Baixe o app para aproveitar ainda mais
Prévia do material em texto
Capítulo 2: o cubo de magia da segurança cibernética 2.0 Introdução 2.0.1 Bem-vindo 2.0.1.1 Capítulo 2: O cubo da segurança cibernética Os profissionais de segurança cibernética são mais bem descritos como especialistas encarregados da proteção do espaço cibernético. John McCumber é um dos primeiros especialistas em segurança cibernética, desenvolvendo uma estrutura comumente usada chamada Cubo McCumber ou o cubo de segurança cibernética. Esse cubo é usado como ferramenta, ao gerenciar a proteção de redes, domínios e da Internet. O cubo de segurança cibernética parece um pouco como um cubo de Rubik. A primeira dimensão do cubo de segurança cibernética inclui os três princípios de segurança da informação. Os profissionais de segurança cibernética referem-se aos três princípios como a Tríade CIA. A segunda dimensão identifica os três estados das informações ou dos dados. A terceira dimensão do cubo identifica o conhecimento necessário para proporcionar proteção. Essas dimensões são geralmente chamadas de três categorias de proteções da segurança cibernética. O capítulo também discute o modelo de segurança cibernética ISO. O modelo representa uma estrutura internacional para padronizar o gerenciamento de sistemas de informação. 2.1 As três dimensões do cubo de segurança cibernética 2.1.1 As três dimensões 2.1.1.1 Os princípios de segurança A primeira dimensão do cubo de segurança cibernética identifica os objetivos para proteger o espaço cibernético. Os objetivos identificados na primeira dimensão são os princípios fundamentais. Esses três princípios são confidencialidade, integridade e disponibilidade. Os princípios proporcionam foco e permitem ao especialista de segurança cibernética priorizar ações ao proteger qualquer sistema em rede. A confidencialidade impede a divulgação de informações para pessoas, recursos ou processos não autorizados. Integridade refere-se à precisão, consistência e confiabilidade dos dados. Finalmente, a disponibilidade garante que as informações estejam acessíveis para usuários autorizados quando necessário. Use o acrônimo CIA para se lembrar desses três princípios. 2.1.1.2 Os estados dos dados Os estados dos dados O espaço cibernético é um domínio que contém uma quantidade considerável de dados essencialmente importantes e, portanto, os especialistas em segurança cibernética se concentram na proteção dos dados. A segunda dimensão do cubo de segurança cibernética se concentra no problema da proteção a todos os estados dos dados no espaço cibernético. Os dados têm três possíveis estados: • Dados em trânsito • Dados inativos ou em armazenamento • Dados em processamento A proteção do espaço cibernético exige que os profissionais de segurança cibernética se responsabilizem pela proteção dos dados em todos os três estados. 2.1.1.3 Proteções da segurança cibernética Proteções da segurança cibernética A terceira dimensão do cubo de segurança cibernética define as qualificações profissionais e a disciplina que um profissional de segurança cibernética pode usar para proteger o espaço cibernético. Os profissionais de segurança cibernética devem usar uma variedade de diferentes qualificações profissionais e disciplinas disponíveis a eles, ao proteger os dados no espaço cibernético. Eles devem fazer isso mantendo-se no “lado correto” da lei. O cubo de segurança cibernética identifica os três tipos de qualificações profissionais e disciplinas usadas para proporcionar proteção. A primeira qualificação profissional inclui as tecnologias, os dispositivos e os produtos disponíveis para proteger os sistemas de informação e se defender de criminosos virtuais. Os profissionais de segurança cibernética têm uma reputação de dominar as ferramentas tecnológicas à sua disposição. No entanto, McCumber os lembra de que as ferramentas tecnológicas não são o bastante para derrotar os criminosos virtuais. Os profissionais de segurança cibernética também devem construir uma defesa com o estabelecimento de políticas, procedimentos e diretrizes que permitem que os usuários do espaço cibernético fiquem seguros e sigam as boas práticas. Finalmente, os usuários do espaço cibernético devem se esforçar para ter mais conhecimento sobre as ameaças do espaço cibernético e estabelecer uma cultura de aprendizagem e reconhecimento. 2.2 Tríade CIA 2.2.1 Confidencialidade 2.2.1.1 O princípio da confidencialidade O princípio da confidencialidade A confidencialidade impede a divulgação de informações para pessoas, recursos ou processos não autorizados. Um outro termo para confidencialidade é privacidade. As empresas restringem o acesso para garantir que apenas os operadores autorizados possam usar dados ou outros recursos de rede. Por exemplo, um programador não deve ter acesso às informações pessoais de todos os funcionários. As empresas precisam treinar os funcionários sobre as melhores práticas para proteção de informações confidenciais, para se protegerem e também à organização, contra-ataques. Os métodos usados para garantir a confidencialidade incluem criptografia, autenticação e controle de acesso aos dados. 2.2.1.2 Proteção da privacidade dos dados Proteção da privacidade dos dados As empresas coletam uma grande quantidade de dados. Muitos desses dados não são confidenciais, pois estão publicamente disponíveis, como nomes e números de telefones. Outros dados coletados, no entanto, são confidenciais. As informações confidenciais são dados protegidos contra acessos não autorizados para proteger um indivíduo ou uma organização. Há três tipos de informações confidenciais: • Informações pessoais são informações de identificação pessoal (PII) de um determinado um indivíduo. A Figura 2 lista essa categoria de dados. • Informações comerciais são informações que incluem qualquer coisa que possa representar um risco para a empresa, se descoberta pelo público ou por um concorrente. A Figura 3 lista essa categoria de dados. • Informações confidenciais são informações pertencentes a um órgão do governo, classificadas pelo seu nível de sensibilidade. A Figura 4 lista essa categoria de dados. 2.2.1.3 Controle de acesso Controle de acesso O controle do acesso define vários esquemas de proteção que impedem o acesso não autorizado a um computador, a uma rede, a um banco de dados ou a outros recursos de dados. Os conceitos de AAA envolvem três serviços de segurança: autenticação, autorização e accounting. Esses serviços proporcionam a estrutura principal para controlar o acesso. O primeiro "A" no AAA representa a autenticação. Autenticação verifica a identidade de um usuário para evitar acesso não autorizado. Os usuários provam sua identidade com um nome de usuário ou um ID. Além disso, os usuários precisam verificar sua identidade proporcionando uma das opções a seguir, conforme mostrado na Figura 1: • Algo que saibam (como uma senha) • Algo que tenham (como um token ou cartão) • Algo que sejam (como uma impressão digital) Por exemplo, se você vai a um caixa eletrônico tirar dinheiro, precisa do cartão do banco (algo que você tem) e precisa saber a senha. Isso também é um exemplo de autenticação multifatorial. A autenticação multifatorial requer mais de um tipo de autenticação. A forma mais popular de autenticação é o uso de senhas. Serviços de autorização determinam quais recursos os usuários podem acessar, juntamente com as operações que os usuários podem executar, conforme mostrado na Figura 2. Alguns sistemas fazem isso usando uma lista de controle de acesso, ou uma ACL. Uma ACL determina se um usuário tem certos privilégios de acesso depois de se autenticar. Só porque você pode fazer logon na rede corporativa não significa que você tem permissão para usar a impressora colorida de alta velocidade. A autorização também pode controlar quando um usuário tem acesso a um recursoespecífico. Por exemplo, os funcionários podem ter acesso a um banco de dados de vendas durante o horário comercial, mas o sistema os bloqueia, depois de horas. Accounting mantém controle sobre o que os usuários fazem, incluindo o que acessam, a quantidade de tempo que acessam os recursos e as alterações feitas. Por exemplo, um banco mantém o controle da conta de cada cliente. Uma auditoria do sistema pode revelar o tempo e o valor de todas as transações e o funcionário ou o sistema que executou as transações. Serviços de accounting de segurança cibernética funcionam da mesma maneira. O sistema controla cada transação de dados e fornece os resultados da auditoria. Um administrador pode configurar políticas de computador, conforme mostrado na Figura 3, para permitir a auditoria do sistema. O conceito de AAA é semelhante ao uso de um cartão de crédito, conforme indicado pela Figura 4. O cartão de crédito identifica quem pode usá-lo, determina quanto o usuário pode gastar e contabiliza os itens ou serviços que o usuário comprou. O Accounting controla e monitora em tempo real. Sites, como o Norse, mostram ataques em tempo real com base em dados coletados como parte de um sistema de estrutura de accounting ou de rastreamento. Clique aqui para visitar o site de rastreamento em tempo real Norse. http://map.norsecorp.com/ 2.2.1.4 Leis e responsabilidade Leis e responsabilidade A confidencialidade e a privacidade parecem intercambiáveis, mas do ponto de vista legal, elas significam coisas diferentes. A maioria dos dados de privacidade é confidencial, mas nem todos dados confidenciais são privados. O acesso a informações confidenciais ocorre depois da confirmação da autorização adequada. Instituições financeiras, hospitais, profissionais da área médica, escritórios de advocacia e empresas em geral processam informações confidenciais. As informações confidenciais têm um status não público. A manutenção da confidencialidade é mais que um dever ético. A privacidade é o uso adequado dos dados. Quando as organizações coletam informações fornecidas pelos clientes ou funcionários, elas devem usar esses dados apenas para a finalidade a que se designam. A maioria das empresas exigirá que o cliente ou o funcionário assine um formulário de liberação, dando à empresa permissão para usar os dados. Todas as leis listadas na figura incluem uma provisão para lidar com a privacidade, começando com as leis dos Estados Unidos na Figura 1. A Figura 2 lista uma amostragem dos 1 2 3 4 esforços internacionais. A maioria dessas leis é uma resposta ao enorme crescimento da coleta de dados. O número crescente de estatutos relacionados à privacidade cria um enorme fardo para empresas que coletam e analisam dados. As políticas são o melhor caminho para uma empresa ficar em conformidade com o número crescente de leis relacionadas à privacidade. As políticas permitem que as empresas apliquem regras, procedimentos e processos específicos ao coletar, armazenar e compartilhar dados. 2.2.2 Integridade 2.2.2.1 Princípio da integridade de dados Princípio da integridade de dados A integridade é a precisão, a consistência e a confiabilidade dos dados durante todo o seu ciclo de vida. Um outro termo para integridade é qualidade. Os dados passam por várias operações, como captura, armazenamento, recuperação, atualização e transferência. Os dados devem permanecer inalterados durante todas essas operações por entidades não autorizadas. Os métodos usados para garantir a integridade de dados incluem hashing, verificações de validação de dados, verificações de consistência dos dados e controles de acesso. Sistemas de integridade de dados podem incluir um ou mais dos métodos listados acima. 2.2.2.2 Necessidade de integridade de dados Necessidade de integridade de dados A integridade de dados é um componente fundamental da segurança da informação. A necessidade de integridade de dados varia, com base em como a organização usa os dados. Por exemplo, o Facebook não verifica os dados que um usuário publica em um perfil. Um banco ou organização financeira atribui uma importância mais alta à integridade de dados do que o Facebook. As transações e as contas de clientes devem ser precisas. Em uma empresa de serviços de saúde, a integridade de dados pode ser uma questão de vida ou morte. As informações de prescrição devem ser precisas. A proteção da integridade de dados é um desafio constante para a maioria das empresas. A perda da integridade de dados pode tornar recursos de dados inteiros não confiáveis ou inutilizáveis. 2.2.2.3 Verificações de integridade Verificações de integridade Uma verificação de integridade é uma forma de medir a consistência de uma coleta de dados (um arquivo, uma foto ou um registro). A verificação de integridade realiza um processo chamado de função hash para tirar um retrato de dados em um momento específico. A verificação de integridade usa o snapshot para garantir que os dados permaneçam inalterados. Uma soma de verificação é um exemplo de uma função hash. Uma soma de verificação verifica a integridade de arquivos, ou de strings de caracteres, antes e depois de serem transferidos de um dispositivo para outro por uma rede local ou pela Internet. As somas de verificação simplesmente convertem cada conjunto de informações para um valor e soma o total. Para testar a integridade de dados, um sistema de recebimento apenas repete o processo. Se as duas somas forem iguais, os dados são válidos (Figura 1). Se não forem 1 iguais, uma mudança ocorreu em algum lugar ao longo da linha (Figura 2). Funções hash comuns incluem MD5, SHA-1, SHA-256 e SHA-512. Essas funções hash usam algoritmos matemáticos complexos. O valor de hash está simplesmente ali para comparação. Por exemplo, depois de baixar um arquivo, o usuário pode verificar a integridade do arquivo, comparando os valores de hash da fonte com o valor gerado por qualquer calculadora de hash. As empresas usam controle de versão para evitar alterações acidentais por usuários autorizados. Dois usuários não podem atualizar o mesmo objeto. Os objetos podem ser arquivos, registros de banco de dados ou transações. Por exemplo, o primeiro usuário a abrir um documento tem a permissão para alterar esse documento. A segunda pessoa tem uma versão somente leitura. Backups precisos ajudam a manter a integridade de dados, se os dados forem corrompidos. Uma empresa precisa verificar o seu processo de backup para garantir a integridade do backup, antes que ocorra perda de dados. A autorização determina quem tem acesso aos recursos da empresa, de acordo com a necessidade de cada um. Por exemplo, controles de acesso de usuário e permissões de arquivo garantem que apenas determinados usuários possam modificar os dados. Um administrador pode definir as permissões de um arquivo como somente leitura. Como resultado, um usuário que acessa esse arquivo não pode fazer nenhuma alteração. 2.2.3 Disponibilidade 2.2.3.O princípio da disponibilidade O princípio da disponibilidade A disponibilidade dos dados é o princípio usado para descrever a necessidade de manter a disponibilidade dos sistemas e serviços de informação o tempo todo. Ataques cibernéticos e falhas do sistema podem impedir o acesso a sistemas e serviços de informação. Por exemplo, a interrupção da disponibilidade do site de um concorrente por causa de um ataque pode proporcionar uma vantagem para seu rival. Ataques DoS (Denial-of-service, Negação de serviço) ameaçam a disponibilidade do sistema e impedem que usuários legítimos acessem e usem os sistemas de informações, quando necessário. Os métodos usados para garantir a disponibilidade incluem a redundância do sistema, backups do sistema, maior resiliência do sistema, manutenção de equipamentos, sistemas operacionais e softwareatualizados e planos para recuperação rápida de desastres não previstos. 2 2.2.3.2 Os cinco noves Os cinco noves As pessoas usam vários sistemas de informação em suas vidas diariamente. Computadores e sistemas de informação controlam a comunicação, o transporte e a fabricação de produtos. A disponibilidade contínua dos sistemas de informação é fundamental para a vida moderna. O termo alta disponibilidade descreve sistemas concebidos para evitar períodos de inatividade. A alta disponibilidade garante um nível de desempenho por um período maior que o período normal. Sistemas de alta disponibilidade normalmente são projetados para incluírem três princípios (Figura 1): • Eliminar pontos únicos de falha • Proporcionar transição confiável • Detectar falhas à medida que ocorrem O objetivo é a capacidade de continuar a operar em condições extremas, como durante um ataque. Dentre as práticas mais populares de alta disponibilidade estão os cinco noves. Os cinco noves referem-se a 99,999%. Isso significa que o período de inatividade é menos de 5,26 minutos por ano. A Figura 2 proporciona três abordagens para os cinco noves. 2.2.3.3 Assegurando a disponibilidade Assegurando a disponibilidade As empresas podem garantir a disponibilidade implementando o seguinte: • Manutenção de equipamentos • Atualizações do sistema e do SO • Teste de backup • Planejamento contra desastres • Implementações de novas tecnologias • Monitoramento de atividades incomuns • Teste de disponibilidade 2.2.3.4 Atividade - Identificar os princípios da segurança da informação Atividade - Identificar os princípios da segurança da informação 2.3 Estado dos dados 2.3.1 Dados em repouso 2.3.1.1 Tipos de armazenamento de dados Tipos de armazenamento de dados Dados armazenados são dados em repouso. Dados em repouso significa que um tipo de dispositivo de armazenamento retém os dados quando nenhum usuário ou processo os está usando. Um dispositivo de armazenamento pode ser local (em um dispositivo de computação) ou centralizado (na rede). Existem várias opções para armazenamento de dados. Armazenamento local (DAS) é um armazenamento conectado a um computador. Um disco rígido ou flash drive USB é um exemplo de armazenamento local. Por padrão, os sistemas não são configurados para compartilhar o armazenamento com conexão direta. A Matriz redundante de riscos independentes (RAID) usa vários discos rígidos em uma matriz, o que é um método de combinação de vários discos para que o sistema operacional os veja como um único disco. A RAID fornece desempenho melhorado e tolerância a falhas. Um dispositivo de armazenamento em rede (NAS) é um dispositivo de armazenamento conectado a uma rede que permite o armazenamento e a recuperação de dados de um local centralizado por usuários de rede autorizados. Os dispositivos NAS são flexíveis e escaláveis, o que significa que os administradores podem aumentar a capacidade, conforme precisarem. Uma arquitetura SAN (storage area network, rede de área de armazenamento) é um sistema de armazenamento em rede. Os sistemas SAN conectam-se à rede usando interfaces de alta velocidade que permitem desempenho melhorado e a habilidade de conectar vários servidores em um repositório de armazenamento de disco centralizado. Armazenamento em nuvem é uma opção de armazenamento remoto que usa o espaço em um provedor de data center e é acessível de qualquer computador com acesso à Internet. Google Drive, iCloud e Dropbox são exemplos de provedores de armazenamento em nuvem. 2.3.1.2 Desafios da proteção dos dados armazenados Desafios da proteção dos dados armazenados As empresas têm uma tarefa desafiadora, ao tentar proteger os dados armazenados. Para melhorar o armazenamento de dados, as empresas podem automatizar e centralizar os backups de dados. O local pode ser um dos tipos mais difíceis de armazenamento de dados para gerenciar e controlar. O local é vulnerável a ataques mal- intencionados no host local. Os dados armazenados também podem incluir dados de backup. Os backups podem ser manuais ou automáticos. As empresas devem limitar os tipos de dados armazenados no armazenamento local. Especialmente os dados essenciais de uma empresa não deveriam ser armazenados em dispositivos de armazenamento local. Os sistemas de armazenamento em rede proporcionam uma opção mais segura. Os sistemas de armazenamento em rede, incluindo RAID, SAN e NAS, proporcionam maior desempenho e redundância. No entanto, os sistemas de armazenamento em rede são mais complicados de configurar e gerenciar. Eles também suportam mais dados, o que pode representar um risco maior para a empresa, se o dispositivo falhar. Os desafios dos sistemas de armazenamento em rede incluem configuração, testes e monitoramento do sistema. 2.3.2.1 Métodos de transmissão de dados Métodos de transmissão de dados A transmissão de dados envolve o envio de informações de um dispositivo para outro. Há vários métodos para transmitir informações entre dispositivos, incluindo: • Rede sigilosa – usa mídia removível para transferir fisicamente os dados de um computador para outro • Redes cabeadas – usam cabos para transmitir dados • Redes sem fio – usam ondas de rádio para transmitir dados As empresas nunca conseguirão eliminar o uso de uma rede sigilosa. As redes cabeadas incluem redes com fio de cobre e mídia de fibra óptica. As redes cabeadas podem atender a uma área geográfica local (Rede de área local) ou podem englobar grandes distâncias (rede de longa distância). As redes sem fio estão substituindo as redes cabeadas. As redes sem fio estão se tornando mais rápidas e podem suportar mais largura de banda. As redes sem fio expandem o número de usuários convidados com dispositivos móveis nas redes do escritório pequeno, do escritório residencial (SOHO) e nas redes empresariais. As redes com e sem fio usam pacotes ou unidades de dados. O termo pacote refere-se a uma unidade de dados que percorre o caminho entre uma origem e um destino na rede. Protocolos padrão como o protocolo de Internet (IP) e o protocolo de transferência de hipertexto (HTTP) definem a estrutura e a formação de pacotes de dados. Esses padrões têm código aberto e estão disponíveis ao público. Proteger a confidencialidade, a integridade e a disponibilidade dos dados transmitidos é uma das responsabilidades mais importantes de um profissional de segurança cibernética. 2.3.2.2 Desafios da proteção dos dados em trânsito Desafios da proteção dos dados em trânsito A proteção de dados transmitidos é um dos trabalhos mais desafiadores de um profissional de segurança cibernética. Com o crescimento em dispositivos móveis e sem fios, os profissionais de segurança cibernética são responsáveis por proteger enormes quantidades de dados que passam pela sua rede diariamente. O profissional de segurança cibernética deve lidar com vários desafios na proteção desses dados: • Proteção da confidencialidade dos dados – os criminosos virtuais podem capturar, salvar e roubar dados em trânsito. Os profissionais da segurança cibernética devem tomar medidas para combater essas ações. • Proteção da integridade de dados – os criminosos virtuais podem interceptar e modificar dados em trânsito. Os profissionais de segurança cibernética implantam sistemas de integridade de dados que testam a integridade e a autenticidade dos dados transmitidos para combater essas ações. • Proteção da disponibilidade dos dados - os criminosos virtuais podem usar dispositivos falsos ou não autorizados para interromper a disponibilidade dos dados. Um simples dispositivo móvel pode servir como um access point sem fio local e enganar usuários desavisados para se associarem a um dispositivo falso. Os criminososvirtuais podem sequestrar uma conexão autorizada a um serviço ou dispositivo protegido. Os profissionais de segurança de rede podem implementar sistemas de autenticação mútua para combater essas ações. Os sistemas de autenticação mútua exigem que o usuário se autentique no servidor e solicitam que o servidor se autentique no usuário. 2.3.3.1 Formas de processamento de dados e computação Formas de processamento de dados e computação O terceiro estado dos dados são os dados em processamento. Esse estado se refere aos dados durante a entrada inicial, a modificação, o cálculo ou a saída. A proteção da integridade de dados começa com a entrada inicial dos dados. As organizações usam vários métodos para coletar dados, como entrada manual de dados, digitalização de formulários, carregamentos de arquivos e dados coletados dos sensores. Cada um desses métodos impõe possíveis ameaças à integridade de dados. Um exemplo de corrupção de dados durante o processo de entrada inclui erros de entrada de dados ou sensores de sistema inoperantes, desconectados ou com mau funcionamento. Outros exemplos podem incluir formatos de dados incorretos ou não correspondentes e rotulagem errada. A modificação dos dados refere-se a qualquer mudança nos dados originais, como modificação manual dos dados pelos usuários, processamento de programas e alteração dos dados, além de falhas em equipamentos que podem resultar em modificação dos dados. Processos como codificação/decodificação, compactação/descompactação e criptografia/descriptografia são todos exemplos de modificações de dados. Código malicioso também resulta em corrupção dos dados. A corrupção de dados também ocorre durante o processo de saída de dados. Saída de dados refere-se à saída de dados para impressoras, displays eletrônicos ou diretamente para outros dispositivos. A precisão dos dados de saída é fundamental, pois fornece informações e influencia a tomada de decisões. Exemplos de corrupção dos dados de saída incluem o uso incorreto de delimitadores de dados, configurações de comunicação incorretas e configuração inadequada de impressoras. 2.3.3.2 Desafios da proteção dos dados em processamento Desafios da proteção dos dados em processamento A proteção contra a modificação inválida de dados durante o processamento pode ter um efeito adverso. Erros de software são o motivo de muitos acidentes e desastres. Por exemplo, apenas duas semanas antes do Natal, alguns varejistas parceiros da Amazon perceberam uma mudança no preço anunciado em seus artigos para apenas um centavo de dólar. A falha durou uma hora. O erro resultou em milhares de compradores fazendo o melhor negócio de suas vidas e na empresa perdendo receitas. Em 2016, o termostato Nest apresentou defeito e deixou os usuários sem aquecimento. O termostato Nest é uma tecnologia inteligente, da Google. Uma falha de software deixou os usuários, literalmente, no frio. Uma atualização deu errado, drenando as baterias do dispositivo e deixando-o incapaz de controlar a temperatura. Como resultado, os clientes não conseguiram aquecer suas casas ou obter água quente em um dos fins de semana mais frios do ano. A proteção de dados durante o processamento requer sistemas bem projetados. Os profissionais de segurança cibernética criam políticas e procedimentos que exigem teste, manutenção e atualização de sistemas para mantê-los funcionando com o mínimo de erros. 2.3.3.3 Atividade – Identificar o estado dos dados para determinada tecnologia Atividade – Identificar o estado dos dados 2.4 Contramedidas de segurança cibernéticas 2.4.1 Tecnologias 2.4.1.1 Proteções de tecnologias baseadas em software 2.4.1.1 Proteções de tecnologia baseadas em software As proteções de tecnologia incluem programas e serviços que protegem sistemas operacionais, bancos de dados e outros serviços sendo executados em estações de trabalho, dispositivos portáteis e servidores. Os administradores instalam contramedidas ou proteções baseadas em software em hosts ou servidores individuais. Existem várias tecnologias baseadas em software usadas para proteger os ativos de uma empresa: • Os firewalls de software controlam o acesso remoto a um software. Os sistemas operacionais normalmente incluem um firewall ou um usuário pode comprar ou fazer download de software de terceiros. • Scanners de rede e de porta detectam e monitoram portas abertas em um host ou servidor. • Analisadores de protocolo, ou analisadores de assinatura, são dispositivos que coletam e examinam o tráfego de rede. Eles identificam problemas de desempenho, detectam problemas de configuração, identificam aplicativos com comportamento inadequado, estabelecem o parâmetro e os padrões de tráfego normal e depuram problemas de comunicação. • Scanners de vulnerabilidades são programas de computador projetados para avaliar os pontos fracos em computadores ou redes. • Sistemas de detecção de invasão baseados em host (IDS) examinam as atividades apenas em sistemas de host. Um IDS gera arquivos de log e mensagens de alarme quando detecta atividade incomum. Um sistema que armazena dados confidenciais ou que presta serviços essenciais é um candidato para IDS baseado em host. 2.4.1.2 Proteções de tecnologia baseadas em hardware Existem várias tecnologias baseadas em hardware usadas para proteger os ativos de uma empresa: • Dispositivos de firewall bloqueiam o tráfego indesejado. Os firewalls contêm regras que definem o tráfego permitido dentro e fora de uma rede. • Sistemas de detecção de invasão (IDS) detectam sinais de ataques ou tráfego incomum em uma rede e enviam um alerta. • Sistemas de prevenção de intrusões (IPS) detectam sinais de ataques ou tráfego incomum em uma rede, geram um alerta e tomam medidas corretivas. • Os serviços de filtros de conteúdo controlam o acesso e a transmissão de conteúdo ofensivo ou censurável. 2.4.1.3 Proteções de tecnologia baseadas em rede Existem várias tecnologias baseadas em rede usadas para proteger os ativos da empresa: • Rede privada virtual (VPN) é uma rede virtual segura que usa a rede pública (ou seja, a Internet). A segurança de uma VPN está na criptografia do conteúdo do pacote entre os endpoints que definem a VPN. • Network Access Control (NAC) requer um conjunto de verificações antes de permitir que um dispositivo se conecte a uma rede. Algumas verificações comuns incluem software antivírus atualizados ou atualizações do sistema operacional instaladas. • Segurança de access point sem fio inclui a implementação de autenticação e criptografia. 2.4.1.4 Proteções de tecnologia baseadas na nuvem As tecnologias baseadas na nuvem mudam o componente de tecnologia da organização para o provedor de nuvem. Os três principais serviços de computação em nuvem são: • Software as a Service (SaaS) permite aos usuários ter acesso a bancos de dados e software de aplicativo. Os provedores de nuvem gerenciam a infraestrutura. Os usuários armazenam dados nos servidores do provedor de nuvem. • Infrastructure as a Service (IaaS) fornece recursos de computação virtualizados pela Internet. O provedor hospeda o hardware, o software, os servidores e os componentes de armazenamento. • Platform as a Service (PaaS) proporciona acesso a ferramentas e serviços de desenvolvimento usados para entregar os aplicativos. Os provedores de serviços de nuvem ampliaram essas opções para incluir IT as a Service (ITaaS), que proporciona suporte para os modelos de serviço IaaS, PaaS e SaaS. No modelo ITaaS, a empresa contrata serviços individuais ou em pacote com o provedor de serviços em nuvem. Provedores de serviços de nuvem usam dispositivos de segurança virtual que são executados dentro de um ambiente virtual com um sistema operacional pré-preparado em pacotes, codificado, sendo executado em hardware virtualizado. 2.4.2.1 Implementação de educaçãoe treinamento em segurança cibernética Investir muito dinheiro em tecnologia não fará diferença se as pessoas dentro da empresa forem o elo mais fraco da segurança cibernética. Um programa de conscientização sobre segurança é extremamente importante para uma organização. Um funcionário pode não ser intencionalmente malicioso, mas simplesmente desconhecer quais são os procedimentos adequados. Há várias formas de implementar um programa de treinamento formal: • Torne o treinamento de conscientização de segurança uma parte do processo de integração do funcionário • Vincule a conscientização de segurança aos requisitos do trabalho ou às avaliações de desempenho • Realize sessões de treinamento presenciais • Complete cursos on-line A conscientização de segurança deve ser um processo contínuo, já que novas ameaças e técnicas estão sempre surgindo. 2.4.2.2 Estabelecimento de uma cultura de conscientização de segurança cibernética Os membros de uma empresa devem ter consciência das políticas de segurança e ter o conhecimento para fazer parte da segurança de suas atividades diárias. Um programa de conscientização de segurança ativo depende: • Do ambiente da empresa • Do nível de ameaça A criação de uma cultura de conscientização de segurança cibernética é um esforço contínuo que requer a liderança da alta gerência e o compromisso de todos os usuários e funcionários. Afetar a cultura de segurança cibernética de uma empresa começa com o estabelecimento de políticas e procedimentos pela gerência. Por exemplo, muitas empresas têm dias de conscientização de segurança cibernética. As empresas também podem publicar banners e sinalização para aumentar a conscientização geral de segurança cibernética. A criação de seminários e workshops de orientação de segurança cibernética ajudam a aumentar a conscientização. 2.4.3.1 Políticas Uma política de segurança é um conjunto de objetivos de segurança para uma empresa que inclui regras de comportamento para os usuários e administradores e especifica os requisitos do sistema. Esses objetivos, regras e requisitos garantem, juntos, a segurança da rede, dos dados e dos sistemas de computador de uma organização. Uma política de segurança abrangente realiza várias tarefas: • Demonstra um comprometimento da empresa com a segurança. • Define as regras para o comportamento esperado. • Isso garante a consistência nas operações do sistema, nas aquisições, no uso e na manutenção de hardware e de software. • Define as consequências jurídicas das violações. • Dá o apoio da gerência à equipe de segurança. Políticas de segurança informam os usuários, funcionários e gerentes dos requisitos de uma empresa para a proteção de ativos de tecnologia e de informação. Uma política de segurança também especifica os mecanismos necessários para atender aos requisitos de segurança. Como mostrado na figura, uma política de segurança normalmente inclui: • Políticas de identificação e autenticação -Especifica pessoas autorizadas para acesso aos recursos de rede e define procedimentos de verificação. • Políticas de senhas - Garante que as senhas atendam aos requisitos mínimos e sejam alteradas regularmente. • Políticas de uso aceitável -Identifica os recursos e o uso da rede que são aceitáveis para a empresa. Também pode identificar ramificações para violações de política. • Políticas de acesso remoto - Identifica como os usuários remotos podem acessar uma rede e o que é remotamente acessível. • Políticas de manutenção de rede - Especifica procedimentos de atualização de sistemas operacionais e de aplicativos de usuários finais dos dispositivos de rede. • Políticas de tratamento de incidentes - Descreve como os incidentes de segurança são tratados. Um dos componentes de política de segurança mais comuns é uma política de uso aceitável (AUP). Esse componente define o que os usuários podem ou não fazer nos vários componentes do sistema. A AUP deve ser o mais explícita possível, para evitar mal-entendidos. Por exemplo, uma AUP lista sites, grupos de notícias ou aplicativos específicos de uso intensivo de largura de banda que os usuários não podem acessar usando computadores ou a rede da empresa. 2.4.3.2 Padrões Os padrões ajudam uma equipe de TI a manter a consistência no funcionamento da rede. Documentos de padrões proporcionam as tecnologias que usuários ou programas específicos precisam, além de qualquer requisito ou critério de programa que uma empresa deve seguir. Isso ajuda a equipe de TI melhorar a eficiência e simplicidade no design, manutenção e solução de problemas. Um dos princípios de segurança mais importantes é a consistência. Por esse motivo, é necessário que as empresas estabeleçam padrões. Cada empresa desenvolve padrões para suporte de seu único ambiente operacional. Por exemplo, uma empresa estabelece uma política de senhas. O padrão é que as senhas requerem um mínimo de oito caracteres alfanuméricos maiúsculos e minúsculos, incluindo pelo menos um caractere especial. Um usuário deve alterar a senha a cada 30 dias e um histórico das 12 senhas anteriores garante que o usuário crie senhas exclusivas durante um ano. 2.4.3.3 Diretrizes As diretrizes são uma lista de sugestões sobre como fazer as coisas de forma mais eficiente e com segurança. Eles são semelhantes aos padrões, mas mais flexíveis e, geralmente, não são obrigatórios. As diretrizes definem como os padrões são desenvolvidos e garantem adesão às políticas de segurança gerais. Algumas das orientações mais úteis compõem as melhores práticas de uma empresa. Além das melhores práticas definidas de uma empresa, as orientações também estão disponíveis das seguintes instituições: • Centro de recursos de segurança de computador do Instituto Nacional de Padrões e Tecnologia (NIST) (Figura 1) • Orientações de configuração de segurança nacional (NSA) (Figura 2) • O padrão de critérios comuns (Figura 3) Usando o exemplo de políticas de senha, uma diretriz é uma sugestão de que o usuário use uma frase como "I have a dream" e converta-a para uma senha forte, Ihv@dr3@m. O usuário pode criar outras senhas com essa frase, alterando o número, movendo o símbolo ou alterando o sinal de pontuação. 2.4.3.4 Procedimentos Documentos de procedimentos são mais longos e mais detalhados que os padrões e diretrizes. Documentos de procedimentos incluem detalhes de implementação que normalmente contêm instruções e gráficos passo a passo. A figura mostra um exemplo do procedimento usado para alterar uma senha. Grandes empresas devem usar documentos de procedimentos para manter a consistência de implantação que é necessária para um ambiente seguro. 2.4.3.5 Atividade - Identificar a categoria da contramedida 2.5.1.1 Visão geral do modelo Os profissionais de segurança precisam proteger as informações de ponta a ponta na organização. Essa é uma tarefa muito importante e não devemos esperar que um único indivíduo tenha todo o conhecimento necessário. A Organização internacional de normalização (ISO) / Comissão eletrotécnica internacional (IEC) desenvolveram uma estrutura abrangente para orientar o gerenciamento de segurança da informação. O modelo de segurança cibernética da ISO/IEC é para profissionais de segurança cibernética o que o modelo de rede OSI é para engenheiros de rede. Ambos proporcionam uma estrutura para entendimento e abordagem de tarefas complexas. 2.5.1.2 Domínios de segurança cibernética ISO/IEC 27000 é um padrão de segurança da informação publicada em 2005 e revisada em 2013. A ISO publica os padrões ISO 27000. Embora os padrões não sejam obrigatórios, a maioria dos países os usa como uma estrutura de fato para implementação da segurança da informação. Os padrões ISO 27000 descrevem a implementação de um sistema de gerenciamento de segurançada informação abrangente (ISMS). Um ISMS consiste em todos os controles administrativos, técnicos e operacionais para manter a informação segura dentro de uma empresa. Doze domínios independentes representam os componentes do padrão ISO 27000. Esses doze domínios servem para organizar, em alto nível, as vastas áreas de informações cobertas pela segurança da informação. A estrutura do modelo de segurança cibernética ISO é diferente do modelo OSI, pois usa domínios, e não camadas, para descrever as categorias de segurança. O motivo para isso é que o modelo de segurança cibernética ISO não é uma relação hierárquica. É um modelo não hierárquico, em que cada domínio tem uma relação direta com os outros domínios. O modelo de segurança cibernética ISO 27000 é muito semelhante ao modelo OSI e é vital para os especialistas em segurança cibernética entender esses dois modelos para ter sucesso. Clique em cada domínio da figura para obter uma breve descrição. Os doze domínios servem como uma base comum para o desenvolvimento de padrões de segurança organizacional e de práticas eficazes de gerenciamento de segurança. Também ajudam a facilitar a comunicação entre as empresas. 2.5 Estrutura de gerenciamento de segurança de TI 2.5.1 O modelo de segurança cibernética ISO 2.5.1.3 Objetivos de controle Os doze domínios consistem em objetivos de controle definidos na parte 27001 do padrão. Os objetivos de controle definem os requisitos de alto nível para implementar um ISM abrangente. A equipe de gerência de uma empresa usa os objetivos de controle do padrão ISO 27001 para definir e publicar as políticas de segurança da empresa. Os objetivos de controle proporcionam uma checklist que deve ser usada durante as auditorias de gerenciamento de segurança. Muitas empresas precisam passar uma auditoria de ISMS para ganhar uma designação de conformidade com ISO 27001. Certificação e conformidade proporcionam confiança para duas empresas que precisam confiar nos dados confidenciais uma da outra. Auditorias de conformidade e de segurança provam que as empresas estão melhorando continuamente seu sistema de gerenciamento de segurança da informação. A seguir temos um exemplo de um objetivo de controle: Controlar o acesso a redes usando os mecanismos de autenticação adequados para os usuários e equipamentos. 2.5.1.4 Controles O padrão ISO/IEC 27002 define controles de sistema de gerenciamento de segurança da informação. Os controles são mais detalhados que objetivos. Os objetivos de controle informam à empresa o que fazer. Controles definem como atingir o objetivo. Com base no objetivo de controle, para controle de acesso a redes usando os mecanismos de autenticação adequados para usuários e equipamentos, o controle seria: Use senhas fortes. Uma senha forte é composta de pelo menos oito caracteres que são uma combinação de letras, números e símbolos (@, #, $, %, etc.) se permitido. As senhas diferenciam maiúsculas de minúsculas, portanto, uma senha forte contém letras em maiúsculas e minúsculas. Profissionais de segurança cibernética reconhecem o seguinte: • Controles não são obrigatórios, mas são amplamente aceitos e adotados. • Os controles devem manter neutralidade de fornecedor para evitar a aparência de endossar um produto ou empresa específico. • Controles são como diretrizes. Isso significa que pode haver mais de uma maneira de atingir o objetivo. https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/index.html#2.5.1 2.5.1.5Atividade - Identificar os domínios e controles do ISO/IEC 27000 2.5.2.1 O modelo de segurança cibernética ISO e a Tríade CIA O padrão ISO 27000 é uma estrutura universal para cada tipo de empresa. Para usar a estrutura de forma eficaz, uma organização deve limitar quais domínios, objetivos de controle e controles aplicar a seu ambiente e a suas operações. Os objetivos de controle da ISO 27001 servem como uma lista de verificação. A primeira etapa realizada por uma organização é determinar se esses objetivos de controle são aplicáveis à organização. A maioria das empresas geram um documento chamado Declaração de aplicabilidade (SOA). A SOA define quais objetivos de controle a empresa precisa usar. Diferentes empresas colocam maior prioridade sobre a confidencialidade, integridade e disponibilidade, dependendo do tipo de setor. Por exemplo, a Google coloca o valor mais alto na disponibilidade e confidencialidade de dados do usuário e menos na integridade. A Google não verifica os dados do usuário. A Amazon coloca alta ênfase na disponibilidade. Se o site não estiver disponível, a Amazon não faz a venda. Isso não significa que a Amazon ignora a confidencialidade em favor da disponibilidade. A Amazon só coloca uma prioridade mais alta na disponibilidade. Portanto, a Amazon pode gastar mais recursos para garantir que existam mais servidores disponíveis para processar as compras dos clientes. Uma empresa adapta seu uso dos objetivos de controle e dos controles disponíveis para melhor atender as suas prioridades em matéria de confidencialidade, integridade e disponibilidade. https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/index.html#2.5.1.5 2.5.2.2 O modelo de segurança cibernética ISO e os estados dos dados Diferentes grupos na organização podem ser responsáveis pelos dados em cada um dos vários estados. Por exemplo, o grupo de segurança da rede é responsável pelos dados durante a transmissão. Os programadores e o pessoal de entrada de dados são responsáveis pelos dados durante o processamento. Os especialistas de suporte a hardware e servidor são responsáveis pelos dados armazenados. Os controles ISO abordam, especificamente, os objetivos de segurança dos dados em cada um dos três estados. Nesse exemplo, os representantes de cada um dos três grupos ajudam a identificar os controles que são aplicáveis e a prioridade de cada controle em sua área. O representante do grupo de segurança de rede identifica os controles, garantindo a confidencialidade, a integridade e a disponibilidade de todos os dados transmitidos. 2.5.2.3 O modelo de segurança cibernética ISO e proteções Os objetivos do controle ISO 27001 estão diretamente relacionados às políticas, aos procedimentos e às diretrizes de segurança cibernética da organização, determinados pela alta gerência. Os controles ISO 27002 proporcionam orientação técnica. Por exemplo, a alta gerência estabelece uma política, especificando a proteção de todos os dados que entram ou saem da organização. A implementação da tecnologia para atingir os objetivos da política não envolveria a alta gerência. É responsabilidade dos profissionais de TI implementar e configurar adequadamente os equipamentos usados para atender às diretivas da política definidas pela alta gerência. 2.5.2.4 Laboratório – Instalação de uma máquina virtual em um computador pessoal Um arquivo de imagem de máquina virtual foi criado para você instalar em seu computador. Neste laboratório, você baixará e importará esse arquivo de imagem usando um aplicativo de virtualização de desktop, como VirtualBox. 2.5.2.5 Laboratório - Exploração da autenticação, autorização e accounting Nessa atividade, você irá examinar, identificar e configurar os controles de autenticação, autorização ou os access controls adequados. Você também irá instalar e configurar controles de segurança. 2.5.2.6 Packet Tracer – Como explorar a criptografia de dados e de arquivos Neste Packet Tracer, você atingirá os seguintes objetivos: • Localize as credenciais da conta FTP do notebook da Mary • Carregue os dados confidenciais usando FTP • Localize as credenciais da conta FTP do computador do Bob • Baixe os dados confidenciaisusando FTP • Decriptografe o conteúdo do arquivo clientinfo.txt 2.5.2.7 Packet Tracer – Como usar as verificações de integridade de arquivos e de dados Neste Packet Tracer, você atingirá os seguintes objetivos: • Baixe os arquivos do cliente para o computador do Mike • Baixe os arquivos do cliente do servidor de arquivos de backup para o computador do Mike • Verifique a integridade de arquivos do cliente usando hash • Verifique a integridade de arquivos essenciais usando HMAC Capítulo 2.6: Resumo Capítulo 2.6.1: Conclusão Capítulo 2.6.1.1 O cubo da segurança cibernética Este capítulo discutiu as três dimensões do cubo segurança cibernética. A responsabilidade central de um profissional segurança cibernética é proteger os dados e os sistemas de uma empresa. O capítulo explicou como cada uma das três dimensões contribui para com essa iniciativa. O capítulo também apresentou o modelo de segurança cibernética ISO. O modelo representa uma estrutura internacional para padronizar o gerenciamento de sistemas de informação. Este capítulo explorou os doze domínios. O modelo proporciona objetivos de controle que guiam o design e a implementação de alto nível de um sistema de gerenciamento da segurança da informação abrangente (ISMS). O capítulo também discutiu como os profissionais de segurança usam os controles para identificar as tecnologias, os dispositivos e os produtos para proteger a organização.
Compartilhar