capitulo 2 - Cybersecurity Essentials

Prévia do material em texto

Capítulo 2 – Cybersecurity Essencials
Cubo McCumber: Esse cubo é usado como ferramenta, ao gerenciar a proteção de redes, domínios e da Internet. O cubo de segurança cibernética parece um pouco como um cubo de Rubik. A primeira dimensão do cubo de segurança cibernética inclui os três princípios de segurança da informação. Os profissionais de segurança cibernética referem-se aos três princípios como a Tríade CIA. A segunda dimensão identifica os três estados das informações ou dos dados. A terceira dimensão do cubo identifica o conhecimento necessário para proporcionar proteção. Essas dimensões são geralmente chamadas de três categorias de proteções da segurança cibernética.
Princípios da segurança da informação: Os princípios proporcionam foco e permitem ao especialista de segurança cibernética priorizar ações ao proteger qualquer sistema em rede. A confidencialidade impede a divulgação de informações para pessoas, recursos ou processos não autorizados. Integridade refere-se à precisão, consistência e confiabilidade dos dados. Finalmente, a disponibilidade garante que as informações estejam acessíveis para usuários autorizados quando necessário. Use o acrônimo CIA para se lembrar desses três princípios.
Estados dos Dados: A segunda dimensão do cubo de segurança cibernética se concentra no problema da proteção a todos os estados dos dados no espaço cibernético. Os dados têm três possíveis estados:
· Dados em trânsito
· Dados inativos ou em armazenamento
· Dados em processamento
A proteção do espaço cibernético exige que os profissionais de segurança cibernética se responsabilizem pela proteção dos dados em todos os três estados.
Contramedidas - proteção da segurança cibernética: A terceira dimensão do cubo de segurança cibernética define as qualificações profissionais e a disciplina que um profissional de segurança cibernética pode usar para proteger o espaço cibernético. Os profissionais de segurança cibernética devem usar uma variedade de diferentes qualificações profissionais e disciplinas disponíveis a eles, ao proteger os dados no espaço cibernético. Eles devem fazer isso mantendo-se no “lado correto” da lei. A primeira qualificação profissional inclui as tecnologias, os dispositivos e os produtos disponíveis para proteger os sistemas de informação e se defender de criminosos virtuais. Os profissionais de segurança cibernética também devem construir uma defesa com o estabelecimento de políticas, procedimentos e diretrizes que permitem que os usuários do espaço cibernético fiquem seguros e sigam as boas práticas. Finalmente, os usuários do espaço cibernético devem se esforçar para ter mais conhecimento sobre as ameaças do espaço cibernético e estabelecer uma cultura de aprendizagem e reconhecimento.
CONFIDENCIALIDADE
A privacidade dos dados: As informações confidenciais são dados protegidos contra acessos não autorizados para proteger um indivíduo ou uma organização. Há três tipos de informações confidenciais:
· Informações pessoais são informações de identificação pessoal (PII) de um determinado um indivíduo. A Figura 2 lista essa categoria de dados.
· Informações comerciais são informações que incluem qualquer coisa que possa representar um risco para a empresa, se descoberta pelo público ou por um concorrente. A Figura 3 lista essa categoria de dados.
· Informações confidenciais são informações pertencentes a um órgão do governo, classificadas pelo seu nível de sensibilidade. A Figura 4 lista essa categoria de dados.
Controle de acesso: Os conceitos de AAA envolvem três serviços de segurança: autenticação, autorização e accounting. Esses serviços proporcionam a estrutura principal para controlar o acesso.
Autenticação verifica a identidade de um usuário para evitar acesso não autorizado. Além disso, os usuários precisam verificar sua identidade proporcionando uma das opções a seguir, conforme mostrado na Figura 1:
· Algo que saibam (como uma senha)
· Algo que tenham (como um token ou cartão)
· Algo que sejam (como uma impressão digital)
Accounting mantém controle sobre o que os usuários fazem, incluindo o que acessam, a quantidade de tempo que acessam os recursos e as alterações feitas. Por exemplo, um banco mantém o controle da conta de cada cliente. Uma auditoria do sistema pode revelar o tempo e o valor de todas as transações e o funcionário ou o sistema que executou as transações. O sistema controla cada transação de dados e fornece os resultados da auditoria. Um administrador pode configurar políticas de computador, conforme mostrado na Figura 3, para permitir a auditoria do sistema.
Autorização determinam quais recursos os usuários podem acessar, juntamente com as operações que os usuários podem executar. 
INTEGRIDADE
Os métodos usados para garantir a integridade de dados incluem hashing, verificações de validação de dados, verificações de consistência dos dados e controles de acesso. Sistemas de integridade de dados podem incluir um ou mais dos métodos listados acima.
Necessidade de integridade dos dados: A necessidade de integridade de dados varia, com base em como a organização usa os dados. 
Nível crítico – serviços de saúde e emergência;
Nível alto – comércio eletrônico e análise;
Nível intermediário – mecanismos de buscas;
Nível baixo – blogs e sites de postagens pessoais.
Verificação da integridade: Uma verificação de integridade é uma forma de medir a consistência de uma coleta de dados (um arquivo, uma foto ou um registro). A verificação de integridade realiza um processo chamado de função hash para tirar um retrato de dados em um momento específico. A verificação de integridade usa o snapshot para garantir que os dados permaneçam inalterados. Uma soma de verificação é um exemplo de uma função hash. Uma soma de verificação verifica a integridade de arquivos, ou de strings de caracteres, antes e depois de serem transferidos de um dispositivo para outro por uma rede local ou pela Internet. 
DISPONIBILIDADE:
A disponibilidade dos dados é o princípio usado para descrever a necessidade de manter a disponibilidade dos sistemas e serviços de informação o tempo todo. Os métodos usados para garantir a disponibilidade incluem a redundância do sistema, backups do sistema, maior resiliência do sistema, manutenção de equipamentos, sistemas operacionais e software atualizados e planos para recuperação rápida de desastres não previstos.
Sistemas de alta disponibilidade: Sistemas de alta disponibilidade normalmente são projetados para incluírem três princípios:
· Eliminar pontos únicos de falha
· Proporcionar transição confiável (alimentação de energia redundante)
· Detectar falhas à medida que ocorrem
Dentre as práticas mais populares de alta disponibilidade estão os cinco noves. Os cinco noves referem-se a 99,999%. Isso significa que o período de inatividade é menos de 5,26 minutos por ano.
Assegurando a disponibilidade: As empresas podem garantir a disponibilidade implementando o seguinte:
· Manutenção de equipamentos
· Atualizações do sistema e do SO
· Teste de backup
· Planejamento contra desastres
· Implementações de novas tecnologias
· Monitoramento de atividades incomuns
· Teste de disponibilidade
ARMAZENAMENTO:
Dados armazenados são dados em repouso. Dados em repouso significa que um tipo de dispositivo de armazenamento retém os dados quando nenhum usuário ou processo os está usando. Um dispositivo de armazenamento pode ser local (em um dispositivo de computação) ou centralizado (na rede). Existem várias opções para armazenamento de dados. 
DAS: Armazenamento local (DAS) é um armazenamento conectado a um computador. Um disco rígido ou flash drive USB é um exemplo de armazenamento local.
RAID: A Matriz redundante de riscos independentes (RAID) usa vários discos rígidos em uma matriz, o que é um método de combinação de vários discos para que o sistema operacional os veja como um único disco. A RAID fornece desempenho melhorado e tolerância a falhas.
NAS: Um dispositivo de armazenamento em rede (NAS) é um dispositivo de armazenamento conectado a uma rede que permite o armazenamentoe a recuperação de dados de um local centralizado por usuários de rede autorizados.
SAN: Uma arquitetura SAN (storage area network, rede de área de armazenamento) é um sistema de armazenamento em rede. Os sistemas SAN conectam-se à rede usando interfaces de alta velocidade que permitem desempenho melhorado e a habilidade de conectar vários servidores em um repositório de armazenamento de disco centralizado.
Estado do Dado:
Proteções de tecnologia baseadas em software
As proteções de tecnologia incluem programas e serviços que protegem sistemas operacionais, bancos de dados e outros serviços sendo executados em estações de trabalho, dispositivos portáteis e servidores. Os administradores instalam contramedidas ou proteções baseadas em software em hosts ou servidores individuais. Existem várias tecnologias baseadas em software usadas para proteger os ativos de uma empresa:
· Os firewalls de software controlam o acesso remoto a um software. Os sistemas operacionais normalmente incluem um firewall ou um usuário pode comprar ou fazer download de software de terceiros.
· Scanners de rede e de porta detectam e monitoram portas abertas em um host ou servidor.
· Analisadores de protocolo, ou analisadores de assinatura, são dispositivos que coletam e examinam o tráfego de rede. Eles identificam problemas de desempenho, detectam problemas de configuração, identificam aplicativos com comportamento inadequado, estabelecem o parâmetro e os padrões de tráfego normal e depuram problemas de comunicação.
· Scanners de vulnerabilidades são programas de computador projetados para avaliar os pontos fracos em computadores ou redes.
· Sistemas de detecção de invasão baseados em host (IDS) examinam as atividades apenas em sistemas de host. Um IDS gera arquivos de log e mensagens de alarme quando detecta atividade incomum. Um sistema que armazena dados confidenciais ou que presta serviços essenciais é um candidato para IDS baseado em host.
Proteções de tecnologia baseadas em hardware
Existem várias tecnologias baseadas em hardware usadas para proteger os ativos de uma empresa:
· Dispositivos de firewall bloqueiam o tráfego indesejado. Os firewalls contêm regras que definem o tráfego permitido dentro e fora de uma rede.
· Sistemas de detecção de invasão (IDS) detectam sinais de ataques ou tráfego incomum em uma rede e enviam um alerta.
· Sistemas de prevenção de intrusões (IPS) detectam sinais de ataques ou tráfego incomum em uma rede, geram um alerta e tomam medidas corretivas.
· Os serviços de filtros de conteúdo controlam o acesso e a transmissão de conteúdo ofensivo ou censurável.
Proteções de tecnologia baseadas em rede
Existem várias tecnologias baseadas em rede usadas para proteger os ativos da empresa:
· Rede privada virtual (VPN) é uma rede virtual segura que usa a rede pública (ou seja, a Internet). A segurança de uma VPN está na criptografia do conteúdo do pacote entre os endpoints que definem a VPN.
· Network Access Control (NAC) requer um conjunto de verificações antes de permitir que um dispositivo se conecte a uma rede. Algumas verificações comuns incluem software antivírus atualizados ou atualizações do sistema operacional instaladas.
· Segurança de access point sem fio inclui a implementação de autenticação e criptografia.
Proteções de tecnologia baseadas na nuvem
As tecnologias baseadas na nuvem mudam o componente de tecnologia da organização para o provedor de nuvem. Os três principais serviços de computação em nuvem são:
· Software as a Service (SaaS) permite aos usuários ter acesso a bancos de dados e software de aplicativo. Os provedores de nuvem gerenciam a infraestrutura. Os usuários armazenam dados nos servidores do provedor de nuvem.
· Infrastructure as a Service (IaaS) fornece recursos de computação virtualizados pela Internet. O provedor hospeda o hardware, o software, os servidores e os componentes de armazenamento.
· Platform as a Service (PaaS) proporciona acesso a ferramentas e serviços de desenvolvimento usados para entregar os aplicativos.
Os provedores de serviços de nuvem ampliaram essas opções para incluir IT as a Service (ITaaS), que proporciona suporte para os modelos de serviço IaaS, PaaS e SaaS. No modelo ITaaS, a empresa contrata serviços individuais ou em pacote com o provedor de serviços em nuvem.
Provedores de serviços de nuvem usam dispositivos de segurança virtual que são executados dentro de um ambiente virtual com um sistema operacional pré-preparado em pacotes, codificado, sendo executado em hardware virtualizado.
Política de Segurança: Uma política de segurança é um conjunto de objetivos de segurança para uma empresa que inclui regras de comportamento para os usuários e administradores e especifica os requisitos do sistema. Esses objetivos, regras e requisitos garantem, juntos, a segurança da rede, dos dados e dos sistemas de computador de uma organização.
Uma política de segurança abrangente realiza várias tarefas:
· Demonstra um comprometimento da empresa com a segurança.
· Define as regras para o comportamento esperado.
· Isso garante a consistência nas operações do sistema, nas aquisições, no uso e na manutenção de hardware e de software.
· Define as consequências jurídicas das violações.
· Dá o apoio da gerência à equipe de segurança.
Políticas de segurança informam os usuários, funcionários e gerentes dos requisitos de uma empresa para a proteção de ativos de tecnologia e de informação. Uma política de segurança também especifica os mecanismos necessários para atender aos requisitos de segurança.
Como mostrado na figura, uma política de segurança normalmente inclui:
· Políticas de identificação e autenticação -Especifica pessoas autorizadas para acesso aos recursos de rede e define procedimentos de verificação.
· Políticas de senhas - Garante que as senhas atendam aos requisitos mínimos e sejam alteradas regularmente.
· Políticas de uso aceitável -Identifica os recursos e o uso da rede que são aceitáveis para a empresa. Também pode identificar ramificações para violações de política.
· Políticas de acesso remoto - Identifica como os usuários remotos podem acessar uma rede e o que é remotamente acessível.
· Políticas de manutenção de rede - Especifica procedimentos de atualização de sistemas operacionais e de aplicativos de usuários finais dos dispositivos de rede.
· Políticas de tratamento de incidentes - Descreve como os incidentes de segurança são tratados.
Um dos componentes de política de segurança mais comuns é uma política de uso aceitável (AUP). Esse componente define o que os usuários podem ou não fazer nos vários componentes do sistema. A AUP deve ser o mais explícita possível, para evitar mal-entendidos. Por exemplo, uma AUP lista sites, grupos de notícias ou aplicativos específicos de uso intensivo de largura de banda que os usuários não podem acessar usando computadores ou a rede da empresa.
Modelo ISO: ISO/IEC 27000 é um padrão de segurança da informação publicada em 2005 e revisada em 2013. A ISO publica os padrões ISO 27000. Embora os padrões não sejam obrigatórios, a maioria dos países os usa como uma estrutura de fato para implementação da segurança da informação. Doze domínios independentes representam os componentes do padrão ISO 27000. Esses doze domínios servem para organizar, em alto nível, as vastas áreas de informações cobertas pela segurança da informação. Os objetivos de controle (ISO 27001) informam à empresa o que fazer. Controles (ISO 27002) definem como atingir o objetivo.
Profissionais de segurança cibernética reconhecem o seguinte:
· Controles não são obrigatórios, mas são amplamente aceitos e adotados.
· Os controles devem manter neutralidade de fornecedor para evitar a aparência de endossar um produto ou empresa específico.
· Controles são como diretrizes. Isso significa que pode haver mais de uma maneira de atingir o objetivo.
O modelo de segurança cibernética ISO e a Tríade CIA
O padrão ISO 27000 é uma estrutura universal para cada tipo de empresa. Para usar a estrutura de forma eficaz, uma organização deve limitar quaisdomínios, objetivos de controle e controles aplicar a seu ambiente e a suas operações.
Os objetivos de controle da ISO 27001 serve como uma lista de verificação. A primeira etapa realizada por uma organização é determinar se esses objetivos de controle são aplicáveis à organização. A maioria das empresas geram um documento chamado Declaração de aplicabilidade (SOA). A SOA define quais objetivos de controle a empresa precisa usar.
Diferentes empresas colocam maior prioridade sobre a confidencialidade, integridade e disponibilidade, dependendo do tipo de setor. Por exemplo, a Google coloca o valor mais alto na disponibilidade e confidencialidade de dados do usuário e menos na integridade. A Google não verifica os dados do usuário. A Amazon coloca alta ênfase na disponibilidade. Se o site não estiver disponível, a Amazon não faz a venda. Isso não significa que a Amazon ignora a confidencialidade em favor da disponibilidade. A Amazon só coloca uma prioridade mais alta na disponibilidade. Portanto, a Amazon pode gastar mais recursos para garantir que existam mais servidores disponíveis para processar as compras dos clientes.
Uma empresa adapta seu uso dos objetivos de controle e dos controles disponíveis para melhor atender as suas prioridades em matéria de confidencialidade, integridade e disponibilidade.
Os objetivos do controle ISO 27001 estão diretamente relacionados às políticas, aos procedimentos e às diretrizes de segurança cibernética da organização, determinados pela alta gerência. Os controles ISO 27002 proporcionam orientação técnica.