invasão de computador contínua que passa despercebida em relação a um objeto específico. Os criminosos normalmente escolhem um APT por motivos comerciais ou políticos.
Ataques de algoritmo podem rastrear dados de geração automática de relatório do sistema, como quanta energia um computador está usando e usar essas informações para disparar alertas falsos. Ataques algorítmicos são mais desonestos, pois exploram os designs usados para melhorar a economia de energia, reduzir as falhas do sistema e melhorar as eficiências.
Seleção inteligente de vítimas. No passado, os ataques selecionariam o fruto mais baixo da árvore ou as vítimas mais vulneráveis. A maioria dos ataques mais sofisticados só é lançada se o invasor conseguir corresponder as assinaturas da vítima.
Escopo mais amplo e efeito cascata
O gerenciamento de identidades federadas refere-se a várias empresas que permitem que seus usuários usem as mesmas credenciais de identificação para obter acesso às redes de todas as empresas do grupo. A meta do gerenciamento de identidades federadas é compartilhar informações de identidade automaticamente entre fronteiras.
A forma mais comum de proteger identidades federadas é vincular a habilidade de login a um dispositivo autorizado.
Implicações de segurança
Há muitas implicações de segurança associadas às forças obscuras da segurança cibernética, incluindo as centrais de atendimento de emergência nos Estados Unidos que estão vulneráveis a ataques digitais que poderiam interromper as redes de telefonia de emergência, colocando a segurança pública em risco.
Um ataque TDoS (Telephone denial of service, negação de serviço por telefone) usa telefonemas contra uma rede de telefone-alvo, ocupando o sistema e impedindo que ligações legítimas sejam completadas.
A próxima geração de centrais de atendimento de telefonia de emergência estão vulneráveis porque usam sistemas de voz sobre IP (VoIP) em vez de telefones fixos tradicionais.
Maior reconhecimento de ameaças à segurança cibernética
A defesa contra ataques cibernéticos no início da era virtual era inadequada. Um aluno do ensino médio ou um script kiddie conseguia obter acesso aos sistemas.
Agora, países de todo o mundo estão mais conscientes da ameaça de ataques digitais. A ameaça imposta por ataques cibernéticos agora encabeça a lista das maiores ameaças à segurança nacional e econômica na maioria dos países.
1.5 Criação de mais especialistas
Como abordar a falta de especialistas em segurança cibernética
Nos EUA, o Instituto Nacional de Padrões e Tecnologia (NIST) criou uma estrutura para empresas e organizações que precisam de profissionais de segurança cibernética. A estrutura permite às empresas identificar os principais tipos de responsabilidades, cargos e habilidades da força de trabalho necessários. 
As sete categorias de trabalho da segurança cibernética
A estrutura da força de trabalho classifica o trabalho da segurança cibernética em sete categorias.
Operar e manter - oferece suporte, administração e manutenção para garantir a segurança e o desempenho do sistema de TI
Proteger e defender - identifica, analisa e atenua ameaças a redes e sistemas internos
Investigar - investiga eventos digitais e/ou crimes digitais, envolvendo recursos de TI
Coletar e operar - operações de negação e fraude especializadas e coleta de informações de segurança cibernética
Analisar - análise e avaliação altamente especializadas das informações de segurança cibernética recebidas para determinar se elas são úteis para a inteligência
Supervisão e desenvolvimento - faz com que a liderança, a gestão e a direção façam o trabalho de segurança cibernética com eficiência.
Provisão segura - conceitualização, elaboração do projeto e criação de sistemas de TI seguros
Dentro de cada categoria, há várias áreas de especialização. As áreas de especialização definem tipos comuns de trabalho de segurança cibernética.
Organizações profissionais
Os especialistas em segurança cibernética devem colaborar, frequentemente, com os colegas profissionais. As organizações internacionais de tecnologia geralmente patrocinam workshops e conferências. Acesse cada site com sua turma e explore os recursos disponíveis.
Estudantes, organizações e competições de segurança cibernética
Os especialistas de segurança cibernética devem ter as mesmas habilidades que os hackers, especialmente os hackers do mal (Black Hats), para proteger contra ataques. 
Como um indivíduo pode desenvolver e praticar as qualificações profissionais necessárias para se tornar um especialista em segurança cibernética? 
As competições de qualificações profissionais entre alunos é uma ótima forma de desenvolver habilidades e qualificações profissionais de conhecimento. 
Há muitas competições nacionais de qualificações profissionais em segurança cibernética disponíveis para estudantes de segurança cibernética.
Certificações do setor
Em um mundo de ameaças à segurança cibernética, há uma grande necessidade por profissionais de segurança da informação com conhecimento e qualificações profissionais. O setor de TI estabeleceu padrões para que os especialistas em segurança cibernética obtenham certificações profissionais que forneçam provas das qualificações profissionais e do nível de conhecimento.
CompTIA Security + - Security + é um programa de teste patrocinados pela CompTIA que certifica a competência dos administradores de TI quanto à garantia da informação.
EC-Council Certified Ethical Hacker (CEH) - CEH é uma certificação de nível intermediário que declara que especialistas em segurança cibernética em posse desta credencial possuem as qualificações profissionais e os conhecimentos de várias práticas de invasão.
SANS GIAC Security Essentials (GSEC) - a certificação GSEC é uma boa escolha de credencial de nível básico para especialistas em segurança cibernética, capazes de demonstrar que compreendem os conceitos e a terminologia de segurança e têm qualificações profissionais e conhecimentos necessários para exercer funções de segurança "práticas". O programa SANS GIAC oferece várias certificações adicionais
nos campos de administração de segurança, computação forense e auditoria.
(ISC)^2 Certified Information Systems Security Professional (CISSP) - a certificação CISSP é uma certificação independente de fornecedor para especialistas em segurança cibernética com grande experiência técnica e gerencial. Também é formalmente aprovada pelo Departamento de defesa (DoD) dos EUA e é uma certificação mundialmente reconhecida no setor, na área de segurança.
ISACA Certified Information Security Manager (CISM) - especialistas em segurança cibernética responsáveis pela gestão, pelo desenvolvimento e pela supervisão de sistemas de segurança de informações em nível corporativo ou para aqueles que desenvolvem melhores práticas de segurança, podem qualificar-se para o CISM.
Certificações patrocinadas pela empresa - outra credencial importante para especialistas em segurança cibernética são as certificações patrocinadas por empresas. Essas certificações medem o conhecimento e a competência na instalação, configuração e manutenção de produtos dos fornecedores. Cisco e Microsoft são exemplos de empresas com certificações que testam o conhecimento de seus produtos. Clique aqui para explorar a matriz das certificações da Cisco mostradas na figura.
Cisco Certified Network Associate Security (CCNA Security) - a certificação CCNA Security valida que um especialista em segurança cibernética tem os conhecimentos e qualificações profissionais necessários para proteger redes da Cisco.
Como se tornar um especialista em segurança cibernética
Especialistas em segurança cibernética devem ser capazes de responder as ameaças assim que elas ocorrem. Isso significa que as horas de trabalho podem ser um pouco não convencionais. Especialistas em segurança cibernética também analisam políticas, tendências e tem a inteligência para compreender como os criminosos virtuais pensam. Muitas vezes, pode envolver um grande trabalho de detetive. Veja aqui um bom conselho para se tornar um especialista em segurança cibernética:
Estudar: aprenda o básico com os cursos de TI. Seja estudante a vida inteira. A segurança cibernética é um campo que sempre representa desafios e os especialistas de segurança cibernética sempre devem estar atentos.
Busque certificações: certificações patrocinadas pelo setor e por empresas como Microsoft e Cisco comprovam o conhecimento necessário para procurar emprego como especialista em segurança cibernética.
Buscar estágios: procurar um estágio na área de segurança enquanto aluno pode abrir portas ao longo do caminho.
Junte-se a empresas profissionais: faça parte de empresas de segurança computacional, participe de reuniões, conferências, fóruns e blogs para obter conhecimento de especialistas.
Resumos/ResumoCAP4.odt
4.1 Criptografia
A criptologia é a ciência de criar e violar os códigos secretos. A criptografia é o modo de armazenar e transmitir dados, de modo que somente o destinatário pretendido possa ler ou processá-los. A criptografia moderna usa algoritmos seguros em relação à computação para nos certificar de que os criminosos virtuais não possam comprometer facilmente as informações protegidas.
O histórico de criptografia começou em círculos diplomáticos há milhares de anos. Os mensageiros da corte real levavam mensagens criptografadas para outras cortes. Ocasionalmente, cortes não envolvidas na comunicação tentavam roubar as mensagens enviadas a um reino considerado inimigo. Não muito tempo depois, os comandantes começaram a usar a criptografia para proteger as mensagens.
Cada método de criptografia usa um algoritmo específico, chamado código, para criptografar e descriptografar as mensagens. Um código é uma série de etapas bem definidas usadas para criptografar e descriptografar as mensagens. Há vários métodos de criar um texto codificado:
Transposição 
Substituição 
Única senha
Dois tipos de criptografia
Há duas classes de algoritmos de criptografia:
Algoritmos simétricos - estes algoritmos usam a mesma chave pré-compartilhada, às vezes chamada de um par de chaves secretas, para criptografar e descriptografar dados. O remetente e o destinatário conhecem a chave pré-compartilhada, antes de qualquer comunicação criptografada começar. 
Algoritmos assimétricos - algoritmos de criptografia assimétricos usam uma chave para criptografar dados e uma chave diferente para descriptografá-los. Uma chave é pública e outra é privada. Em um sistema de criptografia com chave pública, qualquer pessoa pode criptografar uma mensagem usando a chave pública do destinatário, e o destinatário é o único que pode descriptografá-la usando a chave privada. As partes trocam mensagens seguras sem precisar de uma chave pré-compartilhada. Algoritmos assimétricos são mais complexos. Esses algoritmos usam muitos recursos e são mais lentos para executar.
Criptografia com chave privada
Processo de criptografia simétrica - algoritmos simétricos usam chaves pré-compartilhadas para criptografar e descriptografar dados, um método também conhecido como criptografia com chave privada. Vários sistemas de criptografia usam a criptografia simétrica. Alguns padrões de criptografia comuns que usam criptografia simétrica:
3DES (DES triplo): Digital Encryption Standard (DES) é uma cifra de bloco simétrico com tamanho de bloco de 64 bits que usa uma chave de 56 bits. O Triplo DES criptografa três vezes os dados e usa uma chave diferente para, no mínimo, uma das três passagens, fornecendo um tamanho de chave cumulativa de 112-168 bits. 
IDEIA: o Algoritmo de Criptografia de Dados International (IDEA) usa blocos de 64 bits e chaves de 128 bits. O IDEA realiza oito transformações em cada um dos 16 blocos que resultam na divisão de cada bloco de 64 bits. O IDEA substituiu o DES e agora o PGP (Pretty Good Privacy) o utiliza. 
AES: o Advanced Encryption Standard (AES) tem um tamanho de bloco fixo de 128 bits, com um tamanho de chave de 128, 192 ou 256 bits. O Instituto Nacional de Padrões e Tecnologia (NIST) aprovou o algoritmo AES em dezembro de 2001. O governo norte-americano usa o AES para proteger informações confidenciais.
Criptografia com chave pública
Processo de criptografia assimétrica - criptografia assimétrica, também chamada de criptografia com chave pública, utiliza uma chave de criptografia que é diferente da chave usada para descriptografia. Um criminoso não pode calcular uma chave de descriptografia baseada no conhecimento da chave de criptografia e vice-versa, em qualquer período razoável. Os algoritmos assimétricos incluem:
RSA (Rivest_Shamir-Adleman) - usa o produto de dois números primos muito grandes, com o mesmo comprimento, entre 100 e 200 dígitos. Os navegadores usam RSA para estabelecer uma conexão segura.
Diffie-Hellman - fornece um método de troca eletrônica para compartilhar a chave secreta. Os protocolos seguros, como Secure Sockets Layer (SSL), Transport Layer Security (TLS), Secure Shell (SSH) e Internet Protocol Security (IPsec) usam Diffie-Hellman.
ElGamal - usa o padrão do governo dos EUA para assinaturas digitais. Esse algoritmo é de uso gratuito porque ninguém detém sua patente.
Criptografia de curva elíptica (ECC) - usa curvas elípticas como parte do algoritmo. Nos Estados Unidos, a Agência Nacional de Segurança usa ECC para geração de assinatura digital e troca de chave.
Criptografia simétrica versus assimétrica
Comparação de tipos de criptografia
É importante compreender as diferenças entre os métodos de criptografia simétrica e assimétrica. Os sistemas de criptografia simétrica são mais eficientes e podem lidar com mais dados. No entanto, os sistemas de gerenciamento de chave com criptografia simétrica são mais problemáticos e difíceis de gerenciar. 
A criptografia assimétrica é mais eficiente na proteção da confidencialidade de pequenas quantidades de dados e o seu tamanho a torna mais segura para tarefas como troca de chave eletrônica, que é uma pequena quantidade de dados em vez da criptografia de grandes blocos de dados.