Sensibilizar para a Cibersegurança

A estratégia para uma atuação eficaz é saber saber antecipadamente o que

vamos enfrentar. Nesta secção, vai aprender mais sobre as 10 ciberameaças mais
comuns.

 Phishing

 Malvertising

 Software vulnerabilities

 SQL injection

 Ataques a Palavras-chave

 Ransomware

 Ataques de negação de serviço (DoS/DDos)

 Drive-by downloads

 Ataques Man-in-the-middle (MITM)

 Scareware

[2]
Phishing

O que é:
Uma tentativa maliciosa de adquirir informação sensível tentando passar por uma fonte
fidedigna via email, texto, pop-up, etc.

A maior parte dos ciberataques acontecem por falta de cuidados dos utilizadores dos
dispositivos informáticos. Os atacantes sabem que os utilizadores são o elo mais fraco,
e têm vindo a desenvolver as suas capacidades de criação mensagens de phishing que,
não só parecem legítimas como parecem vir de fontes conhecidas e de confiança.

Como se proteger:
No caso das organizações, além de treinar os funcionários para a deteção de sinais de
emails de phishing, outra maneira de proteção é evitar que as empresas utilizem emails
como meio de transferência de ficheiros. Esta medida pode ser alcançada através da
criação e implementação de políticas para "não abrir anexos", ao invés de deixar ao
critério dos funcionários o que é ou não seguro.

Malvertising

O que é:
Uso de anúncios publicitários para camuflar e executar campanhas de ataques de
malware.

O malvertising não existe apenas em websites estranhos. Como um recente ataque que
infetou 27.000 visitantes por hora da Yahoo mostrou, o malvertising pode aparecer em
websites legítimos e parecer um anúncio publicitário inofensivo.

[3]
Como se proteger:
Para além do cuidado geral e atenção a anúncios estranhos, as organizações devem
assegurar que os dispositivos eletrónicos dos funcionários têm as medidas de
segurança necessárias instaladas.

Ransomware

O que é:
Malware que encripta e ameaça destruir, remover permanentemente acesso a, ou
publicar informação, caso a vítima não pague determinada quantia ao atacante.

O Ransomware tem sido o foco da cibersegurança, tornando-se muito popular e uma

forma dos atacantes lucrarem com os seus exploits. O FBI estima que o CryptoWall, um
dos mais notórios exemplos de ransomware, custou aos consumidores e empresas nos
Estados Unidos da América pelo menos $18 milhões, só em 2016.

Como se proteger:
As organizações devem investir em várias camadas de segurança para bloquear
tentativas de ransomware. Além desse investimento, devem fazer regularmente back-
ups para a sua informação mais sensível e ativos críticos.

Software Vulnerabilities

O que é :
Falhas, erros ou vulnerabilidades descobertas no software que podem originar
problemas de segurança.

[4]
Novas vulnerabilidades de software são descobertas a toda a hora e deixadas por
resolver, tornando-se portas de entrada para ciberataques e infeções.

Como se proteger:
Considere investir em software de gestão de patching e uma estrutura funcional que
torne a gestão de vulnerabilidades numa pratica diária. Sempre que possível, limite e
uniformize as versões dos sistemas operativos e aplicações que os seus funcionários
utilizam. Desta forma, os processos de scanning de vulnerabilidades, patchs e
atualizações tornam-se mais fáceis de gerir.

Ataque de Negação de Serviço (DoS/DDoS)

O que é:
Uma tentativa de inutilizar um serviço online ao entupi-lo com tráfego (como se
tratasse de uma autoestrada entupida com trânsito parado), algumas vezes através do
uso de redes inteiras de dispositivos eletrónicos infetados, conhecidas como botnets,
resultando num ataque de negação de serviço (DDoS).

Ataques DDoS podem ser utilizados por hacktivistas para “deitar abaixo” websites por
razões políticas ou por criminosos como mais um método de extorsão.

Como se proteger:
Para proteger o website da sua empresa deve conseguir bloquear ou absorver tráfego
malicioso. Fale com o seu fornecedor de serviço de internet, bem como de outros
serviços informáticos e informe-se das possibilidades existentes no mercado.

[5]
Drive-by Downloads

O que é:
Um ataque que instala malware no dispositivo do utilizador, assim que ele visita um
website infetado.

Infelizmente, nem todo o malware precisa de tanta interação, por vezes não é
necessária qualquer interação da parte do utilizador para que o malware seja instalado.
No caso dos drive-by downloads, os utilizadores podem ser infetados automaticamente
ao visitarem sumplesmente um website. Assim como o malvertising, o website não tem
que parecer suspeito para estar infetado — os criminosos podem comprometer
websites legítimos que tenham um tráfego muito elevado.

Como se proteger:
Tendo em conta que a infeção pode ocorrer sem o seu conhecimento, é importante
reduzir tanto o risco como as consequências do ataque. Para se proteger, deve
certificar-se de que os utilizadores têm o software atualizado, tem segurança endpoint
instalada nos seus dispositivos e as máquinas não têm privilégios de administração.

SQL Injection

O que é:
Um tipo de exploit de segurança que consiste na inserção, pelo atacante, de código
“structured query language” (SQL) numa entrada do dispositivo eletrónico, para
permitir a execução do(s) programa(s) pretendidos.

Por exemplo, um atacante poderia utilizar o formulário de log-in de um utilizador para

enviar um pedido à base de dados para obter as credenciais de acesso em vez de tentar
entrar com nome de utilizador e a palavra-chave. Se tiver sucesso, o ataque pode
garantir ao atacante o acesso ilegítimo a toda a base de dados.

[6]
Como se proteger:
Ataques de SQL injection são possíveis devido a vulnerabilidades existentes na fase de
desenvolvimento do software. Para se proteger, deve fazer todas as atualizações dos
sistemas e instalar os respetivos patchs.

Man-in-the-Middle (MITM) Attack

O que é:
Uma técnica utilizada para intercetar e atrasar a comunicação entre duas partes ou
sistemas, para capturar, enviar e receber informação privilegiada.

Os hackers utilizam ataques man-in-the-middle para adquirir credenciais de acesso e

outras informações privilegiadas, modificar transações e comprometer sistemas.

Como se proteger:
Para se proteger de ataques man-in-the-middle tente utilizar técnicas de autenticação
e encriptação, de forma a garantir ligações mais seguras. Uma dessas formas é o uso
de “virtual private networks” (VPN). Evite também transferir ficheiros, dados e
informações sensíveis por email.

Password Attack

O que é:
Tentativa para descobrir passwords.

Os atacantes podem tentar ganhar acesso ao seu sistema de uma maneira menos
sofisticada — tentando descobrir as suas palavras-chave. Mesmo sendo uma técnica
antiga, atualmente as ferramentas que os hackers têm ao seu dispor são tecnologia de

[7]
ponta. Determinado software e ataques de força bruta podem permitir aos atacantes
obter as palavras-chave de terceiros, em minutos.

Como se proteger:
Deve utilizar e encorajar os seus funcionários a utilizar palavras-chave mais fortes,
encorajá-los a utilizar software de gestão de passwords, atualizar as passwords com
regularidade e, para além de não partilhar as palavras-passe com terceiros, não utilizar
a mesma palavra-passe para diferentes plataformas.

Scareware

O que é:
Software malicioso que engana as pessoas, levando-as a acreditar que os seus
dispositivos eletrónicos estão infetados e as convence a fazer o download de falsas
ferramentas para remoção de malware. Ferramentas que na verdade é que vão infetar
a máquina.

Através do scareware os atacantes aproveitam-se do susto ou medo das vítimas para

as fazer instalar software malicioso nas suas máquinas. Este tipo de ataque geralmente
é propagado através de janelas de pop-up onde os utilizadores são informados sobre a
forma como devem proceder para resolver o problema da (falsa) infeção e como limpar
o sistema informático, indicando o link para descarregar a ferramenta de limpeza.

Como se proteger:
Uma defesa sólida inclui a instalação de firewalls e de várias camadas de segurança.
Contudo a sensibilização e preparação dos utilizadores é a barreira mais segura contra
este tipo de ciberataque.

[8]
Estabeleça a sua Ciberagenda
Nesta secção vamos cobrir alguns princípios básicos, incluindo a forma como
avaliar as suas necessidades para ter a certeza que se está a focar nas coisas
que realmente interessam.

[9]
Passo 1: Avalie as suas necessidades

Na cibersegurança não existe uma solução universal. Por muito que seja tentador
copiar estratégias de segurança de outras entidades, não há garantias de que essas
resultem consigo ou com a sua organização. Por esta razão, o primeiro passo para
melhorar a segurança da sua organização é realizar um diagnóstico de autoavaliação.
Pode parecer complicado, mas não é. Basta responder a um conjunto de questões
muito simples:

Porque é que precisamos de melhorar a nossa cibersegurança?

Para responder a esta pergunta, pode começar a desenvolver algumas ideias sobre os
objetivos e prioridades da sua organização. Qual a maior preocupação da organização?
Que problemas e desafios seriam colmatados com o aumento da cibersegurança na
organização?

A partir das respostas às questões anteriores, tente compreender as razões pelas quais
considera que a organização ainda não está segura e desenvolver objetivos concretos
com o intuito de alterar a situação.

Ponto-chave: Definição clara dos objetivos de cibersegurança a alcançar.

O que é que estamos a tentar proteger?

A resposta a esta pergunta, se for bem delimitada, pode ajudá-lo a evitar querer
proteger tudo de todas as ameaças. Para responder concretamente a esta questão, é
necessária a identificação e o enfoque nos ativos mais críticos da organização e a
avaliação do seu atual estado de segurança, determinando as falhas (se existirem) que
se pretende resolver.

Ponto-chave: Listagem de ativos críticos a proteger.

A resposta a estas questões permite, de forma rápida e simples, perceber o estado da

Cibersegurança da sua organização e começar a delinear planos de ação para atingir os
seus objetivos.

[10]
Passo 2: Saiba como se manter seguro

Conhecer as suas necessidades específicas e garantir a segurança do que é essencial é

a chave para o sucesso.

No momento da avaliação da segurança da sua organização pode ter a tendência para

considerar tudo muito importante e querer proteger tudo. Como muitas soluções de
Cibersegurança são bastante dispendiosas, pode haver a tentação de optar por
soluções menos dispendiosas e/ou gratuitas e essas podem não ser as melhores nem
garantir a segurança do que realmente importa proteger – os ativos críticos da sua
organização.

Opte por proteger da melhor forma, primeiramente, os ativos críticos da sua

organização e apostar na sensibilização e formação dos recursos humanos como forma
de proteção contra ciberameaças.

Firewall(s)
Uma boa firewall irá ajudá-lo a reforçar o seu perímetro de segurança, ao adicionar uma
camada de proteção entre a sua rede interna de Internet e quaisquer potenciais
atacantes que tentem ganhar acesso não autorizado à sua rede.

United Threat Management (UTM)

UTMs são soluções apelativas, especialmente para pequenas e médias empresas, por
combinarem firewalls, sistemas de filtragem de conteúdos, capacidades de virtual
private network (VPN) e tecnologias de deteção de intrusão numa só solução.

[11]
Endpoint protection
Uma abordagem à segurança das redes às quais se ligam vários utilizadores, de forma
garantir a proteção dessas redes face a ameaças que possam provir dos dispositivos
eletrónicos dos vários utilizadores dessas redes. A segurança é alcançada através do
cumprimento de determinadas normas de segurança pelos utilizadores das redes (ex.
existência de firewall ativa, sistemas operativos com as atualizações em dia, etc.).

Security Information and Event Management (SIEM)

SIEM é um software que permite ter uma visão panorâmica dos sistemas informáticos
da organização. Este software permite a integração, normalização e correlação (da
informação) de sistemas de proteção e identificação de padrões e uma melhor gestão
de incidentes de segurança informática e comportamentos dos utilizadores.

Data backup
Nenhuma iniciativa de segurança estaria completa sem a realização regular de backups
e estratégias de recuperação eficazes. Para além de boa prática, a realização de
backups é o método mais eficaz para fazer face a ataques de encriptação de dados e
ransomware.

Whitelisting
A aplicação whitelisting pode ajudar a reduzir a probabilidade de ser infetado, uma vez
que limita o número de aplicações e ficheiros que podem ser executados em
determinada máquina. Esta é um solução que aumenta o nível de Cibersegurança das
organizações, contudo, é importante ter em conta que pode limitar a produtividade
dos utilizadores, impedindo-os de fazer diversas tarefas e correr diversas aplicações em
simultâneo nas suas máquinas.

Patch management
As soluções de software estão em constante desenvolvimento e evolução, pois estão
também constantemente a ser descobertas vulnerabilidades. No entanto, após a
descoberta de uma vulnerabilidade surge um patch para solucionar essa
vulnerabilidade. Esta dinâmica é cosntante e pode ser difícil estar sempre atualizado e
gerir a quantidade de patchs que surgem diariamente ou quase diariamente. Uma
solução é a utilização é automatizar a gestão de patchs, através de soluções de patch
management.

[12]
Security awareness training
A cibersegurança não e só uma questão tecnológico, é também uma questão humana
e social, de interação entre o Homem e a máquina.

Muitos ciberataques são realizados graças à ação das suas vítimas – clicar em links
desconhecidos, instalar aplicações de fontes desconhecidas, partilhar informação
sensível com atacantes, entre outros.

Uma das soluções mais eficazes de Cibersegurança é a sensibilização e formação dos

utilizadores dos dispositivos eletrónicos. As soluções tecnológicas não são eficazes,
podem mesmo ficar inutilizadas, sem a formação dos utilizadores.

[13]
Passo 3: Procure a ajuda necessária

Um responsável pela segurança da uma organização nem sempre tem muitos

conhecimentos em Cibersegurança e não tem que os ter, obrigatoriamente. O
importante é reconhecer e aceitar as suas limitações temporais, de recursos e know-
how.

O responsável deve garantir a segurança, fazendo para isso o que for necessário.

Algumas das soluções para a garantia da Cibersegurança de uma organização são:

Contratar alguém que fique responsável pela cibersegurança da organização

Com a contratação de um gestor de segurança ou de um CISO, deve ficar claro que não
se investe apenas num recurso humano, é necessário também investir e fornecr-lhe as
ferramentas de trabalho adequadas.

Obter um fornecedor de soluções de gestão de serviços de segurança (MSSP)

Ao invés de internalizar todos os custos associados à garantia da Cibersegurança, a
solução mais económica para muitas organizações será o outsourcing de alguns aspetos
da segurança da sua empresa a um MSSP. Desta forma, é possível evitar algumas
despesas, como aquelas associadas à contratação de recursos humanos, bem como a
aquisição e manutenção de soluções de segurança, que geralmente são bastante
dispendiosas.

Esta opção é atrativa. No entanto, se considerar a opção de outsourcing, tenha em

conta alguns aspetos: a segurança da sua organização, dos dados dos seus clientes e
dos seus ativos é muito importante e a responsabilidade é, em última análise, da
organização; em caso de incidente ou problema, os clientes não responsabilizarão mais
ninguém além da própria organização; informação sobre a arquitetura de segurança é
estratégica e crítica e não deve ser totalmente externalizada e ser do conhecimento
apenas de terceiros (trata-se de conhecimento que a própria organização,
internamente, deve ter); é essencial existir confiança entre a organização e o MSSP.

Antes de optar por esta solução, é necessário avaliar as hipóteses e a criticidade do que
se pretende externalizar.

[14]
 Plano Básico de 30-60-90 dias
Mês 1: Determine as suas necessidades

 Realização de um inventário dos ativos importantes (o que deve ser protegido?)

 Realização de um balanço das necessidades específicas de segurança, relacionadas com

a área da atuação da sua organização

 Avaliação da atual cobertura de segurança (tem as camadas básicas de proteção?)

• Firewall(s);

• Sistemas de deteção de intrusão (IPS) e/ou gestão de ameaças (UTM) que combinam firewall,
filtro de conteúdo, virtual private network (VPN) e tecnologias de deteção de intrusão;

• Endpoint protection (ex. A/V, anti-malware, etc.);

• Security information and event management (SIEM);

• Data backup and recovery;

• Whitelisting;

• Patch management.

 Identificação das falhas de segurança e áreas problemáticas

 Estabelecimento das prioridades e desenho de uma estratégia de segurança

[15]
 Mês 2: Adquira a ajuda necessária e atinja os seus objetivos

 Determinação da necessidade (ou não) de contratar alguém para a segurança ou de

ajuda externa (MSSP)

 Avaliação de potenciais contratações, outsourcing e outras soluções que ajudem a

responder às necessidades prioritárias da organização

 Segmentação das componentes da rede da organização

 Revisão dos controlos de acesso dos utilizadores

 Avaliação da possibilidade da introdução de mecanismos de dupla autenticação

 Garantia da segurnaça dos pontos de rede wireless

 Documentação de todas as políticas e procedimentos de segurança e garantia do seu

cumprimento pelos serviços de outsourcing

Mês 3: Melhore a visibilidade & responsabilidade

 Aquisição de mais e melhor conhecimento sobre a rede da organização e a atividade

dos utilizadores nos sistemas

 Apresentação regular de relatórios, com o objetivo de revisão de métricas de

segurança, tanto a nível interno, como com outsourcers.

 Desenvolvimento de programas de awareness e formação na área da Cibersegurança

para os funcionários

[16]
Dicas para uma estratégia de sucesso

O que fazer para obter um sucesso duradouro?

A segurança é maioritariamente garantida pela preparação. O sucesso das reações a
incidentes de segurança é atribuído à preparação dos funcionários e da organização
como um todo, para esse tipo de incidentes e essa preparação tem que ir sendo
desenvolvida de forma contínua.
Eis alguns erros que pode evitar:

1. Soluções mais caras garantem maior segurança

As soluções caras não são eficazes se os funcionários e utilizadores não estiverem
sensibilizados nem formados para lidar com os perigos do ciberespaço e sem a
existência de políticas e procedimentos internos de segurança, devidamente cumpridos
por todos.

2. Considerar a cibersegurança apenas um problema de IT

A Cibersegurança não é apenas um problema tecnológico, poque quem interage com
as máquinas são os seres humanos. Estes são quem clica em links não fidedignos,
instalam software malicioso, muitas vezes sem se aperceber, realizam tranferências de
ficheiros com informação crítica de foma pouco segura, introduzem dispositivos que
podem estar infetados (ex. pen USB) nas máquinas da organização, sem entre outros.

Os responsáveis pela segurnaa da organização devem ter este fator em consideração e

minimizar as vulnerabilidades de segurança da organização, que muitas vezes são os
recursos humanos, através da criação e promoção de uma cultura de Cibersegurança.
Para isso, os responsáveis nas organizações devem ser os primeiros dar o exemplo e
assumir o compromisso de garantia da segurança e fornecer aos restantes funcionários
o conhecimento e as ferramentas necessárias para a prevenção de incidentes.

[17]
3. Fazer da segurança apenas um problema do utilizador
Apesar de muitas infeções e incidentes serem provocadas por utilizadores que não
foram sensibilizados e formados para lidar com os perigos do ciberespaço, não
devemos atribuir-lhes toda a culpa.

Os responsáveis pela segurança devem garantir que as vulnerabilidades dos sistemas

são colmatadas ou, pelo menos, minimizadas da melhor forma possível.

4. Não existem soluções milagrosas

Ao avaliar as possíveis soluções, é importante não focar em soluções individualmente,
sem considerar a sua interação e integração outras tecnologias, bem como abordagens
alternativas para melhorar a segurança em geral. Verifique como as ferramentas
distintas funcionam em conjunto para melhorar a segurança em várias camadas.

5. Avaliação da eficácia
A avaliação de programas de segurança, tanto que foram adquiridos recentemente,
como outras que já existam na organização há algum tempo, é muito importante, pois
permite a identificação das vulnerabilidades existentes e procurar soluções para as
minimizar e solucionar, assim como atualizar as políticas e os procedimentos de
segurança mais adequados às realidades das organizações.

[18]
O presente conteúdo é propriedade do Centro Nacional de Cibersegurança estando protegido nos
termos da legislação de propriedade intelectual aplicável. O utilizador pode copiar, importar ou usar
gratuitamente parte ou a totalidade da informação, para uso pessoal ou público, desde que não
tenha finalidades lucrativas ou ofensivas e seja referida a fonte de informação.

[19]