Cybersecurity Essentials

Prévia do material em texto

Cybersecurity Essentials.
Capítulo 1: Cibersegurança - Um Mundo de Especialistas e Criminosos
Muitos dos hackers originais, eram amadores, programadores e estudantes durante os anos 60. Originalmente, o termo hacker descrevia indivíduos com competências de programação avançadas. Os hackers usavam essas competências de programação para testar os limites e capacidades dos sistemas iniciais. Esses hackers também estiveram envolvidos no desenvolvimento dos primeiros jogos de computador. Muitos desses jogos incluíam feiticeiros e feitiçaria.
À medida que a cultura do hacking evoluiu, incorporou o léxico desses jogos na própria cultura. Mesmo o mundo exterior começou a associar a imagem de poderosos feiticeiros a esta cultura de hackers incompreendida. Livros como Where Wizards Stay up Late: The Origins of The Internet publicado em 1996, adicionaram mística à cultura de hacking. A imagem e o léxico ficaram associados. Muitos grupos de hackers ainda hoje adotam essas imagens. Um dos grupos de hackers mais conhecidos foi o Legion of Doom. É importante compreender a cultura cibernética para entender os cibercriminosos e as suas motivações.
Sun Tzu foi um filósofo e guerreiro chinês do século VI AC. Sun Tzu escreveu o livro intitulado, A Arte da Guerra, que é um trabalho clássico sobre as estratégias para derrotar um inimigo. Este livro serviu de inspiração a muitos estrategas ao longo dos tempos. Um dos princípios orientadores de Sun Tzu era conhecer o adversário. Enquanto Sun Tzu se referia especificamente à guerra, grande parte dos seus conselhos podem aplicar-se a outros aspectos da vida, incluindo os desafios da cibersegurança. Este capítulo começa por explicar a estrutura do mundo da cibersegurança e a razão pela qual este continua a crescer.
Este capítulo discute o papel dos cibercriminosos e as suas motivações. Finalmente, o capítulo explica como se tornar num especialista em cibersegurança. Estes especialistas em cibersegurança ajudam a derrotar os cibercriminosos que ameaçam o cibermundo.
Visão geral dos domínios de cibersegurança
Existem muitos grupos que compõem os diferentes domínios do “cibermundo”. Quando os grupos são capazes de recolher e utilizar enormes quantidades de dados, eles acumulam poder e influência. Estes dados podem ser na forma de números, imagens, vídeo, áudio ou qualquer tipo de dados que possam ser digitalizados. Estes grupos podem ficar tão poderosos que operam como se fossem poderes separados, criando domínios de cibersegurança separados.
Empresas como a Google, Facebook e LinkedIn podem ser consideradas domínios de dados no nosso cibermundo. Estendendo ainda mais a analogia, as pessoas que trabalham nestas empresas podem ser consideradas especialistas em cibersegurança.
A palavra 'domínio' tem muitos significados. Onde quer que haja controlo, autoridade ou proteção, pode-se considerar essa “área” como um domínio. Imagine como um animal selvagem protegeria o seu próprio território (domínio). Neste curso, considere um domínio como uma área a ser protegida. Pode ser limitado por um limite lógico ou físico. Isso irá depender do tamanho do sistema em causa. Os especialistas em cibersegurança precisam de proteger os seus domínios de acordo com as leis em vigor.
Exemplos de Domínios de Cibersegurança
Os especialistas da Google criaram um dos primeiros e mais poderosos domínios dentro da Internet. Biliões de pessoas usam, todos os dias, o motor de pesquisa da Google para efetuar pesquisas na Internet. A Google criou, provavelmente, a maior infraestrutura de recolha de dados do mundo. A Google desenvolveu o Android, o sistema operativo instalado em mais de 80% de todos os dispositivos móveis conectados à Internet. Cada dispositivo exige que os utilizadores criem contas da Google que podem gravar preferências e informações da conta, armazenar resultados de pesquisa e até localizar o dispositivo. Clique aqui para ver alguns dos muitos serviços que a Google oferece atualmente.
A Facebook criou outro domínio poderoso dentro da Internet. Especialistas da Facebook reconhecem que as pessoas criam contas pessoais todos os dias para comunicarem com a família e amigos. Ao fazê-lo, os utilizadores fornecem voluntariamente uma grande quantidade de dados pessoais. Os especialistas da Facebook criaram um domínio de dados massivo para permitir que as pessoas se conetem de diferentes formas, inimagináveis no passado. A Facebook afeta milhões de vidas diariamente e capacita empresas e organizações a comunicarem com as pessoas de uma maneira mais pessoal e focada.
O LinkedIn é mais um domínio de dados na Internet. Os especialistas do LinkedIn reconhecem que os seus utilizadores estão dispostos a partilhar informação quando constroem a sua rede de contactos profissionais. Os utilizadores do LinkedIn submetem essas informações para criar perfis online e conetarem-se com outros utilizadores. O LinkedIn conecta funcionários com empregadores e empresas a outras empresas em todo o mundo. Existem muitas semelhanças entre as plataformas LinkedIn e Facebook.
Um olhar para dentro destes domínios revela como eles são construídos. Fundamentalmente, estes domínios são poderosos devido à capacidade de recolher dados do utilizador, submetidos pelos próprios utilizadores. Estes dados geralmente incluem contexto, discussões, relações, locais, viagens, interesses, amigos e familiares, profissões, ocupações, horários de trabalho e pessoais. Especialistas criam um valor acrescentado sobre estes dados, para que as organizações possam melhor entender e comunicar com clientes e funcionários.
O Crescimento dos Domínios Cibernéticos
Os dados recolhidos na Internet são consideravelmente mais do que apenas os dados que os utilizadores contribuem voluntariamente. Os domínios cibernéticos continuam a crescer à medida que a ciência e a tecnologia evoluem, permitindo que os especialistas e os seus empregadores (Google, Facebook, LinkedIn, etc.) recolham dados de muitas outras formas. Especialistas cibernéticos agora têm a tecnologia para acompanhar previsões meteorológicas globais, monitorizar os oceanos, bem como o movimento e comportamento de pessoas, animais e objetos em tempo real.
Novas tecnologias, como os Sistemas de Informação Geográfica (SIG) e a Internet das Coisas (IoT), surgiram. Estas novas tecnologias podem rastrear a saúde das árvores numa zona geográfica. Elas podem fornecer a localização atualizada de veículos, dispositivos, indivíduos e materiais. Este tipo de informação pode contribuir para a poupar energia, melhorar a eficiência e reduzir os riscos de segurança. Cada uma destas tecnologias contribui para a expansão exponencial de dados recolhidos, analisados e usados para entender o mundo. Os dados recolhidos por sistemas SIG e IoT representam um tremendo desafio para os profissionais de cibersegurança no futuro. O tipo de dados gerados por dispositivos nestas tecnologias tem o potencial de permitir que os cibercriminosos tenham acesso a aspectos muito íntimos da vida quotidiana.
Quem são os cibercriminosos?
Nos primórdios da cibersegurança, os cibercriminosos eram tipicamente adolescentes ou amadores que operavam a partir de um PC doméstico, com ataques limitados principalmente a brincadeiras e vandalismo. Hoje, o mundo dos cibercriminosos tornou-se mais perigoso. Os atacantes são indivíduos ou grupos que tentam explorar vulnerabilidades para obter ganhos pessoais ou financeiros. Os cibercriminosos estão interessados em tudo, desde cartões de crédito a informações sobre novos produtos, ou qualquer coisa onde possam obter valor.
Amadores
Amadores, ou script kiddies, têm pouca ou nenhumas competências, geralmente usando ferramentas existentes ou instruções encontradas na Internet para lançar ataques. Alguns são apenas curiosos, enquanto outros tentam demonstrar suas habilidades e causar danos. Podem utilizar ferramentas básicas, mas os resultados podem, contudo, ser devastadores.
Hackers
Este grupo de criminosos invade sistemas ou redes informáticas para obter acesso por várias razões. A intenção do ataquedetermina a classificação dos atacantes como hackers de chapéu branco, cinzento ou preto. Os hackers de chapéu branco invadem sistemas ou redes informáticas para descobrir pontos fracos e melhorar a segurança desses sistemas. Os proprietários do sistema dão permissão para executar o ataque e recebem os resultados do teste. Por outro lado, os hackers de chapéu preto tiram partido de qualquer vulnerabilidade para proveito pessoal, financeiro ou político, ilegal. Os hackers de chapéu cinzento encontram-se entre os bem intencionados e os mal intencionados. Os hackers de chapéu cinzento podem encontrar uma vulnerabilidade e relatá-la aos proprietários do sistema se essa ação coincidir com sua agenda. Alguns hackers de chapéu cinzento publicam os detalhes sobre a vulnerabilidade na Internet, para que outros hackers possam explorá-la.
A figura fornece detalhes sobre os hackers the chapéu branco, hackers de chapéu preto e hackers de chapéu cinzento.
Hackers Organizados
Estes criminosos incluem organizações de cibercriminosos, ativistas da pirataria informática (hacktivists), terroristas e hackers patrocinados por governos. Geralmente, os cibercriminosos são grupos de criminosos profissionais focados na obtenção de controlo, poder e riqueza. Estes criminosos são altamente sofisticados e organizados e podem inclusivamente fornecer o cibercrime como um serviço. Os ativistas da pirataria informática (hacktivists) fazem declarações políticas com o objetivo de sensibilizar a população para questões que lhes sejam relevantes. Os hacktivists publicam abertamente informações embaraçosas sobre as suas vítimas. Os atacantes patrocinados por governos recolhem informações ou cometem atos de sabotagem em nome do respetivo governo. Estes atacantes são, geralmente, altamente treinados e bem financiados. Os seus ataques concentram-se em objetivos específicos que são benéficos para o seu governo. Alguns atacantes patrocinados pelo governo são membros das forças armadas do respetivo país.
Clique aqui para ver uma imagem que ilustra os perfis dos hackers.
Motivos para o Cibercrime
Os perfis dos cibercriminosos e seus perfis mudaram ao longo dos anos. O hacking começou nos anos 60 com o phreaking, que se refere ao uso de várias frequências de áudio para manipular sistemas telefónicos. Em meados dos anos 80, os criminosos usavam modems telefónicos (dial-up) para conectar computadores a redes remotas e usavam programas de quebra de palavras-passe para obter acesso a dados privados. Hoje em dia, os criminosos vão além do roubo de informações. Os criminosos podem atualmente usar malware e vírus como armas de alta tecnologia. No entanto, a maior motivação para a maioria dos cibercriminosos é financeira. O cibercrime tornou-se mais lucrativo do que o tráfico ilegal de drogas.
Os perfis e motivações dos hackers mudaram consideravelmente. A figura exibe termos modernos de hacking e uma breve descrição para cada um.
Porquê tornar-se um especialista em cibersegurança?
A procura por especialistas em cibersegurança cresceu mais do que a procura por outros empregos em TI. Toda a tecnologia que transforma e melhora o nível de vida das pessoas também o torna mais vulnerável a ataques. A tecnologia por si só não consegue prevenir, detectar, responder e recuperar de incidentes de cibersegurança. Considere o seguinte:
· O nível de competências necessário para um especialista eficaz em cibersegurança e a escassez de profissionais qualificados nesta área, traduz-se num maior potencial de ganhos.
· As tecnologias de informação estão constantemente em mudança. Isto também é verdade para a cibersegurança. A natureza altamente dinâmica da área da cibersegurança pode ser desafiadora e fascinante.
· A carreira de um especialista em cibersegurança também é altamente portável. Há empregos em quase todas as localizações geográficas.
· Especialistas em cibersegurança fornecem um serviço necessário para as suas organizações, países e sociedades, tal como polícias e médicos.
Tornar-se um especialista em cibersegurança é uma oportunidade de carreira gratificante.
Impedindo Cibercriminosos
Impedir os cibercriminosos é uma tarefa difícil e não existe uma “bala de prata”. No entanto, empresas, governos e organizações internacionais já iniciaram ações coordenadas para limitar ou defender contra ciberataques. As ações coordenadas incluem:
· Criação de bases de dados de vulnerabilidades conhecidas e assinaturas de ataques (um conjunto exclusivo de informações usado para identificar a tentativa de um atacante explorar uma vulnerabilidade conhecida). As organizações partilham publicamente estas bases de dados, para ajudar a preparar e defender contra ataques conhecidos.
· Estabelecer sensores de alerta precoce e redes de alerta. Devido ao custo e à impossibilidade de monitorizar cada sistema existente, as organizações optam geralmente por monitorizar apenas alvos importantes, ou criam impostores que se fazem passar como alvos importantes. Como esses alvos importantes são mais propensos a sofrer ataques, estes servem de alerta a outros sistemas sobre potenciais ataques que estejam a ocorrer.
· Partilha de informações de ciberinteligência. Empresas, agências governamentais e países colaboram atualmente na partilha de informações críticas sobre ataques graves a alvos considerados críticos, a fim de evitar ataques semelhantes em outros sistemas. Muitos países estabeleceram agências de ciberinteligência, que colaboram globalmente no combate aos ciberataques.
· Estabelecer normas de gestão da segurança da informação entre organizações nacionais e internacionais. As normas ISO 27000 são um bom exemplo desses esforços internacionais.
· Promulgar novas leis para desencorajar ciberataques e violações de dados. Estas leis consideram penalidades severas para punir os cibercriminosos capturados a realizar ações ilegais.
A figura ilustra medidas para impedir cibercriminosos e uma breve descrição de cada.
Laboratório - Caça ao Emprego em Cibersegurança
Neste laboratório, serão usados locais na Internet para procura de emprego na área da cibersegurança e assimilar as qualificações exigidas para esta profissão.
Laboratório - Caça ao Emprego em Cibersegurança
Ameaças comuns aos utilizadores finais
Como descrito anteriormente, existem especialistas que são inovadores e visionários. Eles constroem os diferentes domínios cibernéticos da Internet. Eles têm a capacidade de reconhecer o valor dos dados e saber explorá-lo. De seguida, para além de proteger as pessoas contra ciberataques, eles criam as suas organizações e fornecem serviços. Idealmente, os profissionais em cibersegurança devem reconhecer a ameaça que os dados representam se forem usados contra pessoas.
Ameaças e vulnerabilidades são a principal preocupação dos profissionais de cibersegurança. Duas situações são especialmente críticas:
· Quando uma ameaça é a possibilidade de que um evento nocivo, como um ataque, ocorra.
· Quando uma vulnerabilidade torna um alvo suscetível a um ataque.
Por exemplo, os dados nas mãos erradas podem resultar em uma perda de privacidade para os proprietários, podem afetar a sua reputação ou comprometer a sua carreira ou relacionamentos pessoais. Roubo de identidade é um grande negócio. No entanto, não são necessariamente os serviços semelhantes ao Google e Facebook que representam o maior risco. Escolas, hospitais, instituições financeiras, agências governamentais, locais de trabalho e comércio eletrónico podem representar riscos maiores. Organizações como a Google e a Facebook têm os recursos para contratar os melhores especialistas em cibersegurança para proteger os seus domínios. À medida que mais organizações criam grandes bases de dados contendo grandes volumes de dados pessoais, a necessidade de profissionais de cibersegurança aumenta. Isto deixa empresas e organizações de menor dimensão a competir pelos restantes profissionais de cibersegurança. As ciberameaças são particularmente perigosas para certas indústrias e as informações que estas guardam.
Tipos de RegistosPessoais
Os seguintes são apenas alguns exemplos de fontes de dados que provenientes de organizações reconhecidas.
Registos médicos
Ir a uma consulta médica pode resultar na adição de mais informações a um Registo de Saúde Eletrónico (RSE). A receita passada por um médico de família passa a fazer parte do RSE. Um RSE inclui saúde física, mental e outras informações pessoais que podem não estar relacionadas com o médico. Por exemplo, uma criança vai a uma consulta de aconselhamento devido a um problema familiar. Esta informação ficará registada no RSE. Além do histórico médico e informações pessoais, o RSE também pode incluir informações sobre a família dessa pessoa. Várias leis abordam a proteção dos registos dos pacientes.
Dispositivos médicos, tais como pulseiras de fitness, armazenam online, em plataformas na cloud, informações como frequência cardíaca, pressão sanguínea, níveis de glicemia, entre outros. Estes dispositivos podem gerar uma enorme quantidade de dados clínicos que podem fazer parte de um registo médico.
Registos Escolares
Os registos académicos incluem informações sobre notas, pontuações de testes, frequência, cursos realizados, prémios, diplomas concedidos e relatórios disciplinares. Este registo também pode incluir informações de contato, registos de saúde e imunização e registos de educação especial, incluindo o plano educacional individualizado (PEI).
Registos Profissionais e Financeiros
As informações sobre empregos podem incluir empregos anteriores e desempenho. Registos de emprego também podem incluir informações salariais e seguros. Registos financeiros podem incluir informações sobre receitas e despesas. Registos fiscais podem incluir recibos por via de cheques, extratos de cartão de crédito, classificação de crédito e informações bancárias.
Ameaças aos Serviços da Internet
Existem muitos serviços técnicos essenciais necessários para que uma rede e, em última análise, a Internet funcionem. Entre outros, estes serviços incluem encaminhamento, endereçamento, nomes de domínios e gestão de bases de dados. Para os cibercriminosos, estes serviços tornam-se alvos principais.
Os criminosos usam ferramentas de captura de pacotes para capturar fluxos de dados numa rede. Isto significa que todos os dados confidenciais, como nomes de utilizador, senhas e números de cartão de crédito, podem estar estão em risco. As aplicações de captura de pacotes funcionam analisando e armazenando toda a informação que capturam da rede. Os criminosos também podem usar dispositivos não autorizados, como pontos de acesso Wi-Fi impostores, não protegidos. Se o criminoso configurar isto junto a um lugar público, como um café, utilizadores desprevenidos podem efetuar acesso e o atacante, através de um analisador de pacotes, pode capturar as credencias de acesso e outra informação relevante.
O Domain Name System (DNS) traduz um nome de domínio, como www.facebook.com, no seu endereço IP numérico. Se um servidor DNS não souber o endereço IP, a pergunta será reencaminhada para outro servidor DNS. Com a falsificação de DNS (ou envenenamento por cache DNS), o criminoso introduz dados falsos na cache de um servidor de DNS. Estes ataques de envenenamento exploram uma fraqueza no software DNS que faz com que os servidores DNS redirecionem o tráfego de um domínio específico para o computador do criminoso, em vez de o direcionarem para o legítimo proprietário do domínio.
Os pacotes transportam dados através de uma rede, como por exemplo a Internet. A falsificação de pacotes (ou injeção de pacotes) interfere com uma comunicação de rede estabelecida, construindo pacotes para parecer como se fossem parte de uma comunicação ativa. A falsificação de pacotes permite que um criminoso interrompa ou intercepte pacotes. Este processo permite ao criminoso sequestrar uma conexão autorizada ou negar a capacidade de um utilizador usar determinados serviços de rede. Os especialistas em cibersegurança chamam isto de ataque de homem-no-meio.
Os exemplos dados apenas riscam a superfície dos vários tipos de ameaças que os criminosos podem lançar contra a Internet e os serviços de rede.
Ameaças aos Principais Setores da Indústria
Os setores chave da indústria oferecem infraestruturas de rede como fabrico, energia, comunicações e transporte. Por exemplo, a rede elétrica inteligente é uma melhoria do sistema de geração e distribuição de energia elétrica. A rede elétrica transporta energia para um grande número de clientes. Uma rede elétrica inteligente usa informação para criar uma rede avançada e automatizada de distribuição de energia. Os líderes mundiais reconhecem que proteger esta infraestrutura é fundamental para proteger a economia.
Na última década, ciberataques como o Stuxnet mostraram que um ciberataque pode destruir ou interromper infraestruturas críticas. Especificamente, o ataque Stuxnet visou o sistema SCADA (Supervisory Control and Data Acquisition) usado para controlar e monitorizar processos industriais. O SCADA pode fazer parte de vários processos industriais, incluindo sistemas de fabrico, produção, energia e comunicação. Clique aqui para ver mais informações sobre o ataque Stuxnet.
Um ciberataque pode derrubar ou interromper setores da indústria como o das telecomunicações, transporte ou geração de energia elétrica e sistemas de distribuição. Poderia também interromper o setor dos serviços financeiros. Um dos problemas com ambientes que incorporam o SCADA é o fato de que os designers não conceberam o SCADA para interconexão com sistemas tradicionais de TI e a Internet. Não foram, portanto, considerados adequadamente aspetos de cibersegurança durante a fase de desenvolvimento desses sistemas. Como em outros setores, as organizações que usam sistemas SCADA reconhecem o valor da recolha de dados para melhorar as operações e diminuir os custos. A tendência resultante é conectar sistemas SCADA aos sistemas tradicionais de TI. No entanto, isto aumenta a vulnerabilidade das indústrias que usam sistemas SCADA.
O potencial avançado de ameaças que existe hoje, exige uma geração especial de especialistas em cibersegurança.
Ameaças ao Modo de Vida das Pessoas
A cibersegurança é o esforço contínuo para proteger os sistemas informáticos e os dados contra o acesso não autorizado. A nível pessoal, todos precisam de proteger a sua identidade, dados e dispositivos informáticos. Ao nível corporativo, é responsabilidade dos funcionários proteger a reputação, os dados e os clientes da organização. Ao nível governamental, a segurança nacional e a segurança e o bem-estar dos cidadãos estão em jogo.
Os profissionais de cibersegurança estão frequentemente envolvidos em trabalho com agências governamentais na identificação e recolha de dados.
Nos EUA, a Agência de Segurança Nacional (NSA) é a responsável pelas atividades de recolha e vigilância de inteligência. A NSA criou um novo datacenter especificamente para processar o volume cada vez maior de informações. Em 2015, o Congresso dos EUA aprovou a Lei da Liberdade dos EUA, terminando a prática de recolher em massa os registos telefónicos dos seus cidadãos. O programa forneceu metadados que forneceram à NSA informações sobre comunicações enviadas e recebidas.
Os esforços para proteger o modo de vida das pessoas muitas vezes entram em conflito com o seu direito à privacidade. Será interessante ver o que acontece com o equilíbrio entre esses direitos e a segurança dos utilizadores da Internet.
Laboratório - Identificação de Ameaças
Neste laboratório serão examinadas as ameaças que os cibercriminosos representam e identificados as características e requisitos necessários para que se torne num especialista em cibersegurança.
Laboratório - Identificação de Ameaças
Ameaças Internas e Externas
Ameaças à Segurança Interna
Os ataques podem ter origem dentro ou fora da organização, conforme mostrado na figura. Um utilizador interno como, por exemplo, um funcionário ou parceiro contratado, pode, de modo acidental ou intencional:
· Manusear dados confidenciais de forma incorreta
· Ameaçar as operaçõesde servidores internos ou de dispositivos da infraestrutura de rede
· Facilitar ataques externos, ligando suportes de dados USB infetados ao sistema informático da empresa
· Permitir acidentalmente a instalação de software maligno na rede através de e-mails ou acesso a locais malignos na Internet
As ameaças internas têm o potencial de provocar danos maiores do que as ameaças externas porque os utilizadores internos têm acesso direto ao edifício e aos dispositivos da infraestrutura do mesmo. Os atacantes internos geralmente têm conhecimento da rede empresarial, incluindo recursos e dados confidenciais. Eles também podem ter mais previlégios administrativos e ter conhecimento de contramedidas de segurança e políticas de acesso.
Ameaças à Segurança Externa
Ameaças externas, sejam de amadores ou atacantes qualificados, podem explorar vulnerabilidades em sistemas ou podem usar engenharia social, como burlas, para obter acesso. Ataques externos exploram fraquezas ou vulnerabilidades para obter acesso a recursos internos.
Dados Tradicionais
Os dados corporativos incluem informações pessoais, propriedade intelectual e dados financeiros. As informações de funcionários incluem formulários de inscrição, folhas de pagamento, cartas de apresentação, contratos e qualquer outra informação usada na tomada de decisões de emprego. A propriedade intelectual como, por exemplo, patentes, marcas comerciais e novos planos de produtos, permitem que uma empresa tenha vantagem económica sobre os seus concorrentes. Considere esta propriedade intelectual como um segredo comercial; perder estas informações pode ser desastroso para o futuro da empresa. Os dados financeiros, como declarações de faturação, balanços e declarações de tesouraris, fornecem uma visão sobre a saúde da empresa.
As Vulnerabilidades dos Dispositivos Móveis
No passado, os funcionários costumavam usar computadores fornecidos pela empresa conectados a uma LAN corporativa. Os administradores monitorizam e atualizam continuamente estes computadores para cumprir com os requisitos de segurança. Hoje, dispositivos móveis como iPhones, smartphones, tablets e milhares de outros dispositivos, são poderosos substitutos ou adições ao PC tradicional. Cada vez mais pessoas usam estes dispositivos para aceder a informações corporativas. O paradigma BYOD (traga o seu próprio dispositivo) é uma tendência em crescimento. A dificuldade de gerir e atualizar centralmente dispositivos móveis, representa uma ameaça crescente para as empresas que permitem que os dispositivos móveis dos seus funcionários se conetem às suas redes.
O Advento da Internet das Coisas
A Internet das Coisas (IoT) é o conjunto de tecnologias que permite a conexão de vários dispositivos à Internet. A evolução tecnológica associada ao advento da IoT está a mudar os ambientes comerciais e de consumo. As tecnologias de IoT permitem que as pessoas conectem biliões de dispositivos à Internet. Estes dispositivos incluem diversos tipos de máquinas, fechaduras, motores, dispositivos de entretenimento, entre outros. Esta tecnologia influencia a quantidade de dados que precisam de proteção. Os utilizadores acedem a estes dispositivos remotamente, o que aumenta o número de redes que necessitam de proteção.
Com o aparecimento da IoT, há muito mais dados a gerir e que requerem proteção. Todas estas ligações, aliadas a uma maior capacidade de armazenamento e serviços de armazenamento oferecidos pelas tecnologias de cloud e virtualização, facilitaram o crescimento exponencial dos dados. Esta expansão de dados criou uma nova área de interesse em tecnologia e negócios chamada “Big Data”.
O impacto da Big Data
A necessidade de Big Data resulta de conjuntos de dados grandes e complexos que tornam as aplicações tradicionais de processamento de dados inadequadas. A Big Data apresenta desafios e oportunidades com base em três dimensões:
· O volume ou a quantidade de dados
· A velocidade ou rapidez dos dados
· A variedade ou amplitude de tipos de dados e fontes
Existem inúmeros exemplos de notícias que relatam ataques a grandes empresas. Empresas como Target, Home Depot e PayPal são alvo de ataques bastante divulgados. Como resultado, os sistemas empresariais necessitam de mudanças substanciais na conceção de produtos de segurança e de atualizações substanciais nas tecnologias e práticas usadas. Além disso, governos e indústrias estão a introduzir regulamentos e mandatos que exigem melhor proteção de dados e controlo de segurança para ajudar a proteger a big data.
Usando armas avançadas
Atualmente, as vulnerabilidades do software são causadas por erros de programação, vulnerabilidades de protocolos ou configurações incorretas do sistema. O cibercriminoso só tem que explorar uma destas vulnerabilidades. Por exemplo, um ataque comum consiste em enviar para um programa um conjunto de dados contrafeitos, com o objetivo de o sabotar, fazendo-o funcionar incorretamente. Este funcionamento incorreto pode criar uma entrada não autorizada ou fazer com que o programa divulgue informações sensíveis.
Nos dias de hoje, tem-se verificado uma crescente sofisticação nos ciberataques. Uma ameaça persistente avançada (APT) é uma invasão a um sistema informático que persiste e não é detetada. Por motivos relacionados com negócios ou políticos, as APTs são a escolha dos cibercriminosos. Uma APT ocorre durante um longo período com um elevado grau de sigilo usando malware sofisticado.
Ataques baseados em algoritmos podem analisar registos do sistema, como por exemplo o consumo de energia, e usar essa informação para identificar alvos ou ativar falsos alertas. Os ataques baseados em algoritmos também podem desativar um computador forçando-o a usar memória ou a sobrecarregar o seu processador. Os ataques baseados em algoritmos são mais insidiosos porque exploram funcionalidades criadas para, por exemplo, melhorar o consumo energético ou aumentar a resiliência e eficiência de um sistema.
Por último, a nova geração de ataques envolve a seleção inteligente de vítimas. No passado, e em analogia, poderíamos dizer que os ataques selecionariam os frutos mais acessíveis ou as vítimas mais vulneráveis. No entanto, com maior atenção dedicada à deteção e isolamento de ciberataques, os cibercriminosos devem ficar mais cautelosos. Eles não podem arriscar a deteção precoce, caso contrário os especialistas em cibersegurança fecham as portas de acesso. Como resultado, muitos dos ataques mais sofisticados só serão executados caso o atacante verifique uma correspondência de assinatura com o alvo.
Âmbito mais Amplo e Efeito em Cascata
A gestão de identidades federadas permite às empresas que os seus utilizadores possam usar as mesmas credenciais de acesso para acederem às várias redes das empresas do grupo. Isto amplia e aumenta a probabilidade de ocorrência de um efeito em cascata, caso ocorra um ataque.
Uma identidade federada associa a identidade digital de um utilizador a diferentes sistemas de gestão de identidade. Por exemplo, um utilizador pode efetuar login no Yahoo! com as credenciais do Google ou do Facebook. Este é um exemplo de login social.
O objetivo da gestão de identidades federadas é a partilha automática de informações de identidade, limitada a um domínio. Do ponto de vista do utilizador individual, isso significa credenciais de acesso únicas para a Web.
É imperativo que as empresas examinem cuidadosamente as informações de identidade que são partilhadas com os seus parceiros. Através de um parceiro, os atacantes podem aceder a números de segurança social, nomes e endereços com o objetivo de roubar a identidade e efetuar fraudes. A maneira mais comum de proteger a identidade federada é limitar a capacidade de login a um dispositivo autorizado.
Implicações de Segurança
Nos EUA, os call centers de emergência são vulneráveis a ciberataques que podem encerrar as redes 911, comprometendo a segurança pública. Um ataque de negação de serviço por telefone (TDoS) satura uma rede telefónica com chamadas, bloqueando recursos da rede, e impedindo chamadaslegítimas. Os call centers 911, ditos de próxima geração, são vulneráveis porque usam sistemas de voz sobre IP (VoIP) em vez de telefones fixos tradicionais. Além dos ataques TDoS, estes call centers também são vulneráveis a ataques de negação de serviço distribuídos (DDoS), que recorrem ao uso de sistemas informáticos para saturar os recursos do sistema ou rede alvo, tornando o alvo indisponível para utilizadores legítimos. Hoje em dia, há muitas maneiras de solicitar ajuda do 911, desde o uso de uma aplicação num smartphone até o uso de um sistema de segurança doméstica.
Reconhecimento Melhorado de Ameaças à Cibersegurança
As defesas contra ciberataques no início da era cibernética eram baixas. Um estudante inteligente do ensino secundário, ou script kiddie, conseguiria obter acesso a sistemas informáticos. Globalmente, os países têm maior consciência sobre a ameaça dos ciberataques. Os ciberataques lideram a lista das maiores ameaças à segurança nacional e económica na maior parte dos países.
Abordando a Escassez de Especialistas em Cibersegurança
Nos EUA, o National Institute of Standards and Technologies (NIST) criou um quadro de referência para empresas e organizações que necessitam de profissionais em cibersegurança. Este modelo permite às empresas identificarem os principais tipos de responsabilidades, cargos e competências necessáros para a força de trabalho. O National Cybersecurity Workforce Framework (Quadro de Referência Nacional para a Força de Trabalho em Cibersegurança) categoriza e descreve o trabalho em cibersegurança. Fornece uma linguagem comum que define o trabalho de cibersegurança, juntamente com um conjunto comum de tarefas e competências necessárias para que um indivíduo se torne num especialista em cibersegurança. O modelo ajuda a definir os requisitos profissionais na área da cibersegurança.
O Quadro de Referência Nacional para a Força de Trabalho em Cibersegurança
O Quadro de Referência da Força de Trabalho categoriza o trabalho em cibersegurança em sete categorias.
Operar e Manter inclui o fornecimento de suporte, administração e manutenção necessários para garantir o desempenho e a segurança de um sistema de TI.
Proteger e Defender inclui a identificação, análise e mitigação de ameaças a sistemas e redes internas.
Investigar inclui a investigação de eventos cibernéticos e/ou cibercrimes que envolvem sistemas de TI.
Recolher e Operar inclui operações especializadas de negação e engano, e a recolha de informações de cibersegurança.
Analisar inclui a análise altamente especializada e a avaliação de informações de cibersegurança recebidas para determinar se é útil para a inteligência.
Supervisão e Desenvolvimento fornecem liderança, gestão e orientação para conduzir o trabalho de cibersegurança de forma eficaz.
Providenciar com Segurança inclui concetualizar, projetar e construir sistemas de TI seguros.
Dentro de cada categoria, existem várias áreas especializadas. As áreas especializadas definem tipos de trabalho comuns de cibersegurança.
A figura exibe cada uma das categorias e providencia uma breve descrição de cada uma.
Organizações Profissionais
Especialistas em cibersegurança devem frequentemente colaborar com colegas de profissão. Organizações internacionais, na área da tecnologia, muitas vezes patrocinam workshops e conferências. Estas organizações mantêm os profissionais de cibersegurança inspirados e motivados.
Clique nos logotipos da figura para saber mais sobre algumas organizações importantes na área da segurança informática.
Organizações e Competições Estudantis de Cibersegurança
Os especialistas em cibersegurança devem ter as mesmas capacidades dos hackers, especialmente as dos hackers de chapéu preto, para conseguirem proteger sistemas e redes contra ataques. Como pode um indivíduo construir e praticar as competências necessárias para se tornar um especialista em cibersegurança? As competições de habilidades dos alunos são uma ótima maneira de construir conhecimento e adquirir competências em cibersegurança. Existem muitas competições de conhecimento em cibersegurança, disponíveis para estudantes da área.
Clique nos logotipos na figura para saber mais sobre competições, organizações e clubes de cibersegurança para estudantes.
Certificações do setor
No mundo das ciberameaças, há uma grande necessidade de profissionais qualificados e experientesde em segurança da informação. A indústria de TI estabeleceu regras para obtenção de certificações profissionais em cibersegurança que comprovam competências e nível de conhecimento adquirido.
CompTIA Security+
O Security+ é um programa de certificações patrocinado pela CompTIA que certifica a competência dos administradores de TI na garantia da informação. A certificação Security+ abrange os princípios mais importantes na proteção de rede e gestão de riscos, incluindo preocupações associadas à computação em cloud.
Hacker Ético certificado pelo EC-Council (CEH)
Esta certificação de nível intermédio atesta que os especialistas em cibersegurança que a possuam, têm as competências e conhecimentos de várias técnicas usadas pelos hackers. Estes especialistas em cibersegurança usam as mesmas competências e técnicas usadas pelos cibercriminosos para identificar vulnerabilidades e pontos de acesso em sistemas.
SANS GIAC Security Essentials (GSEC)
A certificação GSEC é uma boa escolha para uma certificação de nível básico em cibersegurança, que atesta que quem a possui entende a terminologia e os conceitos de segurança e têm as competências e conhecimentos necessários para funções "práticas" de segurança. O programa SANS GIAC oferece uma série de certificações adicionais de segurança nos campos de administração, forensica e auditoria.
( ISC)^2 Certified Information Systems Security Professional (CISSP)
A certificação CISSP é uma certificação independente de fabricantes, para especialistas em cibersegurança com muita experiência técnica e de gestão. Também é formalmente aprovada pelo Departamento de Defesa dos EUA (DoD) e é uma certificação da indústria mundialmente reconhecida no campo da segurança.
ISACA Certified Information Security Manager (CISM)
Podem-se qualificar para o CISM os heróis cibernéticos responsáveis por gerir, desenvolver e supervisionar sistemas de segurança da informação a nível empresarial, ou para aqueles que desenvolvem as melhores práticas de segurança. Os detentores de certificações possuem competências avançadas em gestão de riscos de segurança.
Certificações Patrocinadas por Empresas
Outras credenciais importantes para especialistas em cibersegurança são as certificações patrocinadas por empresas. Estas certificações medem o conhecimento e a competência na instalação, configuração e manutenção de produtos desse fabricante. Cisco e Microsoft são exemplos de empresas com certificações que testam o conhecimento dos seus produtos. Clique aqui para explorar a matriz das certificações ds Cisco mostradas na figura.
Cisco Certified Network Associate Security (CCNA Security)
A certificação CCNA Security valida que um especialista em cibersegurança tem o conhecimento e as competências necessárias para proteger as redes Cisco.
Clique aqui para saber mais sobre a certificação CCNA Security.
Como se Tornar num Especialista em Cibersegurança
Para se tornar num especialista em cibersegurança bem-sucedido, o potencial candidato deve olhar para alguns dos requisitos exclusivos. Os heróis devem ser capazes de responder a ameaças logo que estas ocorram. Isto significa que as horas de trabalho podem não ser convencionais.
Os heróis cibernéticos também analisam políticas, tendências e inteligência para entender como pensam os cibercriminosos. Muitas vezes isto envolve uma grande quantidade de trabalho de detetive.
As recomendações que se seguem ajudarão aspirantes a especialistas em cibersegurança a atingir os seus objetivos:
· Estudar: Aprenda o básico concluindo cursos em TI. Seja um aprendiz ao longo da vida. A cibersegurança é um campo em constante mudança e os especialistas em cibersegurança devemmanter-se atualizados.
· Prosseguir Certificações: As certificações patrocinadas pela indústria e empresas, como a Microsoft e a Cisco, comprovam perante terceiros que se possui o conhecimento necessário para procurar emprego como especialista em cibersegurança.
· Procurar Estágios: A procura de um estágio na área da segurança informática, como estudante, pode criar oportunidades de emprego.
· Faça parte de Organizações Profissionais: Junte-se a organizações de segurança informática, participe em reuniões e conferências, e participe em fórums e blogs para adquir conhecimento providenciado por especialistas da área.
Laboratório - Explorando o Mundo dos Profissionais de Cibersegurança
Neste laboratório serão examinadas as responsabilidades diárias de um profissional de cibersegurança, com o objetivo de descobrir os tipos de controlo e precauções de segurança que as grandes organizações devem acautelar para proteger a sua informação e os seus sistemas de informação.
Laboratório - Explorando o Mundo dos Profissionais de Cibersegurança
Packet Tracer - Criar um Cibermundo
Nesta atividade Packet Tracer, os seguintes objetivos serão alcançados:
· Configurar o servidor FTP
· Configurar o servidor Web
· Configurar o servidor de Email
· Configurar o servidor DNS
· Configurar o servidor NTP
· Configurar o servidor AAA
1.5.3.5 Packet Tracer - Criar um Cibermundo.pdf
1.5.3.5 Packet Tracer - Criar um Cibermundo.pka
Packet Tracer - Comunicar no Cibermundo
Nesta atividade Packet Tracer deverão ser completados os seguintes objetivos:
· Enviar Email entre utilizadores
· Fazer Upload e Download de Ficheiros usando o FTP
· Aceder Remotamente a um Router Empresarial usando o Telnet
· Aceder remotamente a um Router Empresarial usando o SSH
1.5.3.6 Packet Tracer - Comunicar no Cibermundo.pdf
1.5.3.6 Packet Tracer - Comunicar no Cibermundo.pka
Capítulo 1: Cibersegurança - Um Mundo de Especialistas e Criminosos
Este capítulo explicou a estrutura do mundo da cibersegurança e as razões pelas quais continua a crescer.
Este capítulo também discutiu o papel dos cibercriminosos analisando o que os motiva. Foi explicado que a disseminação de ameaças se deve às constantes transformações e evoluções técnicas que ocorrem em todo o mundo.
Finalmente, o capítulo explicou como se pode tornar num especialista em cibersegurança para ajudar a derrotar os cibercriminosos que desenvolvem as ameaças. Também apresentou os recursos disponíveis para ajudar a criar mais especialistas em cibersegurança. Os especialistas em cibersegurança devem cumprir a Lei, no entanto, devem ter as mesmas competências que os cibercriminosos.
Se quiser explorar mais aprofundadamente os conceitos deste capítulo, por favor veja a página "Recursos e Atividades Adicionais" em "Recursos dos Alunos"
Capítulo 2: O Cubo de Cibersegurança
Os profissionais de cibersegurança podem ser descritos como especialistas encarregados da proteção do ciberespaço. John McCumber é um dos primeiros especialistas em cibersegurança, desenvolvendo uma estrutura comummente usada chamada Cubo de McCumber ou cubo de cibersegurança. Isto é usado como ferramenta para gerir a proteção de redes, domínios e da Internet. O Cubo de cibersegurança parece-se um pouco como um Cubo de Rubik.
A primeira dimensão do Cubo de cibersegurança inclui os três princípios de segurança da informação. Os profissionais de cibersegurança referem-se aos três princípios como a Tríade CIA. A segunda dimensão identifica os três estados da informação ou dados. A terceira dimensão do cubo identifica a perícia necessária para fornecer proteção. Estas são muitas vezes chamadas as três categorias de salvaguardas de cibersegurança.
O capítulo também discute o modelo de cibersegurança ISO. O modelo representa um quadro internacional para normalizar a gestão dos sistemas de informação.
Os Princípios da Segurança
A primeira dimensão do cubo de cibersegurança identifica os objetivos para proteger o ciberespaço. Os objetivos identificados na primeira dimensão são os princípios fundamentais. Estes três princípios são confidencialidade, integridade e disponibilidade. Os princípios fornecem foco e permitem que o especialista em cibersegurança priorize ações ao proteger qualquer sistema em rede.
A confidencialidade impede a divulgação de informações a pessoas, recursos ou processos não autorizados. Integridade refere-se à precisão, consistência e confiabilidade dos dados. Por fim, a disponibilidade assegura que as informações sejam acessíveis por utilizadores autorizados quando necessário. Use a sigla CIA para se lembrar destes três princípios.
Os Estados dos Dados
O ciberespaço é um domínio que contém uma quantidade considerável de dados críticos; portanto, os especialistas em cibersegurança concentram-se na proteção de dados. A segunda dimensão do Cubo de cibersegurança foca-se nos problemas de proteção de todos os estados de dados no ciberespaço. Os dados têm três estados possíveis:
· Dados em trânsito
· Dados em repouso ou em armazenamento
· Dados em processamento
A proteção do ciberespaço exige que os profissionais de cibersegurança respondam pela salvaguarda dos dados nos três estados.
Salvaguardas de Cibersegurança
A terceira dimensão do Cubo de cibersegurança define as competências e a disciplina a que um profissional de cibersegurança pode recorrer para proteger o ciberespaço. Os profissionais de cibersegurança devem usar uma variedade de diferentes competências e disciplinas disponíveis ao proteger os dados no ciberespaço. Eles devem fazer isso, permanecendo no “lado certo” da lei.
O Cubo de cibersegurança identifica os três tipos de competências e disciplinas usadas para fornecer proteção. A primeira competência inclui as tecnologias, dispositivos e produtos disponíveis para proteger sistemas de informação e afastar cibercriminosos. Os profissionais de cibersegurança têm a reputação de dominar as ferramentas tecnológicas à sua disposição. No entanto, McCumber lembra que as ferramentas tecnológicas não são suficientes para derrotar cibercriminosos. Os profissionais de cibersegurança também devem construir uma defesa forte, estabelecendo políticas, procedimentos e diretrizes que permitam que os utilizadores do ciberespaço se mantenham seguros e sigam boas práticas. Finalmente, os utilizadores do ciberespaço devem esforçar-se para se tornarem mais informados sobre as ameaças do ciberespaço e estabelecer uma cultura de aprendizagem e consciêncialização.
O Princípio da Confidencialidade
A confidencialidade impede a divulgação de informações a pessoas, recursos e processos não autorizados. Um outro termo para confidencialidade é privacidade. As organizações restringem o acesso para assegurar que apenas operadores autorizados possam usar dados ou outros recursos da rede. Por exemplo, um programador não deve ter acesso à informação pessoal de todos os funcionários.
As organizações precisam de treinar os funcionários sobre as melhores práticas para proteger informações confidenciais, para se protegerem contra ataques a eles próprios e à organização. Os métodos usados para assegurar a confidencialidade incluem criptografia de dados, autenticação e controlo de acesso.
Protegendo a Privacidade dos Dados
As organizações recolhem uma grande quantidade de dados. Muitos destes dados não são sensíveis porque estão disponíveis publicamente, como nomes e números de telefone. Outros dados recolhidos, no entanto, são delicados. Informações delicadas são dados protegidos contra acesso não autorizado para proteger um indivíduo ou uma organização. Existem três tipos de informações delicadas:
· As informações pessoais são informações pessoalmente identificáveis (PII) que são ligáveis a um indivíduo. A Figura 2 lista esta categoria de dados.
· Informação comercial é informação que inclui qualquer coisa que representa um risco para a organização se for descoberto pelo público ou por um concorrente. A Figura 3 lista esta categoria de dados.
· Informações classificadas são informações pertencentes a um órgão governamental classificado pelo seu nívelde sensibilidade. A Figura 4 lista esta categoria de dados.
Controlando o Acesso
O controlo de acesso define vários esquemas de proteção que impedem o acesso não autorizado a um computador, rede, base de dados ou outros recursos de dados. Os conceitos de AAA envolvem três serviços de segurança: Autenticação, Autorização e Registo. Esses serviços fornecem a estrutura principal para controlar o acesso.
O primeiro “A” no AAA representa a autenticação. A autenticação verifica a identidade de um utilizador para impedir o acesso não autorizado. Os utilizadores provam a sua identidade com um nome de utilizador ou ID. Além disso, como mostrado na Figura 1, os utilizadores precisam de verificar a sua identidade fornecendo um dos seguintes:
· Algo que eles sabem (como por exemplo uma senha)
· Algo que eles têm (como por exemplo um token ou cartão)
· Algo que eles são (como por exemplo a impressão digital)
Por exemplo, se for a uma caixa multibanco para levantar dinheiro, precisará do seu cartão bancário (algo que você tem) e precisa de saber o respetivo PIN. Este também é um exemplo de autenticação multifator. A autenticação multifator requer mais de um tipo de autenticação. A forma mais popular de autenticação é o uso de senhas.
Os serviços de autorização determinam quais os recursos a que os utilizadores podem aceder, juntamente com as operações que os utilizadores podem executar, conforme mostrado na Figura 2. Alguns sistemas implementam isto usando uma lista de controlo de acesso, ou uma ACL. Uma ACL determina se um utilizador tem determinados privilégios de acesso depois de se autenticar. Só porque você pode fazer login na rede corporativa não significa que tenha permissão para usar a impressora a cores de alta velocidade. A autorização também pode controlar quando um utilizador tem acesso a um recurso específico. Por exemplo, os funcionários podem ter acesso a uma base de dados de vendas durante o horário de trabalho, mas serem bloqueados pelo sistema depois desse horário.
O registo rastreia o que os utilizadores fazem, incluindo ao que acedem, o tempo que demoram em cada recurso e quaisquer alterações feitas. Por exemplo, um banco mantém o rastreio de cada conta de cliente. Uma auditoria desse sistema pode revelar o tempo e a quantidade de todas as transações e o funcionário ou sistema que executou as transações. Os serviços de registo de cibersegurança funcionam da mesma maneira. O sistema rastreia cada transação de dados e fornece resultados de auditoria. Um administrador pode configurar políticas de computador, conforme mostrado na Figura 3 para ativar a auditoria do sistema.
O conceito de AAA é semelhante ao uso de um cartão de crédito, conforme indicado na Figura 4. O cartão de crédito identifica quem pode usá-lo, quanto esse utilizador pode gastar e regista os itens ou serviços que o utilizador comprou.
O registo de cibersegurança rastreia e monitoriza em tempo real. Sites, como o Norse, mostram ataques em tempo real com base em dados recolhidos como parte de um sistema de registo ou rastreamento. Clique aqui para visitar o site de rastreamento em tempo real Norse.
Leis e Responsabilidade
A confidencialidade e a privacidade parecem intercambiáveis, mas do ponto de vista legal, significam coisas diferentes. A maioria dos dados de privacidade é confidencial, mas nem todos os dados confidenciais são privados. O acesso a informações confidenciais ocorre após a confirmação da autorização adequada. Instituições financeiras, hospitais, profissionais médicos, escritórios de advocacia e empresas lidam com informações confidenciais. Informações confidenciais têm uma condição "não público". Manter a confidencialidade é mais um dever ético.
A privacidade é o uso adequado dos dados. Quando as organizações recolhem informações fornecidas por clientes ou funcionários, elas devem usar esses dados apenas para o propósito pretendido. A maioria das organizações exigirá que o cliente ou o funcionário assinem um formulário de consentimento dando permissão à organização para usar os dados.
Todas as leis listadas na figura incluem uma disposição para lidar com a privacidade começando com as leis dos EUA na Figura 1. A Figura 2 lista uma amostragem de esforços internacionais. A maioria dessas leis é uma resposta ao crescimento massivo na recolha de dados.
O número crescente de estatutos relacionados com privacidade cria uma enorme carga de trabalho para as organizações que recolhem e analisam dados. As políticas são a melhor forma de uma organização cumprir com o crescente número de leis relacionadas com privacidade. As políticas permitem que as organizações imponham regras, procedimentos e processos específicos ao recolher, armazenar e partilhar dados.
Princípio da Integridade dos Dados
Integridade é a precisão, consistência e confiabilidade dos dados durante todo o seu ciclo de vida. Outro termo para integridade é a qualidade. Os dados passam por várias operações, como captura, armazenamento, recuperação, atualização e transferência. Os dados devem permanecer inalterados por entidades não autorizadas durante todas essas operações .
Os métodos usados para garantir a integridade dos dados incluem hashing, verificações de validação de dados, verificações de consistência de dados e controlos de acesso. Os sistemas de integridade de dados podem incluir um ou mais dos métodos listados acima.
Necessidade de Integridade de Dados
A integridade dos dados é um componente fundamental da segurança da informação. A necessidade de integridade dos dados varia de acordo com a forma como uma organização usa os dados. Por exemplo, o Facebook não verifica os dados que um utilizador publica num perfil. Um banco ou organização financeira atribui uma importância maior à integridade dos dados do que o Facebook. Transações e contas de clientes devem ser precisas. Numa organização de saúde, a integridade dos dados pode ser uma questão de vida ou morte. As informações das receitas médicas devem ser precisas.
Proteger a integridade dos dados é um desafio constante para a maioria das organizações. A perda de integridade dos dados pode tornar recursos inteiros de dados não confiáveis ou inutilizáveis.
Verificações de Integridade
Uma verificação de integridade é uma maneira de medir a consistência de uma coleção de dados (um ficheiro, uma imagem ou um registo). A verificação de integridade executa um processo chamado função de hashing para tirar uma síntese (hash) dos dados num instante no tempo. A verificação de integridade usa essa síntese para garantir que os dados permanecem inalterados.
Uma soma de verificação é um exemplo de uma função de hashing. Uma soma de verificação verifica a integridade de ficheiros, ou cadeias de caracteres, antes e depois de serem transferidos de um dispositivo para outro através de uma rede local ou da Internet. As somas de verificação simplesmente convertem cada parte de informação num valor e somam para calcular o total. Para testar a integridade dos dados, o sistema de recepção repete o processo. Se as duas somas forem iguais, os dados são válidos (Figura 1). Se não forem iguais, ocorreu uma mudança algures ao longo da linha (Figura 2).
As funções de hashing comuns incluem MD5, SHA-1, SHA-256 e SHA-512. Essas funções de hashing usam algoritmos matemáticos complexos. O valor do hash está presente apenas para comparação. Por exemplo, depois de descarregar um ficheiro, o utilizador pode verificar a integridade desse ficheiro comparando o valor do hash calculado pela origem com o hash calculado localmente.
As organizações usam o controlo de versões para evitar mudanças acidentais por utilizadores autorizados. Dois utilizadores não podem atualizar o mesmo objeto. Os objetos podem ser ficheiros, registos de base de dados ou transações. Por exemplo, o primeiro utilizador a abrir um documento tem a permissão para alterar esse documento; a segunda pessoa tem uma versão somente de leitura.
Backups precisos ajudam a manter a integridade dos dados se os dados forem corrompidos. Uma organização precisa de verificaro seu processo de backup para garantir a integridade do backup antes que ocorra a perda de dados.
A autorização determina quem tem acesso aos recursos de uma organização com base na sua necessidade de saber. Por exemplo, as permissões de ficheiros e os controlos de acesso do utilizador garantem que apenas determinados utilizadores possam modificar dados. Um administrador pode definir permissões para um ficheiro como apenas leitura. Assim, um utilizador a aceder a esse ficheiro não pode fazer alterações.
O Princípio da Disponibilidade
A disponibilidade de dados é o princípio usado para descrever a necessidade de manter a disponibilidade de sistemas e serviços de informação em todos os momentos. Ciberataques e falhas no sistema podem impedir o acesso a sistemas e serviços de informação. Por exemplo, interromper a disponibilidade do site de um concorrente, colocando-o baixo, pode proporcionar uma vantagem para o seu rival. Esses ataques de negação de serviço (DoS) ameaçam a disponibilidade do sistema e impedem que os utilizadores legítimos acedam e usem os sistemas de informação quando necessário.
Os métodos usados para garantir a disponibilidade incluem redundância dos sistemas, backups dos sistemas, maior resiliência dos sistemas, manutenção de equipamentos, sistemas operativos e software atualizados e planos para recuperação rápida de desastres imprevistos.
Cinco Noves
As pessoas usam vários sistemas de informação no seu dia-a-dia. Computadores e sistemas de informação controlam comunicações, transportes e fabrico de produtos. A disponibilidade contínua de sistemas de informação é essencial para a vida moderna. O termo "alta disponibilidade", descreve os sistemas projetados para evitar tempo de inatividade. A alta disponibilidade garante um nível de desempenho por um período superior ao normal. Os sistemas de alta disponibilidade geralmente incluem três princípios de concepção (Figura 1):
· Eliminar pontos únicos de falha
· Fornecer uma transição confiável
· Detetar falhas à medida que ocorrem
O objetivo é a capacidade de continuar a operar sob condições extremas, como durante um ataque. Uma das práticas de alta disponibilidade mais populares é a chamada "cinco noves". Os cinco noves referem-se a 99,999%. Isso significa que o tempo de inatividade é inferior a 5,26 minutos por ano. A Figura 2 fornece três abordagens para cinco noves.
Garantir Disponibilidade
As organizações podem assegurar a disponibilidade implementando o seguinte:
· Manutenção de equipamentos
· Atualizações de sistema operativo e sistema
· Teste de backups
· Planeamento para desastres
· Implementação de novas tecnologias
· Monitorização de atividades invulgares
· Testes de disponibilidade
Tipos de Armazenamento de Dados
Os dados armazenados referem-se a dados em repouso. Os dados em repouso significam que um tipo de dispositivo de armazenamento retém os dados quando nenhum utilizador ou processo os está a usar. Um dispositivo de armazenamento pode ser local (num dispositivo de computação) ou centralizado (na rede). Existem várias opções para armazenar dados.
O armazenamento de ligação direta (DAS) é o armazenamento ligado a um computador. Um disco rígido ou uma unidade flash USB é um exemplo de armazenamento de ligação direta. Por norma, os sistemas não são configurados para partilhar o armazenamento de ligação direta.
A matriz redundante de discos independentes (RAID) usa vários discos rígidos numa matriz, que é um método de combinar vários discos para que o sistema operativo os veja como um único disco. O RAID fornece desempenho melhorado e tolerância a falhas.
Um dispositivo de armazenamento ligado à rede (NAS) é um dispositivo de armazenamento ligado a uma rede que permite o armazenamento e a recuperação de dados por utilizadores de rede autorizados, através da rede. Os dispositivos NAS são flexíveis e escaláveis, o que significa que os administradores podem aumentar a capacidade conforme necessário.
Uma arquitetura de rede de área de armazenamento (SAN) é um sistema de armazenamento baseado em rede. Os sistemas SAN ligam-se à rede usando interfaces de alta velocidade, permitindo melhor desempenho e a capacidade de ligar vários servidores a um repositório centralizado de armazenamento em disco.
O armazenamento em nuvem é uma opção de armazenamento remoto que usa espaço num centro de dados e é acessível a partir de qualquer computador com acesso à Internet. Google Drive, iCloud e Dropbox são exemplos de fornecedores de armazenamento em nuvem.
Desafios da Proteção de Dados Armazenados
As organizações têm uma tarefa desafiante na tentativa de proteger os dados armazenados. Para melhorar o armazenamento de dados, as organizações podem automatizar e centralizar os backups de dados.
O armazenamento de ligação direta pode ser um dos tipos mais difíceis de gerir e controlar. O armazenamento de ligação direta é vulnerável a ataques maliciosos no computador local. Os dados armazenados também podem incluir dados de backup. Os backups podem ser manuais ou automáticos. As organizações devem limitar os tipos de dados guardados em armazenamento de ligação direta. Em particular, uma organização não armazenaria dados críticos em dispositivos de armazenamento de ligação direta.
Os sistemas de armazenamento em rede oferecem uma opção mais segura. Os sistemas de armazenamento de rede, incluindo RAID, SAN e NAS, proporcionam maior desempenho e redundância. No entanto, os sistemas de armazenamento em rede são mais complicados de configurar e gerir. Também lidam com mais dados, representando um risco maior para a organização se o dispositivo falhar. Os desafios exclusivos dos sistemas de armazenamento em rede incluem configurar, testar e monitorizar o sistema.
Métodos de Transmissão de Dados
A transmissão de dados envolve o envio de informações de um dispositivo para outro. Existem vários métodos para transmitir informações entre dispositivos, incluindo:
· Rede de sapatos — usa media removível (e pessoas para os transportar) para mover fisicamente dados de um computador para outro
· Redes com fios — usa cabos para transmitir dados
· Redes sem fios — usa ondas de rádio para transmitir dados
As organizações nunca serão capazes de eliminar o uso de uma rede de sapatos.
As redes com fios incluem media com fio de cobre e fibra ótica. As redes com fios podem servir uma área geográfica local (Rede de Área Local) ou podem abranger grandes distâncias (Rede de Área Alargada).
As redes sem fios estão a substituir as redes com fios. As redes sem fios estão a tornar-se mais rápidas e capazes de lidar com mais largura de banda. As redes sem fios expandem o número de utilizadores convidados com dispositivos móveis em pequenos escritórios domésticos (SOHO) e redes empresariais.
Tanto as redes com fios como as redes sem fios usam pacotes ou unidades de dados. O termo pacote refere-se a uma unidade de dados que viaja entre uma origem e um destino na rede. Protocolos normalizados como o Internet Protocol (IP) e o Hypertext Transfer Protocol (HTTP) definem a estrutura e a formação de pacotes de dados. Estas normas são de código aberto e estão disponíveis para o público. Proteger a confidencialidade, integridade e disponibilidade dos dados transmitidos é uma das responsabilidades mais importantes de um profissional de cibersegurança.
Desafios da Proteção de Dados em Trânsito
A proteção dos dados transmitidos é uma das tarefas mais desafiantes de um profissional de cibersegurança. Com o crescimento dos dispositivos móveis e sem fios, os profissionais de cibersegurança são responsáveis por proteger enormes quantidades de dados que atravessam a sua rede diariamente. O profissional de cibersegurança deve lidar com vários desafios na proteção desses dados:
· Proteger a confidencialidade dos dados — os cibercriminosos podem capturar, guardar e roubar dados em trânsito. Os profissionais de cibersegurança devem tomar medidas para combater essas ações.
· Proteger a integridade dos dados — os cibercriminosos podem interceptar e alterar dados em trânsito. Os profissionaisde cibersegurança implementam sistemas de integridade de dados que testam a integridade e a autenticidade dos dados transmitidos para combater essas ações.
· Proteger a disponibilidade de dados - os cibercriminosos podem usar dispositivos intrusores ou não autorizados para interromper a disponibilidade de dados. Um dispositivo móvel simples pode apresentar-se como um ponto de acesso sem fios local e enganar utilizadores incautos a associar-se com esse dispositivo intrusor. O cibercriminoso pode sequestrar uma ligação autorizada a um serviço ou dispositivo protegido. Os profissionais de segurança de rede podem implementar sistemas de autenticação mútua para combater essas ações. Os sistemas de autenticação mútua exigem que o utilizador se autentique no servidor e solicita que o servidor se autentique ao utilizador.
Formas de Computação e Processamento de Dados
O terceiro estado dos dados são dados em processamento. Isto refere-se a dados durante a entrada inicial, modificação, computação ou saída.
A proteção da integridade dos dados começa com a entrada inicial de dados. As organizações usam vários métodos para recolher dados, como entrada manual de dados, digitalização de formulários, uploads de ficheiros e dados recolhidos de sensores. Cada um desses métodos representa potenciais ameaças à integridade dos dados. Um exemplo de corrupção de dados durante o processo de entrada inclui erros de entrada de dados ou sensores desligados, com defeito ou inoperacionais. Outros exemplos podem incluir erros de rotulagem e formatos de dados incorretos ou incompatíveis.
A modificação de dados refere-se a quaisquer alterações nos dados originais, como utilizadores que modificam manualmente dados, programas de processamento e alteração de dados e falha do equipamento, resultando em modificação de dados. Processos como codificação/descodificação, compressão/descompressão e encriptação/desencriptação são exemplos de modificação de dados. Código malicioso também resulta em corrupção de dados.
A corrupção de dados também ocorre durante o processo de saída de dados. A saída de dados refere-se à saída de dados para impressoras, displays eletrónicos ou diretamente para outros dispositivos. A precisão dos dados de saída é fundamental porque a saída fornece informações e influencia a tomada de decisões. Exemplos de corrupção de dados de saída incluem o uso incorreto de delimitadores de dados, configurações de comunicação incorretas e impressoras configuradas incorretamente.
Desafios de Proteger os Dados em Processamento
A proteção contra modificações inválidas de dados durante o processamento pode ter um impacto adverso. Erros de software são a razão para muitos percalços e desastres. Por exemplo, apenas duas semanas antes do Natal, alguns dos retalhistas da Amazon experimentaram uma mudança no preço anunciado em seus itens para apenas um centavo. A falha durou uma hora. O erro resultou em milhares de compradores obtendo o negócio de uma vida e a empresa perdendo receita. Em 2016, o termostato Nest funcionou mal e deixou os utilizadores sem aquecimento. O termostato Nest é uma tecnologia inteligente propriedade da Google. Uma falha de software deixou os utilizadores, literalmente, ao frio. Uma atualização de software correu mal, forçando as baterias do dispositivo a esgotar e deixando-o incapaz de controlar a temperatura. Como resultado, os clientes não conseguiram aquecer as suas casas ou obter água quente num dos fins de semana mais frios do ano.
A proteção de dados durante o processamento requer sistemas bem projetados. Os profissionais de cibersegurança projetam políticas e procedimentos que exigem testes, manutenção e atualização de sistemas para mantê-los a operar com a menor quantidade de erros.
Salvaguardas Tecnológicas baseadas em Software
As salvaguardas de software incluem programas e serviços que protegem Sistemas operativos, bases de dados e outros serviços que operam em estações de trabalho, dispositivos portáteis e servidores. Os administradores instalam contramedidas ou proteções baseadas em software em computadores individuais ou servidores. Existem várias tecnologias baseadas em software usadas para proteger os ativos de uma organização:
Os firewalls de software controlam o acesso remoto a um sistema. Os sistemas operativos geralmente incluem um firewall ou um utilizador pode comprar ou instalar software de outro fornecedor.
Os scanners de rede e portas descobrem e monitorizam portas abertas num computador ou servidor.
Os analisadores de protocolos, ou analisadores de assinatura, são dispositivos que recolhem e examinam o tráfego de rede. Eles identificam problemas de desempenho, detectam configurações incorretas, identificam aplicações com comportamento incorreto, estabelecem padrões para o tráfego de base e normal e depuram problemas de comunicação.
Os scanners de vulnerabilidade são programas de computador projetados para avaliar fraquezas em computadores ou redes.
Os sistemas de detecção de intrusão (IDS) baseados em anfitrião examinam somente a atividade nesse anfitrião. Um IDS gera ficheiros de log e mensagens de alarme quando detecta atividades incomuns. Um sistema que armazena dados delicados ou o fornecimento de serviços críticos é um candidato para IDS baseados em anfitrião.
Salvaguardas Tecnológicas baseadas em Hardware
Existem várias tecnologias baseadas em hardware usadas para proteger os ativos de uma organização:
· Os dispositivos de firewall bloqueiam tráfego indesejado. Os firewalls contêm regras que definem o tráfego permitido para dentro e para fora de uma rede.
· Os Sistemas Dedicados de Deteção de Intrusão (IDS) detetam sinais de ataques ou tráfego incomum numa rede e enviam um alerta.
· Os Sistemas de Prevenção de Intrusão (IPS) detetam sinais de ataques ou tráfego incomum numa rede, geram um alerta e tomam ações corretivas.
· Os serviços de filtragem de conteúdo controlam o acesso e a transmissão de conteúdo censurável ou ofensivo.
Salvaguardas Tecnológicas baseadas em Rede
Existem várias tecnologias baseadas em rede usadas para proteger os ativos da organização:
· Rede Privada Virtual (VPN) é uma rede virtual segura que usa a rede pública (ou seja, a Internet). A segurança de uma VPN reside na criptografia do conteúdo dos pacotes entre os pontos terminais que definem a VPN.
· O controlo de acesso de rede (NAC) exige um conjunto de verificações antes de permitir que um dispositivo se ligue a uma rede. Algumas verificações comuns incluem software antivírus atualizado ou atualizações do sistema operativo instaladas.
· A segurança do ponto de acesso sem fios inclui a implementação de autenticação e criptografia.
Salvaguardas Tecnológicas baseadas na Nuvem
As tecnologias baseadas em nuvem mudam o componente tecnológico da organização para o fornecedor de nuvem. Os três principais serviços de computação em nuvem incluem:
· Software como Serviço (SaaS) permite que os utilizadores obtenham acesso a aplicações e bases de dados. Os fornecedores de nuvem gerem a infraestrutura. Os utilizadores armazenam dados nos servidores do fornecedor de nuvem.
· Infraestrutura como Serviço (IaaS) fornece recursos virtualizados de computação pela Internet. O fornecedor hospeda os componentes de hardware, software, servidores e armazenamento.
· Platforma como Serviço (PaaS) fornece acesso às ferramentas e serviços de desenvolvimento usados para criar as aplicações.
Os fornecedores de serviços de nuvem estenderam essas opções para incluir IT como Serviço (ITaaS), que fornece suporte de IT para modelos de serviço IaaS, PaaS e SaaS. No modelo ITaaS, uma organização contrata com o fornecedor de nuvem para serviços individuais ou compostos.
Os fornecedores de serviços de nuvem usam dispositivos virtuais de segurança que são executados dentro de um ambiente virtual com um sistema operativo pré-preparado e com segurança reforçada, correndo em hardware virtualizado.
Implementação de Educação e Formação em Cibersegurança
Investir muito dinheiro em tecnologia não fará diferença se as pessoas dentro daorganização forem o elo mais fraco na cibersegurança. Um programa de consciencialização de segurança é extremamente importante para uma organização. Um empregado pode não ser propositadamente malicioso, mas apenas ignorante sobre quais são os procedimentos adequados. Existem várias maneiras de implementar um programa formal de formação:
· Faça da formação em consciencialização de segurança parte do processo de integração do funcionário
· Ligue a consciencialização de segurança aos requisitos de trabalho ou avaliações de desempenho
· Realize sessões de formação presenciais
· Recomende cursos online
A consciencialização sobre a segurança deve ser um processo contínuo, uma vez que novas ameaças e técnicas estão sempre no horizonte.
Estabeleça uma Cultura de Consciencialização sobre Segurança
Os membros de uma organização devem estar cientes das políticas de segurança e ter o conhecimento para tornar a segurança parte das suas atividades diárias.
Um programa ativo de consciencialização de segurança depende de:
· O ambiente da organização
· O nível de ameaça
A criação de uma cultura de consciencialização de cibersegurança é um esforço contínuo que requer a liderança da gestão superior e o compromisso de todos os utilizadores e funcionários. Promover a cultura de cibersegurança de uma organização começa com o estabelecimento de políticas e procedimentos pela gestão. Por exemplo, muitas organizações têm dias de consciencialização sobre cibersegurança. As organizações também podem afixar cartazes e sinalização para aumentar a consciencialização geral sobre cibersegurança. A criação de workshops e seminários de orientação para cibersegurança ajuda a aumentar a consciencialização.
Políticas
Uma política de segurança é um conjunto de objetivos de segurança para uma empresa, que inclui regras de comportamento para utilizadores e administradores e especifica os requisitos do sistema. Estes objetivos, regras e requisitos, coletivamente garantem a segurança de uma rede, os dados e os sistemas informáticos dentro de uma organização.
Uma política de segurança abrangente realiza várias tarefas:
· Demonstra o compromisso de uma organização com a segurança.
· Define as regras para o comportamento esperado.
· Garante consistência nas operações do sistema, aquisição e uso de software e hardware, e manutenção.
· Define as consequências legais das violações.
· Dá à equipa de segurança o apoio da gestão.
As políticas de segurança informam os utilizadores, funcionários e gestores sobre os requisitos de uma organização para proteger ativos de tecnologia e informação. Uma política de segurança também especifica os mecanismos necessários para cumprir os requisitos de segurança.
Como mostrado na figura, uma política de segurança inclui tipicamente:
· Políticas de identificação e autenticação - Especifica pessoas autorizadas que podem ter acesso a recursos de rede e descreve procedimentos de verificação.
· Políticas de senha - Garante que as senhas cumprem os requisitos mínimos e são alteradas regularmente.
· Políticas de uso aceitável - Identifica recursos de rede e usos que são aceitáveis para a organização. Também pode identificar ramificações para violações de políticas.
· Políticas de acesso remoto - Identifica como os utilizadores remotos podem aceder a uma rede e o que é acessível remotamente.
· Políticas de manutenção de rede - Especifica os sistemas operativos de dispositivo de rede e os procedimentos de atualização das aplicações do utilizador final.
· Políticas de tratamento de incidentes - Descreve como os incidentes de segurança são tratados.
Um dos componentes mais comuns da política de segurança é a política de uso aceitável (AUP). Este componente define o que os utilizadores podem e não podem fazer nos vários componentes do sistema. A AUP deve ser o mais explícita possível para evitar mal-entendidos. Por exemplo, uma AUP lista sites específicos, grupos de notícias ou aplicações com uso intensivo de largura de banda que os utilizadores não podem aceder usando computadores da empresa ou a rede da empresa.
Normas
As normas ajudam uma equipe de TI a manter a consistência na operação da rede. Os documentos de normas fornecem as tecnologias que utilizadores ou programas específicos precisam, além de quaisquer requisitos de programa ou critérios que uma organização deve seguir. Isso ajuda a equipa de TI a melhorar a eficiência e a simplicidade no projeto, manutenção e resolução de problemas.
Um dos princípios de segurança mais importantes é a consistência. Por esta razão, é necessário que as organizações estabeleçam normas. Cada organização desenvolve normas para apoiar o seu ambiente operativo exclusivo. Por exemplo, uma organização estabelece uma política para as senhas. A norma é que as senhas requerem um mínimo de oito caracteres alfanuméricos maiúsculas e minúsculas, incluindo pelo menos um caractere especial. Um utilizador deve alterar a senha a cada 30 dias, e um histórico de senha de 12 senhas anteriores garante que o utilizador crie senhas exclusivas por um ano.
Diretrizes
As diretrizes são uma lista de sugestões sobre como fazer as coisas de forma mais eficiente e segura. Elas são semelhantes às normas, mas são mais flexíveis e geralmente não são obrigatórias. As diretrizes definem como os padrões são desenvolvidos e garantem a adesão às políticas gerais de segurança.
Algumas das diretrizes mais úteis compõem as melhores práticas de uma organização. Além das práticas recomendadas definidas por uma organização, há outras diretrizes disponíveis em:
· National Institute of Standards and Technology (NIST) Centro de Recursos de Segurança de Computadores (Figura 1)
· Guias de configuração de segurança da Agência de Segurança Nacional (NSA) (Figura 2)
· A norma Common Criteria (Figura 3)
Usando o exemplo de política de senhas, uma diretriz é uma sugestão de que o utilizador tome uma frase como “I have a dream” e converta-a numa senha forte, Ihv@dr3@m. O utilizador pode criar outras senhas a partir desta frase alterando o número, movendo o símbolo ou alterando o sinal de pontuação.
Procedimentos
Os documentos de procedimentos são mais longos e mais detalhados do que as normas e diretrizes. Documentos de procedimentos incluem detalhes de implementação que geralmente contêm instruções passo a passo e gráficos.
A figura mostra um exemplo do procedimento usado para alterar uma senha. As grandes organizações devem usar documentos de procedimentos para manter a consistência necessária para um ambiente seguro.
Visão geral do Modelo
Os profissionais de segurança precisam proteger informações de ponta a ponta dentro da organização. Esta é uma tarefa monumental, e não é razoável esperar que um indivíduo tenha todo o conhecimento necessário. A Organização Internacional de Normalização (ISO) / Comissão Eletrotécnica Internacional (IEC) desenvolveu uma estrutura abrangente para orientar a gestão da segurança da informação. O modelo de cibersegurança ISO/IEC é para profissionais de cibersegurança o que o modelo de rede OSI é para engenheiros de rede. Ambos fornecem uma estrutura para compreender e abordar tarefas complexas.
Domínios de Cibersegurança
A ISO/IEC 27000 é uma norma de segurança da informação publicada em 2005 e revista em 2013. A ISO publica as normas ISO 27000. Embora as normas não sejam obrigatórias, a maioria dos países usa-as como uma referência "de facto" para a implementação da segurança da informação.
Os padrões ISO 27000 descrevem a implementação de um sistema abrangente de gestão da segurança da informação (ISMS). Um ISMS consiste em todos os controlos administrativos, técnicos e operacionais para manter as informações seguras dentro de uma organização. Doze domínios independentes representam os componentes da norma ISO 27000. Estes doze domínios servem para organizar, em alto nível, as vastas áreas de informação sob o guarda-chuva da segurança da informação.
A estrutura do modelo de cibersegurança ISO é diferente do modelo OSI, pois ele usa domínios em vez de camadas para descrever as categorias de segurança.