Você está na página 1de 44

OSTENSIVO GUIA DE ESTUDO

Conceituação

Nesta unidade serão abordados conceitos teóricos de Segurança


da Informação. Por que existe a necessidade de se preocupar com o tema, os
principais tipos de proteção, os requisitos básicos, também chamados de pilares
da segurança da informação. Os componentes básicos, como: valor, ameaça,
tipos de vulnerabilidade, impacto e risco, bem como as principais terminologias
utilizadas.
Para o melhor entendimento da Segurança da Informação vamos
aprender porque devemos nos proteger e quais são as estratégias de proteção e
principais desafios.
Por fim, teremos uma contextualização da segurança da
informação e da guerra cibernética na Marinha do Brasil.

OSTENSIVO 1-1
OSTENSIVO GUIA DE ESTUDO

Introdução

Não há dúvidas de que a Internet mudou completamente o mundo


em que vivemos. Essas mudanças afetaram nossas vidas e as organizações
onde trabalhamos, quebrando paradigmas e promovendo uma reavaliação das
nossas prioridades e daqueles que fazem parte do processo decisório das
organizações.
Dentre os principais problemas que enfrentaremos neste novo
século, tomando como base a grande mídia, temos os seguintes:
• Terrorismo religioso, ideológico ou criminoso
• Crimes eletrônicos
• Discussões a respeito da legislação de direitos autorais e patentes.
• Crescimento de softwares maliciosos.
• Fraudes financeiras e contábeis no meio empresarial.
• Pirataria em geral.
• Espionagem industrial.
• Guerra cibernética.

OSTENSIVO 1-2
OSTENSIVO GUIA DE ESTUDO

Introdução

Esses problemas trazem impactos para indivíduos comuns,


empresas e Estados: situações que podem trazer prejuízos financeiros e/ou
impedi-los de atingir seus objetivos. Diariamente, ouvimos notícias onde a
expressão “ segurança ” está presente. Conflitos pontuais, guerras, fraudes
bancárias, crimes e desastres. Isso coloca uma dúvida no ar:
O que significa segurança?
De forma simplificada podemos defini-la como um estado no qual
estamos livres de perigos e incertezas. Em uma organização, a segurança se
aplica a tudo aquilo que possui valor e, por isso, demanda proteção. O que
possui valor é chamado de ativo.
Existem ativos de diversos tipos e estes podem ser organizados e
classificados por meio de propriedades, como a seguir:
- Tangíveis: documentos impressos, computadores, prédios, data center etc.
- Intangíveis: Imagem de um Órgão Público, confiabilidade de um banco de
investimentos, marca de um produto etc.
Podem também ser classificados como:
- Lógicos: Dados em um servidor de arquivos, Sistemas de Correio Eletrônico,
rede de telefonia IP, etc...
- Físicos: notebook, sistema de ar-condicionado, prédio, etc...
- Humano: colaboradores, terceiros, funcionários, etc...
Essas propriedades classificam os ativos com características
semelhantes no que diz respeito às necessidades, estratégias e ferramentas de
proteção. Em virtude dessa necessidade de especialização, a responsabilidade
pela segurança de uma organização, em seu conceito mais abrangente, acaba
sendo normalmente dividida entre duas ou mais áreas. Como exemplo podemos
citar empresas que possuem um setor de segurança patrimonial (responsável
pela segurança física), e um outro de segurança lógica (focado na segurança
dos sistemas de Tecnologia da Informação (TI)).
Essa abordagem traz benefícios em termos de especialização
técnica das equipes, porém cria grande dificuldade na implementação da
segurança integrada, baseada em prioridades definidas, para toda organização
como um todo.

OSTENSIVO 1-3
OSTENSIVO GUIA DE ESTUDO

Por que devemos nos Proteger?

A dependência de sistemas informatizados é cada vez mais


presente na maioria das organizações, assim como, na Marinha. Não apenas as
tarefas administrativas dependem dos sistemas de informação digitais, mas
também sistemas de Comando e Controle e sistemas de Armas e Combate em
nossos navios são, hoje, controlados por sistemas informatizados de combate
(Ex.SICONTA).
Contudo, prover segurança a esses sistemas traz novos desafios.
Vulnerabilidades em sistemas administrativos podem causar prejuízos para a
Marinha, como perda de informações sigilosas, comprometimento de ações
conduzidas pela Marinha ou mesmo vazamento de informações particulares dos
militares da MB.
Se imaginarmos o comprometimento de um sistema de combate,
em uma fragata, por exemplo, tal ação poderia levar a um lançamento de arma
não autorizado, trazendo enormes implicações políticas ao país. Isso
contextualiza bem a importância do preparo do pessoal da MB para defender os
ativos de tecnologia da informação (administrativos ou operativos) da Marinha.

OSTENSIVO 1-4
OSTENSIVO GUIA DE ESTUDO

Por que devemos nos Proteger?


É importante percebermos que a maioria dos sistemas e protocolos
não foram concebidos considerando a segurança como um dos objetivos. A
implementação da pilha TCP/IP, concebida no fim dos anos 70, tem origem no
meio acadêmico, onde a segurança nem sempre é o foco do desenvolvimento.
Mesmo nos sistemas atuais outros fatores são privilegiados em detrimento da
segurança. Mesmo atualmente, novos protocolos e aplicações surgem com
vulnerabilidades. Como agravante temos o fato de que a cada dia existe um
número cada vez maior de pessoas qualificadas para encontrar estas
vulnerabilidades (sendo a maioria pesquisadores independentes). É muito
frequente que essas fraquezas sejam de conhecimento de crackers, mesmo sem
o conhecimento do fabricante do aplicativo. Este contexto torna cada vez mais
complexa a tarefa de garantir a segurança dos sistemas.
Outro paradigma interessante versa sobre a origem dos ataques. É
comum pensar que os ataques vem de fora da nossa rede/organização, mas
isso nem sempre é verdade. As defesas de borda (isto é, dos limites entre a rede
interna e a internet e outras redes) estão cada vez mais pesadas, eficientes e
monitoradas. É muito mais simples para um atacante efetuar sua ação “de
dentro” da rede, por isso outros vetores de ataque que utilizem um computador
na rede interna para sua execução são, hoje, os mais frequentes.

OSTENSIVO 1-5
OSTENSIVO GUIA DE ESTUDO

Por que devemos nos proteger?

Por uma razão muito simples: evitar e minimizar prejuízos.


Os problemas de segurança ocorrem em diversos níveis e afetam
setores diferentes da organização. Alguns, de maior visibilidade, normalmente
tem maior prioridade. Medidas preventivas contra furtos de computadores são
um ótimo exemplo. Vírus de computadores contaminam e tiram do ar estações
de trabalho e, mesmo assim, muitas vezes, são vistos como incidentes isolados
sem maior relevância. O fato é que os problemas de segurança atualmente têm
aumentado muito, tanto em termos de quantidade como em qualidade. As
corporações têm enfrentado cada vez mais problemas deste tipo que causam
enormes prejuízos. Um worm, por exemplo, pela sua capacidade de reprodução
pela rede, pode rapidamente deixar um escritório remoto sem comunicação com
a matriz por longos períodos de tempo.
Problemas de segurança, em última instância, afetam os objetivos
estratégicos e operacionais da organização. Podem dificultar o processo de
vendas e até mesmo impactar na produção. Sendo assim, não devem ser vistos
como casos pontuais com efeitos minimizados que ocorrem em setores isolados
da organização.
Empresas podem sofrer ataques e invasões aos seus sistemas,
sem sequer conseguirem perceber ou identificar os responsáveis pelos ataques.

OSTENSIVO 1-6
OSTENSIVO GUIA DE ESTUDO

Tipos de proteção

Da mesma forma que os ativos possuem características específicas,


devemos utilizar diferentes abordagens para atender às demandas de
segurança. O nome proteção é dado às medidas que, quando implementadas,
visam a minimizar os riscos dos ativos sofrerem prejuízos. As proteções podem
ser classificadas como:
Por Tipo:
- Lógica: Permissões em sistemas de arquivos, firewalls, IDS (Sistema de
Detecção de Invasão), etc...
- Física: sistemas contra incêndio, guarda armada, utilização de cofres, etc...
- Administrativa: Políticas, normas e procedimentos
Até o momento já temos conhecimento suficiente para o entendimento
de um dos conceitos mais importantes: a diferença entre Segurança e
Segurança da Informação (SI). Resumidamente, na SI o foco é um tipo
específico de ativo, chamado de ativo de informação. Esses ativos geram,
processam, manipulam, transmitem e armazenam informações.
Em diversas situações, os ativos de SI são equivocadamente avaliados
como sendo restritos aos ativos de Tecnologia da Informação (TI). A TI envolve,
basicamente, o uso de hardware e software para processar informações em
sistemas. Esses ativos tem papel fundamental nas atividades relativas ao
tratamento da informação, porém acreditar que eles são o único universo em que
devemos nos preocupar, no que tange à SI, nos leva a um equívoco perigoso. É
importante ressaltar que as informações de uma empresa/corporação são
faladas, impressas e repassadas, tornando o escopo da Segurança da
Informação muito mais abrangente.

OSTENSIVO 1-7
OSTENSIVO GUIA DE ESTUDO

Requisitos Básicos da Segurança

Os princípios (ou pilares) básicos da segurança da informação são:


Confidencialidade, Integridade e Disponibilidade (CID).
-Confidencialidade: Certeza que somente as pessoas autorizadas a acessar os
dados podem acessá-los.
-Integridade: Certeza que os dados não foram alterados - por acidente ou
intencionalmente. A informação permanece inalterada em todo o seu ciclo de
vida (produção, manipulação, acesso e descarte).
-Disponibilidade: Certeza que os dados estão acessíveis quando e onde forem
necessários.
Por exemplo, garantir a confidencialidade de um documento
colocando uma senha, garante no máximo seu sigilo. Uma vez que a senha seja
perdida haverá impacto na disponibilidade da informação. Se o disco rígido onde
está armazenado o documento perder parte dos blocos de armazenagem de
dados, onde o documento está, ter uma senha não garantirá sua integridade pois
o mesmo estará corrompido.

OSTENSIVO 1-8
OSTENSIVO GUIA DE ESTUDO

Requisitos Básicos da Segurança

Elementos Utilizados para Garantir a Confidencialidade


- Criptografia dos dados: os dados podem ser capturados, em qualquer ponto da
origem até o destino, mas permanecem sigilosos, pois encontram-se
embaralhados (ou encriptados) através de um processo criptográfico.
- Controle de acesso: para ter acesso aos dados é necessário o uso de
credenciais.

Elementos para garantir a Integridade


- Assinatura digital: permite que o destino da mensagem tenha certeza de que o
mesmo foi enviado pela origem correta.
- MD5-hash: um documento/arquivo/binário deve produzir um resumo (na
origem) que, por meio de técnicas de criptografia será checado no destino.

Elementos para garantir a Disponibilidade


- Backup: cópia de segurança
- Tolerância a Falhas: dispositivos com duplicidade de componentes. Ex: um
servidor com 2 HDs, 2 fontes, etc…
- Redundância: Sistemas ou dispositivos em duplicidade.

OSTENSIVO 1-9
OSTENSIVO GUIA DE ESTUDO

Premissa Fundamental

Não existe segurança 100%. Mesmo com todas as precauções é


impossível prever todas as situações de perigo. Diariamente, surgem novas
vulnerabilidades e estas nem sempre são conhecidas, mesmo pelos melhores
profissionais de Segurança da Informação. Além disso quanto mais proteções
são pensadas e implementadas, maior é o custo da solução, fato que nem
sempre justifica o uso de soluções robustas. Em determinadas situações
podemos chegar ao ponto de concluir que o investimento seria maior que o valor
do ativo protegido.
Adotando essa premissa, pode-se concluir que há uma série de
fatores e componentes a serem considerados de forma a garantir que a
segurança dos ativos se encontre dentro de níveis adequados e que os
investimentos para se atingi-los tenham uma boa relação de custo/benefício.
Níveis de segurança elevados são normalmente buscados em
ambientes militares, onde falhas podem custar vidas, bem como em instituições
bancárias e outras similares por razões óbvias.
Partindo-se desses exemplos, muitos profissionais têm uma
tendência em ver a segurança pela perspectiva do ativo e do maior nível de
proteção que ele pode possuir. Esta visão não é adequada nas organizações,
principalmente empresas, onde não há como pensar na segurança da
informação como atividade-fim. É necessário mirar sempre nos objetivos
estratégicos da corporação e como a segurança da informação pode viabilizá-
los.

OSTENSIVO 1-10
OSTENSIVO GUIA DE ESTUDO

Terminologia
Valor
É a importância de um ativo para a organização. A avaliação pode ser feita por
propriedades mensuráveis: valor financeiro, o lucro que ele provê, o custo de
substituição, etc..., ou propriedades abstratas, como o comprometimento da imagem de
uma empresa por causa do vazamento de uma informação sigilosa.
Ameaça
Evento que tem potencial em si próprio para comprometer os objetivos da
organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de
situações inesperadas. Um incêndio ou um roubo são exemplos de ameaça.
Vulnerabilidade
A ausência de um mecanismo de proteção ou falhas em um mecanismo de
proteção existente. São as vulnerabilidades que permitem que as ameaças se
concretizem. O que vai determinar se um incêndio pode ou não afetar os negócios de
uma empresa é a ausência/existência de mecanismos de prevenção, detecção e
extinção, além do correto funcionamento dos mesmos.
Impacto
Tamanho do prejuízo, medido através de propriedades mensuráveis ou
abstratas, que a concretização de uma determinada ameaça causará. Diferentes
ameaças possuem impactos diferentes. O impacto de um incêndio é maior que de um
roubo, na maioria das vezes. Dependendo do ativo afetado, podemos ter também
impactos diferentes para uma mesma ameaça. O impacto decorrente do roubo de um
servidor é, em geral, maior que aquele causado pelo roubo de uma estação de trabalho.
Risco
Medida que indica a probabilidade de uma determinada ameaça se concretizar,
combinada com o impacto. É a principal métrica gerencial de SI. Quanto maior a
probabilidade de uma determinada ameaça ocorrer e o impacto que ela trará, maior
será o risco associado a este incidente.

OSTENSIVO 1-11
OSTENSIVO GUIA DE ESTUDO

Terminologia

Um exemplo para demonstrar estes conceitos é o seguinte cenário:


Ao passar pela vizinhança um ladrão observa que uma
determinada casa (alvo) possui um tipo de fechadura fácil de se abrir
(vulnerabilidade). Ele percebe que se ele forçar a porta (Ataque) ele poderá
conseguir abri-la e ter acesso a casa.
Da mesma forma ocorre com os sistemas de informação: um
atacante, após alguns testes, verifica que um servidor web de uma empresa na
internet (alvo) está com a senha padrão do fabricante configurada
(vulnerabilidade). De posse dessa informação ele pode fazer login no módulo de
administração do servidor com a senha (ataque) obtendo acesso total ao
servidor.
Voltando ao nosso cenário, em outra casa (alvo), o ladrão pode
perceber que a fechadura é muito comum e com uma chave muito simples
(vulnerabilidade). Contudo, se o fabricante da porta não tem esse tipo de
controle ou ciência da fragilidade da fechadura (vulnerabilidade Zero-Day) fica
muito difícil se proteger desse ataque. Então, o Ladrão utiliza uma chave que ele
mesmo fez que consegue abrir as fechaduras deste gênero (Exploit), permitindo
o acesso a casa e o roubo de itens de seu interesse.
O mesmo ocorre com o site web de um órgão governamental (alvo)
que foi escrito em alguma linguagem de programação web, mas o código não foi
desenvolvido com o foco em segurança. O atacante então percebe que o
sistema permite que ele modifique o funcionamento da página através de
códigos especiais digitados em uma caixa de diálogo da página.

OSTENSIVO 1-12
OSTENSIVO GUIA DE ESTUDO

Segurança da Informação Digital

Segurança da Informação Digital (SID) se refere às ações


DEFENSIVAS de nossas redes. O Ministério da Defesa, em seu manual de
Defesa Cibernética, ainda em fase de desenvolvimento, adota o termo
Segurança Cibernética para o mesmo conjunto de medidas.
Medidas como definições de políticas de segurança,
monitoramento de redes, controle das políticas de atualizações (Anti-vírus e
sistemas operacionais), implementação de firewalls ou sistemas de detecção de
ataques, campanhas de conscientização e adestramento de usuários são
exemplos de medidas comuns associadas a estes termos.

OSTENSIVO 1-13
OSTENSIVO GUIA DE ESTUDO

Guerra Cibernética

Guerra Cibernética é uma modalidade de guerra onde o conflito


não ocorre com armas físicas, mas através do confronto com meios eletrônicos e
computacionais no chamado Espaço Cibernético (ECiber). No seu uso mais
comum e livre, o termo é usado para designar ataques, represálias ou intrusão
ilícita em um computador ou rede. No entanto, uma genuína guerra cibernética,
situação que, em total rigor, até agora nunca ocorreu, implica, de um ponto de
vista legal, o enquadramento do conflito no âmbito do Direito dos Conflitos
Armados ou Direito Internacional Humanitário. Tais situações poderão surgir
ligadas a conflitos políticos, econômicos ou militares no mundo real, ou seja,
ocorrer simultaneamente ao conflito com armas reais, ou de forma totalmente
autônoma. Por outro lado, estas ações poderão ter origem diretamente em
estados, ou, então, serem protagonizadas por atores não estatais. A
possibilidade do uso de armamento cibernético pressupõe a existência de
sistemas e redes de computadores, como elementos essenciais para o
funcionamento de um país. Potenciais alvos são as infraestruturas críticas, tais
como as redes de energia elétrica, de gás e de água, os serviços de transportes,
os serviços de saúde e financeiros.

OSTENSIVO 1-14
OSTENSIVO GUIA DE ESTUDO

Guerra Cibernética

O Ministério da Defesa usa o termo Defesa Cibernética à Guerra


Cibernética.
O primeiro evento associado a guerra cibernética registrado foi a
invasão prévia do exército russo aos sistemas de Comando e Controle (C2) da
Estônia horas antes da invasão do território daquele país, em 2007. Como
consequência, a OTAN (Organização do Tratado do Atlântico Norte) mantém em
Talinn, capital da Estônia, um centro de referência de Guerra Cibernética.
Outro exemplo, ocorrido em 2010, foi o Vírus Stux-Net, o qual
ainda não tem sua origem confirmada, mas com fortes indícios de ter sido uma
cooperação entre EUA e Israel com o objetivo de atrasar o programa nuclear do
Irã. O Stux-Net funcionava utilizando algumas vulnerabilidades Zero-Day para
infectar sistemas que controlavam as centrífugas de enriquecimento de urânio
nas usinas Iranianas. Com estes computadores sob controle o vírus acelerava
as centrífugas além do seu limite de segurança e informava para o sistema de
controle que elas estavam operando em seus valores corretos. Resultado: Várias
centrífugas foram perdidas, causando efetivo atraso ao programa nuclear
iraniano.

OSTENSIVO 1-15
OSTENSIVO GUIA DE ESTUDO

Estratégias de proteção

Privilégio mínimo
O conceito de privilégio mínimo prevê que não devemos nos expor
a situações de risco desnecessárias. Ao se configurar as permissões de um
usuário em um sistema, devemos fazê-lo de forma que ele nunca tenha
permissões além daquelas necessárias ao desempenho de suas funções. Um
conceito similar seria o de remover serviços não utilizados de um sistema
operacional. Um serviço funcionando em um servidor é uma entrada em
potencial para um invasor, além de consumir recursos de hardware.
Defesa em profundidade
Também chamada de defesa em camadas. Quando entramos em
um condomínio, passamos por diversas barreiras/controles de segurança. A
guarita, as câmeras de segurança, o portão e por fim a porta de entrada da casa.
Em um prédio comercial, existem controles similares até o andar para o qual nos
dirigimos. Isso garante a complementaridade dos controles e que um será a
redundância do outro em caso de falha ou violação. Do ponto de vista da
segurança, é mais eficaz gastar uma quantia de dinheiro em diversos controles
que se complementam que gastar tudo em único controle, dito infalível.
- Múltiplas barreiras entre quem ataca e o recurso que se quer proteger
- Quanto mais fundo o atacante quiser chegar, mais difícil será
- Aumentar o custo do ataque

OSTENSIVO 1-16
OSTENSIVO GUIA DE ESTUDO

Estratégias de proteção

A razão é muito simples: não existem controles infalíveis. Por mais


segurança que o controle tenha em sua implementação, sempre há a
possibilidade de que ele possa ser violado. Sem a estratégia, a violação do
controle único pode se tornar uma violação do sistema como um todo. Para que
esta estratégia seja eficaz as defesas devem possuir diversidade, isto é, serem
diferentes umas das outras. Apenas a diferença garantirá que um atacante
enfrentará diferentes problemas ao tentar violar cada uma das proteções. Por
exemplo, utilizando diversos firewalls de um mesmo fabricante, a estratégia não
estará sendo aplicada: se o atacante for capaz de violar um dos dispositivos,
provavelmente será capaz de fazer o mesmo com os outros.
Elo mais fraco
A força de uma corrente é igual à força de seu elo mais fraco. Se
todos forem feitos de metal e um for feito de plástico, a força que esta corrente
suportará será igual à força que o elo de plástico será capaz de suportar. O
mesmo princípio vale para a segurança. A tarefa de defender um sistema é
assimétrica. Quem protege deve prestar atenção a todos os pontos, já o
atacante só precisa encontrar uma única falha para obter êxito. É muito comum
apontarmos os usuários de sistemas como sendo o elo mais fraco desta cadeia.
Ponto de estrangulamento
Visitantes em prédios comerciais normalmente são obrigados a
realizar um cadastro na recepção antes serem autorizados a subir ao andar de
destino. Essa medida tem como finalidade identificá-lo com documentos,
registro fotográfico, etc...
Essa estratégia, além de prover melhor nível de segurança exige
menor investimento, pois como todos passam pelo mesmo lugar, não há a
necessidade de montar controles em diversos pontos de organização. A analogia
é perfeitamente aplicável na segurança de sistemas computacionais e nas redes
de computadores. Um firewall por exemplo é normalmente instalado em uma
posição que obriga todo o tráfego de rede entrante e sainte passar por ele.
Segurança por obscuridade
Em muitas situações, a melhor forma de protegermos algo é evitar
que as pessoas saibam que ele existe. Esconder dinheiro no fundo do armário é
um exemplo de segurança por obscuridade.
A estratégia sozinha é extremamente limitada, somente sendo
eficaz quando combinada com outros controles. Quanto menos informações um
atacante tiver a respeito do seu ambiente, maior a dificuldade de obter acesso.
Colocar um servidor Web em uma porta diferente da padrão é um bom exemplo
da utilização dessa estratégia em sistemas computacionais
Simplicidade
O mais importante de todos os conceitos. Quanto mais complicado
um sistema, maior a dificuldade de torná-lo seguro. Quanto mais complexo um
sistema, maior o número de possíveis situações inesperadas, maior o número de
ameaças, maior o número de possíveis vulnerabilidades, maior o risco.

OSTENSIVO 1-17
OSTENSIVO GUIA DE ESTUDO

Desafios atuais

Aumento da exposição
A medida que as empresas começaram a se conectar à Internet e
fazer uso dela como ferramenta de negócios, os problemas de segurança
explodiram, pois os sistemas ficaram expostos a um número infinitamente maior
de pessoas. Além disso, existem diferenças legais e jurídicas entre territórios
que agora se encontram interconectados, trazendo novos problemas jurídicos.
Convergência
Atualmente, diversos dispositivos se conectam à Internet:
smartphones, eletrodomésticos, capacetes, óculos etc. Esses dispositivos
dividem espaço com os computadores fazendo com que uma quantidade cada
vez maior de informações trafegue por um mesmo meio, facilitando cada vez
mais o acesso de pessoas mal-intencionadas.
Os problemas tecnológicos
Da mesma forma que não existem fechaduras intransponíveis (é
tudo uma questão de tempo e recursos) também não há sistemas
computacionais invioláveis. Sistemas são desenvolvidos por pessoas, que nem
sempre tem preparo nessa área de conhecimento e muitas vezes submetidos a
pressão excessiva nas entregas de produtos. A segurança demanda
profissionais capacitados, atualizados em novas tecnologias e muitas vezes
dedicados a essa tarefa.
Leis, regulamentações e normas
Para obrigar as organizações a dar a devida atenção aos
problemas de SI, muitas leis e regulamentações têm surgido. Normas
internacionais aparecem como uma tentativa de tornar homogêneo o assunto
entre diferentes organizações em diferentes países.

OSTENSIVO 1-18
OSTENSIVO GUIA DE ESTUDO

Como se defender ?

Prevenção – Configuração de dispositivos de proteção, instalação de antivírus e


manutenção dos mesmos sempre atualizados. Atualização constante dos
sistemas operacionais, implementação de camadas de defesa com Firewalls,
proxies, criptografia etc.

Detecção – Monitoramento da rede, implantação de sistemas de detecção (ou


prevenção) de intrusão, monitoramento de logs de sistema, entre outras medidas
podem ajudar a detectar um ataque em curso ou já executado.

Resposta – Ações de resposta podem variar desde acionamento de uma equipe


de resposta a incidentes até uma equipe de perícia forense, a qual determinará o
que aconteceu, por que aconteceu e possível origem do ataque. Uma vez
determinada a causa do ataque devemos implementar medidas para corrigir as
vulnerabilidades ou implementar medidas para contornar as vulnerabilidades
(caso estas não possuam correção ainda).

Políticas de segurança – Definição e implantação de políticas que definem


quais as medidas e procedimentos devem ser seguidos, para aumentar o nível
de segurança do ambiente. É fundamental que, além da política existir, que ela
seja amplamente divulgada e de conhecimento de todos aqueles que tem
acesso a informações e sistemas de informação.

OSTENSIVO 1-19
OSTENSIVO GUIA DE ESTUDO

Faremos um resumo sobre a estrutura e a distribuição de tarefas


de segurança da informação e guerra cibernética na Marinha do Brasil, que
refletem o que está definido no EMA-416 Vol.1 (Doutrina de Tecnologia da
Informação da Marinha), no EMA-416 Vol.2 (Manual de Guerra Cibernética) e na
DGMM-0540 – Parte III (Segurança das Informações Digitais), Capítulos 6 a 10.

OSTENSIVO 1-20
OSTENSIVO GUIA DE ESTUDO

OSTENSIVO 1-21
OSTENSIVO GUIA DE ESTUDO

Contexto Operacional da Segurança da Informação

Para efeito das operações militares, diversos Estados têm


considerado o Espaço Cibernético (Eciber) como um novo ambiente operacional
(ou domínio), permeando os outros três ambientes clássicos, quais sejam :
marítimo, terrestre e aeroespacial (aéreo e exterior).
O Ministério da Defesa, na Doutrina Militar de Comando e Controle,
estabelece que a Guerra Cibernética (GC) é parte das chamadas Operações de
Informação, sendo esse conceito amplamente difundido e aceito.
As Operações de Informação podem ser definidas como o
emprego integrado, durante as operações militares, de capacidades
relacionadas às informações, em conjunto com outras linhas de operação, para
influenciar, interromper, corromper ou usurpar a tomada de decisão dos
adversários reais e potenciais, e, ao mesmo tempo, proteger as nossas.
Na prática, as Operações de Informação consistem em um
conjunto de ações realizadas, empregando guerra eletrônica, ações em redes
de computadores (Guerra Cibernética), operações psicológicas, operações de
despistamento, destruição física e operações de segurança.

OSTENSIVO 1-22
OSTENSIVO GUIA DE ESTUDO

A Guerra Cibernética na MB

As ações de Guerra Cibernética (GC) são classificadas em três


tipos:

Proteção Cibernética – representam um conjunto de atividades com


características defensivas, visando garantir que o Eciber-MB continue operando,
mesmo sob ataque.

Exploração Cibernética – buscam acessar dados, informações de interesse, e


também, conhecer aspectos da estrutura do Eciber do oponente, a fim de
facilitar um eventual ataque. Com essas informações torna-se possível: (1)
construir uma imagem do Eciber de interesse, e consequentemente, apoiar o
planejamento da ações de ataque e de proteção cibernéticos; e (2) contribuir
para o cumprimento da missão do Sistema de Informação da Marinha (SIMAR).
As ações de exploração cibernética são diivididas em três grandes segmentos:
inteligência, reconhecimento e vigilância.

Ataque Cibernético – representam um conjunto de atividades com


características ofensivas, visando ao cumprimento da missão estabelecida no
Processo do Planejamento Militar (PPM). Tais atividades compreendem, dentre
outras, interromper, negar, degradar, corromper ou destruir informações no
Eciber de interesse. As ações de ataque cibernético estão divididas nas
seguintes fases sequenciais: reconhecimento; busca e análise de
vulnerabilidades; acesso; escalada de privilégios; exfiltração; assalto;
sustentação; e ofuscação.

OSTENSIVO 1-23
OSTENSIVO GUIA DE ESTUDO

Estruturação do Espaço Cibernético na MB

A estruturação do Espaço Cibernético na MB se dá basicamente


em duas dimensões, a saber:

1- Uma delas, de caráter mais estático, representa a forma como é realizada a


gestão de Segurança da Informação; e
2- A outra, representa a estrutura de Defesa do Espaço Cibernético, com uma
concepção mais dinâmica.

OSTENSIVO 1-24
OSTENSIVO GUIA DE ESTUDO

Estrutura de Gestão de Segurança da Informação e Comunicações na


MB

A estrutura administrativa da MB referente à seguraça das


informações e comunicações é aderente ao proposto pela Instrução
Normativa 1 (IN1 - norma que orienta a atividade de segurança da informação
e comunicações no âmbito do Governo Federal), tendo em vista que as
doutrinas e normas estabelecidas na MB seguem as recomendações do
Gabinete de Segurança Institucional da Presidência da República (GSI-PR).
Com o objetivo de manter a MB alinhada à IN1, criou-se a estrutura de TI da
MB, conforme apresentada acima.

COTIM – Conselho de Tecnologia de Informação da Marinha


COTEC-TI – Comissão Técnica de TI
DCTIM – Diretoria de Comunicações e Tecnologia da Informação da Marinha
GSIC.MB – Gestor de Segurança da Informação e Comunicações da MB
CSIC.MB – Comitê de Segurança da Informação e Comunicações da MB
CTIM – Centro de Tecnologia da Informação da Marinha
ETIR.MB – Equipe de Tratamento e Resposta a Incidentes em Redes da MB
CLTI – Centros Locais de Tecnologia da Informação (GOA)
OSID – Oficiais de Segurança da Informação Digital das OM

OSTENSIVO 1-25
OSTENSIVO GUIA DE ESTUDO

Função das OM em SegInfo

No contexto da estrutura de gestão de Segurança da Informação,


cada OM possui suas atribuições e responsabilidades, como descritas a
seguir:

Atribuições da DCTIM para Segurança da Informação:


• Definir as normas de segurança da informação da MB;
• Elaborar projetos de SegInfo na MB;
• Auditar a aplicação das normas de segurança nas OM;e
• Assessorar o ComOpNav nos assuntos técnicos de Guerra Cibernética.

OSTENSIVO 1-26
OSTENSIVO GUIA DE ESTUDO

Função das OM em SegInfo

Atribuições do CTIM para segurança da informação:


• Efetuar a defesa de perímetro da RECIM;
• Monitorar a segurança dos ativos críticos da RECIM;
• Implantar os projetos de Seginfo e normas definidas pela DCTIM;
• Executar ações de Guerra Cibernética sob orientação do ComOpNav;
• Realizar perícia forense quando solicitado;
• Realizar auditorias de segurança da informação nas OM da Marinha;e
• Implantar medidas defensivas na RECIM, conforme necessário, fim
mitigar eventuais vulnerabilidades.

OSTENSIVO 1-27
OSTENSIVO GUIA DE ESTUDO

Função das OM em SegInfo

Atribuições do ComOpNav:
• Controlar, em tempos de paz ou guerra, as ações de Guerra
Cibernética (GC) da MB;
• Coordenar exercícios de GC na MB;
• Realizar ações de GC em tempo de paz em proveito da inteligência
operacional;e
• Realizar ações de GC em tempo de guerra em proveito das ações
realizadas no teatro de operações.

Para realização das tarefas supracitadas foi criado no ComOpNav


o Centro de Controle de Operações Cibernéticas (CCOPCIBER)

OSTENSIVO 1-28
OSTENSIVO GUIA DE ESTUDO

Função das OM em SegInfo

Compete aos CLTI tomar as providências necessárias para manter


o pessoal capacitado a efetuar auditorias de SID nas OM sob sua área de
jurisdição, conforme os requisitos definidos pela DCTIM.

OSTENSIVO 1-29
OSTENSIVO GUIA DE ESTUDO

Função das OM em SegInfo

Responsabilidades do titular da OM:

• Zelar pelo fiel cumprimento das normas de SID;


• Zelar para que a operação e manutenção dos sistemas de rede da
OM sigam as instruções em vigor;
• Zelar pelo fortalecimento da mentalidade de segurança;
• Manter um programa de adestramento para SID;
• Manter a OM preparada para eventuais auditorias de SID;
• Reportar prontamente incidentes de SID à DCTIM e seu
COMIMSUP;
• Autorizar a execução de serviços nas redes locais por pessoal
externo;e
• Designar o Oficial de Segurança das Infomações Digitais (OSID) e
Admin da rede local.

OSTENSIVO 1-30
OSTENSIVO GUIA DE ESTUDO

Função das OM em SegInfo

Responsabilidades definidas para o OSID:

• Estabelecer e divulgar, na OM, a Instrução de Segurança das


Informações Digitais (ISID);
• Assessorar o titular da OM nos assuntos de SID;
• Alterar, propor, analisar e verificar se os requisitos de segurança de
SID estão em conformidade com as normas estabelecidas;
• Identificar os recursos de TI que necessitam de proteção;
• Reportar prontamente os incidentes de SID ao titular da OM;
• Supervisionar a elaboração e manutenção do Histórico de rede local
(HRL) e do plano de contingência (PLCONT);e
• Garantir que todos os usuários estejam cientes das normas de
segurança por meio da assinatura do termo de responsabilidade
individual (TRI).

OSTENSIVO 1-31
OSTENSIVO GUIA DE ESTUDO

Função das OM em SegInfo

Responsabilidades definidas para o OSID:

• Garantir que todos os usuários, que receberam uma estação de


trabalho, assinaram o termo de recebimento de estação de trabalho
(TRE);
• Realizar auditoria de SID interna, autorizada pelo titular da OM,
anualmente, com emissão de relatório de auditoria (RAD) e seguindo
as instruções de verificações publicadas pela DCTIM;
• Supervisionar o monitoramento de rede pelo Admin;
• Supervisionar a atualização de sistemas operacionais da OM;
• Exigir assinatura de termo de responsabilidade individual do pessoal
externo autorizado a executar serviços na rede local da OM;e
• Divulgar recomendações referentes à engenharia social a OM, a fim
de minimizar a probabilidade de sucesso destas técnicas.

OSTENSIVO 1-32
OSTENSIVO GUIA DE ESTUDO

Função das OM em SegInfo

Responsabilidades do Admin:
• Não divulgar informações da rede interna da OM;
• Elaborar e manter o HRL da OM;
• Auxiliar o OSID na divulgação da ISID;
• Assessorar o OSID na avaliação de incidentes de segurança;e
• Garantir o cumprimento das boas práticas de segurança das
informações digitais conforme preconizado no DGMM-0540 parte III.

OSTENSIVO 1-33
OSTENSIVO GUIA DE ESTUDO

Função das OM em SegInfo

Resposanbilidades dos usuários:


• Tratar a informação digital como um bem da MB a ser protegido;
• Utilizar as informações digitais e recursos de tecnologia da
informação exclusivamente para o interesse do serviço;
• Preservar o conteúdo das informações a que tiver acesso;
• Não tentar obter acesso a informação a qual não tiver interesse de
serviço para acesso ou não tiver nível de CREDSEG adequado;
• Não se fazer passar por outro usuário;
• Não alterar configurações da sua estação de trabalho;
• Usar apenas softwares homologados pela MB;
• Seguir políticas de senha, sendo o responsável por ela em caso de
perda da mesma;e
• Seguir as recomendações de segurança divulgadas na ISID e na
DGMM-0540 parte III.

OSTENSIVO 1-34
OSTENSIVO GUIA DE ESTUDO

Estrutura da Defesa do Espaço Cibernético da MB

A Defesa do Espaço Cibernético da MB (Eciber-MB) é organizada


por um conjunto de ações fundamentadas nas atividades contíniuas de SID,
conforme previstas e detalhadas nas Normas de TI da MB.
A Defesa do Eciber-MB é atribuição de todas as OM, CLTI e CTIM
que , ininterruptamente, executam as tarefas de monitoramento dos ativos de TI
que o compõem, além de realizar os adestramentos necessários para a
manutenção da mentalidade de SID dos Recursos Humanos.
O CTIM é o Centro de Respostas e Tratamento de Incidentes de
Segurança de Redes de Computadores na MB (CTIR-MB), responsável pela
integração com as demais Forças (CTIR-EB e CTIR-FAB) e com os demais
CTIR da estrutura governamental (CTIR da Administração Pública Federal -
CTIR-GOV - e Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil - CERT-BR). Tais tarefas abrangem a detecção,
contenção,mitigação, correção e investigação de danos causados por atividades
maliciosas no ECiber-MB.

OSTENSIVO 1-35
OSTENSIVO GUIA DE ESTUDO

Estrutura da Defesa do Espaço Cibernético da MB

Com o propósito de organizar a condução das ações de proteção


cibernética, a MB adota uma metodologia composta de 5 etapas:
- 1ª Etapa - estudo e análise das ameaças;
- 2ª Etapa - análise de risco do ECiber-MB e estudo de vulnerabilidades;
- 3ª Etapa - monitoramento do ECiber de interesse e ações de inteligência;
- 4ª Etapa - estabelecimento do nível de alarme cibernético; e
- 5ª Etapa - associação à categoria de ameaças.
O cumprimento da metodologia resultará na definição do conjunto
de ações de proteção cibernética a serem aplicadas de acordo com o nível de
alarme cibernético estabelecido.

OSTENSIVO 1-36
OSTENSIVO GUIA DE ESTUDO

Alarme Cibernético

Trata-se de uma escala progressiva do nível do risco de ocorrência


de ataques cibernéticos e contribui para a coordenação das ações de proteção
cibernética do ECiber-MB. A elevação do alarme cibernético sinaliza a
possibilidade de escalar as ações de proteção cibernética, visando a neutralizar
ou impedir o efeito desejado das ameaças identifica das. O estabelecimento do
alarme cibernético é de responsabilidade da DGMM em coordenação com o
ComOpNav. Basicamente, para as atividades administrativas cotidianas, a
responsabilidade é do DGMM, passando ao ComOpNav, de acordo com a
evolução do quadro tático, e com o aumento do grau de alarme. Tal evolução
confere cunho operativo às ações de GC, quando medidas de contenção
seletivas poderão ser determinadas, priorizando-se o C2 de algum setor ou
grupamento operativo, mesmo em detrimento dos demais. Não existe a
necessidade de alteração gradativa de nível de alarme, podendo, caso a
situação exija, ser elevado do nível mais baixo para o mais elevado sem
passagem por alarmes intermediários.

OSTENSIVO 1-37
OSTENSIVO GUIA DE ESTUDO

Alarme Cibernético

A cada elevação de alarme cibernético é necessário aumentar os


cuidados em garantir que as normas de segurança estejam sendo cumpridas.
Mensagens de DCTIM e ComOpNav poderão ser enviadas para
reforçar estas recomendações.
• Descritivos dos alarmes
• Branco – Tempo de paz, situação normal;
• Azul – Tempo de paz, possibilidade de ataques;
• Amarelo – Tempo de paz, ataques prováveis (existência de ameaça
real);
• Laranja – Tempo de paz, ataques em curso;e
• Vermelho – Tempo de paz: Comprometimento de sistemas; Tempo de
guerra: Acionado mesmo sem evidências de ataques

Uma elevação do nível de alarme cibernético no centro de defesa


cibernética do Exército acarretará que o nível de alarme cibernético da
Marinha, no mínimo, o acompanhe.

OSTENSIVO 1-38
OSTENSIVO GUIA DE ESTUDO

Alarme Cibernético

Os alarmes cibernéticos, definidos no EMA-416 Vol.2 definem duas


fases, no que tange ao controle da defesa da RECIM, durante eventos
cibernéticos:

• Administrativa – Onde o controle da defesa da RECIM permanece


com a DCTIM/DGMM, cabendo a estes emanar as recomendações
de sergurança da informação as OM; e
• Operativa – Momento em que o controle operativo do CTIM e, por
conseguinte, da defesa cibernética da RECIM passa ao ComOpNav.
Nesta fase o ComOpNav controla as ações de defesa, priorizando a
capacidade de Comando e Controle (C2) de seus meios. A DCTIM
atua como assessora técnica para o ComOpNav.

OSTENSIVO 1-39
OSTENSIVO GUIA DE ESTUDO

Nas ações de Proteção Cibernética

Em função da abrangência dos ataques cibernéticos, as ações de


proteção cibernética podem não estar ocorrendo de forma isolada no ECiber-MB,
mas conjuntamente com as ações das demais Forças Armadas; de outras
instituições ligadas à Administração Pública Federal; ou, ainda, de outras
organizações, como as universidades e instituições privadas. Além disso, as
ações de proteção cibernética necessitam de coordenação entre agências
governamentais e empresas privadas. Na MB, o ComOpNav, a DGMM, a
DCTIM, o CTIM e, transitoriamente, o Comando Operacional possuem
atribuições específicas nas ações de proteção cibernética.

Atribuições do ComOpNav
Compete ao ComOpNav:
- coordenar e controlar as ações de proteção cibernética na fase operativa;
- determinar as medidas defensivas ativas;
- estabelecer e alterar a classificação dos níveis de alarme laranja e vermelho,
em qualquer sentido, e para os demais níveis, quando da passagem de fase
operativa para administrativa; e
- acompanhar as ações de proteção cibernética na fase administrativa, sob
responsabilidade da DGMM.

OSTENSIVO 1-40
OSTENSIVO GUIA DE ESTUDO

Nas ações de Proteção Cibernética

Atribuições da DGMM
Compete ao DGMM:
- coordenar e controlar as ações de proteção cibernética na fase administrativa;
- determinar as medidas defensivas passivas;
- estabelecer os níveis de alarme branco, azul, amarelo, laranja e vermelho,
sendo os dois últimos apenas na mudança de fase administrativa para a fase
operativa da ação de proteção cibernética; e
- realizar reuniões periódicas de coordenação com o ComOpNav, quando o nível
de alarme for amarelo.

Atribuições da DCTIM
Compete à DCTIM:
- definir, por meio de instruções normativas, as ferramentas e os procedimentos
relativos às medidas defensivas passivas que devem ser adotados pelas OM
para as respectivas redes locais que compõem o ECiber-MB;
- assessorar a DGMM, na fase administrativa, e o ComOpNav, na fase operativa,
quanto às medidas defensivas a serem adotadas;
- assessorar a DGMM, na fase administrativa, e o ComOpNav, na fase operativa,
quanto ao nível de alarme a ser adotado;
- calcular e atualizar o nível do risco de ocorrência de ataques cibernéticos; e
- manter atualizada a publicação que versa sobre como efetuar a análise de risco
e implementar o processo de avaliação contínua no ECiber-MB.

Atribuições do CTIM
Compete ao CTIM:
- executar a defesa interna e externa do ECiber-MB, auxiliado pelos CLTI, pelas
OM e por outras estruturas ou equipes que podem ser ativadas para tarefas
específicas;
- fazer cumprir as determinações da DGMM, na fase administrativa, e do
ComOpNav, na fase operativa, para a manutenção do funcionamento normal do
ECiber-MB;
- efetuar a coordenação, por meio de uma Equipe de Tratamento e Respostas a
Incidentes em Rede (ETIR), com os outros órgãos da Administração Pública
Federal, conforme estabelecido pelo Comitê Gestor de Segurança da Informação
e aprovado pela Secretaria Executiva do Conselho de Defesa Nacional para a
resposta adequada independente do nível de alarme estabelecido; e
- realizar o monitoramento do ECiber-MB, auxiliado pelos CLTI e outros sistemas
designados.

OSTENSIVO 1-41
OSTENSIVO GUIA DE ESTUDO

Nas ações de Exploração e Ataque Cibernético

Em face das implicações políticas que podem advir de ações da


GC, bem como da necessidade de sincronização com outras ações da GC e
militares fora do ECiber, essas ações serão precedidas por um rigoroso
planejamento e por uma simulação, além de serem estabelecidas tal como uma
operação militar.
Na MB, o ComOpNav, a DGMM, a DCTIM, o CTIM, as unidades da
MB e, transitoriamente, o Comando Operacional possuem atribuições
específicas nas ações de exploração e ataque cibernéticos.
Atribuições do ComOpNav
Compete ao ComOpNav:
- planejar, coordenar e controlar todas as ações de exploração e ataque
cibernéticos;
podendo ser executadas mesmo em tempo de paz, independente do nível de
alarme cibernético; e
- coordenar, com os demais órgãos do Ministério da Defesa, as ações de
exploração e ataque cibernéticos.

OSTENSIVO 1-42
OSTENSIVO GUIA DE ESTUDO

Nas ações de Exploração e Ataque Cibernético

Atribuição da DGMM
Compete à DGMM apoiar o ComOpNav com pessoal e material
para a realização das ações de exploração e ataque cibernéticos.
Atribuição da DCTIM
Compete à DCTIM assessorar o ComOpNav na realização das
ações de exploração e ataque cibernéticos.
Atribuição do CTIM
Compete ao CTIM executar as ações de exploração e ataque
cibernéticos, auxiliado por outras estruturas ou equipes que podem ser ativadas
para tarefas específicas, conforme o planejamento efetuado pelo ComOpNav.

OSTENSIVO 1-43
OSTENSIVO GUIA DE ESTUDO

OSTENSIVO 1-44

Você também pode gostar