Cybersecurity Prologue

Cibersegurança - Importância

Houve várias violações de dados e ataques cibernéticos na história

recente. As organizações estão se esforçando ao máximo para evitar
violações de segurança.
Qualquer evento de segurança cibernética pode vandalizar a reputação
conquistada com muito esforço e a perda de grandes valores de
ativos. Já é tempo de as pessoas entenderem mais Cybersecurity e
serem cautelosas ao mesmo tempo.

Elementos do Curso

Bem-vindo ao curso Cybersecurity . Neste curso, você aprenderá os

seguintes tópicos.

 O que é cibersegurança?
 Programas maliciosos
 Princípios Básicos de Segurança
 Riscos, ameaças e vulnerabilidades
 Ameaças à segurança cibernética
 Arquitetura de segurança cibernética
 Incidentes de segurança cibernética
 Segurança do sistema operacional
 Proteção de Email
 Segurança de rede

Mundo cibernético

Seja apresentado aos diferentes crimes cibernéticos e ataques deste

vídeo antes de se aprofundar nos detalhes da segurança cibernética.

Noções básicas sobre segurança cibernética

Cybersecurity é o método de proteger programas, redes e sistemas

contra ataques digitais. A cibersegurança inclui tecnologias, processos
e controles .
Geralmente, cyber attacks destinam-se a danificar, modificar ou
acessar informações confidenciais; interromper processos comerciais
normais; ou extrair dinheiro dos usuários.
Por que a segurança cibernética é necessária?

 Ele protege a integridade e os dados dos ativos de

computação na rede de uma organização.
 Ele defende esses ativos contra todos os fatores de ameaça
durante todo o ciclo de vida de um ataque cibernético .

Manter o ritmo das estratégias e operações de segurança cibernética

pode ser um desafio, pois o ciberespaço se expande com tecnologias
como nuvem e computação móvel.

Definido a segurança cibernética

Neste vídeo, você entenderá mais sobre segurança cibernética.

O Office of Personnel Management nos EUA foi invadido em abril de

2015, resultando no roubo de aproximadamente 21,5 milhões de
registros de pessoal . Acredita-se que seja uma das violações
históricas mais importantes .

A violação de dados comprometeu as Informações de identificação

pessoal (PII), como números de seguridade social, nome e endereço.

Foco da segurança cibernética

O foco cybersecurityé prevenir, mitigar, detectar, investigar e

responder cyber attacks.

A complexidade do ciberespaço implica que existem listas

potencialmente intermináveis de attack scenariose malicious
programs. Você aprenderá sobre os diferentes programas maliciosos na
próxima seção!
O que são programas maliciosos?

Malicious programs ou Malwareforam projetados especificamente para

excluir, bloquear, modificar ou interromper o desempenho de
computadores e redes de computadores.

Os malwares incluem vírus , worms , cavalos de
Troia , spyware , adware , ransomware e scareware . Destes, Viruses
e Wormssão dois dos programas maliciosos mais familiares.
Worm e vírus

Vírus

 O vírus é um tipo de software malicioso que pode se auto-replicar

e se espalhar para outros sistemas ou hosts,
eventualmente corrompendo os sistemas .
 Requer um sistema operacional ativo / programa host ativo ou um
sistema já infectado para executar e causar danos.
 O vírus se espalha facilmente para outros hosts através de alguns
meios, sendo um dos meios mais frequentes o anexo de email .

Minhoca

 Ao contrário do vírus, o worm é um software independente que

não precisa de ajuda humana / programa host para se espalhar.
 Os worms podem avançar e se auto-replicar dentro de um sistema
usando recursos como processamento e memória.
 Entra no sistema através de uma vulnerabilidade e ataca os
recursos de transporte de informações / transporte de
arquivos do sistema.
Spyware e Adware

Spyware

Spywarefoi desenvolvido para extrair dados do computador host para fins

de marketing. Em seguida, transmite esses dados para um sistema
remoto sem o conhecimento do usuário.

Adware

Adwareé semelhante ao spyware, mas foi projetado para

publicidade. Como em uma tela pop-up.

Adware e Spyware são comumente conhecidos

como P otentially U Nwanted P rograma - PUP.

Um programa potencialmente indesejado (PUP) é um software que

pode ser considerado não essencial, cuja implementação pode
comprometer a privacidade ou enfraquecer a segurança do computador.
Ransomware e Scareware

Ransomware

 O ransomware mantém um sistema cativo e exige um resgate para

recuperar o acesso.
 O ransomware restringe o acesso ao computador, criptografando
arquivos no disco rígido ou exibindo mensagens destinadas a
forçar o usuário a pagar ao criador do malware para eliminar as
restrições e recuperar o acesso ao sistema.

Scareware

 O Scareware engana os usuários, fazendo-os acreditar que seu

computador foi infectado por um vírus e, em seguida, sugere
baixar e pagar por software antivírus falso.
 Geralmente, o vírus é fictício e o software não é funcional ou é um
malware.

Você sabia - O número de pacotes de scareware em circulação

aumentou de 2.850 para 9.287 somente no segundo semestre de 2008.
Fonte: Grupo de Trabalho Anti-Phishing

Trojan

Trojan é nomeado após o cavalo de madeira que os gregos usavam para

se infiltrar em Troia .
Após a ativação, um Trojan ataca um host das seguintes maneiras:

 Irritar o usuário abrindo janelas e alterando as áreas de trabalho.

 Danificar o host excluindo arquivos, roubando dados ou ativando
e espalhando outros malwares, como vírus.
 Replicar através da interação do usuário, como abrir um anexo
de email, baixar e executar um arquivo da Internet.

O Trojan é conhecido por fornecer acesso backdoor ao sistema para

usuários mal-intencionados.

Vírus, worms e cavalos de Troia - Diferenças

Tente saber um pouco mais sobre malware e a diferença entre vírus,

worms, cavalos de Troia, ransomware e spyware assistindo a este vídeo.
Worms e vírus notáveis

 Zeus (trojan) - direcionou o Microsoft Windows para coletar dados

bancários por log de pressionamento de tecla.

 Nimda(worm) - causou cerca de 530.000.000 de danos em uma

semana. Foi propagada localizando endereços de email e depois
anexando JavaScript.

 CryptoLocker (Trojan ransomware) - criptografa arquivos no disco

rígido do usuário e exige um resgate ao usuário para receber a
chave de descriptografia.

Botnets

Botnet phié derivado das palavras robô e rede .

 O objetivo de criar uma botnet é infectar o maior número possível

de dispositivos conectados.
 Bot é um dispositivo infectado por malware, que se torna parte de
uma rede de dispositivos infectados administrada por um único
invasor ou grupo de ataques.
 Procura dispositivos vulneráveis na Internet, em vez de segmentar
indivíduos, indústrias ou empresas em particular.

Malnets

 Embora as Botnets sejam amplamente usadas para distribuir

spam e malware a outros usuários , o Malnet é usado
para atrair e infectar usuários .
 As redes de bots são controladas por um único ou poucos
servidores de comando, enquanto as malnets implantam
infraestruturas de mudanças rápidas .

As infra-estruturas da Malnet permitem que os cibercriminosos abram

ataques dinâmicos que podem passar despercebidos por dias ou meses
pelos fornecedores de antivírus convencionais.

Malvertising

O novo conceito de disseminação de malware é até desafiador para

combater, pois pode entrar em uma página da Web e se espalhar por
um sistema sem o saber .
  O Malvertising está injetando anúncios maliciosos ou carregados
de malware em redes e páginas da Web genuínas de publicidade
on-line .
 É fácil para os invasores se espalharem por um grande número de
sites sem comprometê-los diretamente.
 O interessante sobre a propagação de infecções através da
publicidade maliciosa é que ela não requer nenhuma ação do
usuário , como clickingou downloading.
 Em 2017, o ransomware "WannaCry" impactou mais de 200.000
organizações em 150 países, usando a falha no software da
Microsoft.
 Muitas empresas como Telefonica, FedEx, Renault e NHS tiveram
um impacto significativo devido ao ransomware WannaCry.

Infecção: Sinais e Sintomas

Alguns sinais que podem indicar que seu sistema está infectado:

 Redução no desempenho devido a processos de execução lenta

 Instabilidades do sistema
 Páginas iniciais da Internet alteradas no seu navegador
 Os anúncios pop-up ocorrem frequentemente do que o habitual.
 Redirecionamento de navegador
 Funções desativadas
 Não foi possível conectar-se à Internet ou acessar funções de
controle de sistema de nível superior.
Prevenção - Antivírus

Software antivírus

 O software antivírus rastreia todos os arquivos que entram no

sistema a partir de várias fontes, como USB, correio ou sites , e
verifica se eles correspondem a algum de seus vírus ou
assinaturas de filhotes.
 Se eles corresponderem, normalmente os remove ou coloca em
quarentena.
 Aproximadamente 95% eficaz na detecção de vírus e filhotes, pois
novos vírus e filhotes são criados com freqüência.
 O software antivírus precisa ser atualizado continuamente para
que novas assinaturas possam ser incluídas.

Mitos

Estes são os seguintes mitos sobre vírus de computador:

  Uma mensagem de erro exibida no sistema simboliza a infecção
por vírus - Falso, pode significar problemas de software / hardware.
 Worms e vírus sempre precisam de interação do usuário - código
falso e malicioso é executado.
 Os anexos de e-mail recebidos de remetentes conhecidos são
seguros - Errado, eles podem ser utilizados para espalhar a
infecção.
 Programas antivírus encerram todas as ameaças - Não há 100%
de proteção.
 O malware não pode causar danos físicos aos sistemas - por
exemplo, Stunex Computer Worm

Tríade da CIA

O objetivo fundamental e fundamental de um sistema seguro é garantir

a confidencialidade , a integridade e a disponibilidade . Comumente
conhecido como CIA triad, é amplamente reconhecido em modelos de
garantia de informações.

Nesta seção, você entenderá mais sobre cada uma delas em detalhes!
Confidencialidade

Confidentiality é o atributo de segurança que visa obter privacidade

e proteção de dados contra divulgação não autorizada.

Informações de identificação pessoal (PIIs) incluem Seguridade

social; Informação do cartão de crédito; Números de conta; e
Informações comerciais, como dados financeiros, registros de
funcionários e segredos comerciais. Todos estes são classificados
como informações confidenciais .

Integridade

A proteção de dados contra modificações não autorizadas é

chamada Integrity.

 A integridade é comprometida quando dados ou informações são

alterados ou adulterados, acidental ou maliciosamente.
 Violação de Integridade - por exemplo, um aluno se registrando
nas notas e alterando sua nota de Física de D para A.

Prevenção de violações de integridade:

 Rede de auditoria para atividades incomuns ou suspeitas.

 Os sistemas de detecção de intrusão de software, como
o Tripwire , podem ser utilizados para examinar as somas de
verificação em busca de alterações não autorizadas.

Disponibilidade

Availability é o atributo de segurança que garante que dados e

serviços estejam disponíveis para usuários autorizados sempre que
necessário.
  Um ataque de negação de serviço é um ataque contra a
disponibilidade. Esse ataque envia várias solicitações a um
sistema para interromper serviços a usuários genuínos.
 Um ataque de negação de serviço distribuído (DDoS) é mais
perturbador, pois usa redes de bots para iniciar um ataque.

Protegendo Informações

Vazamentos de dados nem sempre são perceptíveis.

Protegendo Informações
 Encryption é uma das principais medidas para proteção contra
perda de confidencialidade.
 A criptografia transforma os dados em um formato não
decodificável, que não pode ser interpretado sem descriptografia, o
que requer uma chave secreta.
 Empresas e indivíduos devem permitir que apenas dispositivos,
processos ou indivíduos autorizados acessem os dados.

Mecanismos de proteção

 O sistema compatível com a CIA oferece mecanismos de

proteção que fornecem proteção em camadas aos dados.
 O uso de verificações adequadas e abordagem em camadas
aumenta a confidencialidade, a integridade e a
disponibilidade .
Modelo

 Multiple Layers - Controles diferentes protegem o sistema contra

várias ameaças que vêm em diferentes níveis.
 Abstraction - Usado para eficiência.
 Data Hiding - Mantém os dados não descobertos por pessoal não
autorizado.
 Encryption - Uma técnica usada para mascarar os dados originais
para que não possam ser interpretados imediatamente.

Os detalhes de criptografia serão abordados na próxima seção.

Verifique sua compreensão!

Se uma pessoa obtiver acesso não autorizado às informações da folha
de pagamento da empresa e ler os detalhes da folha de pagamento de
todos, que tipo de violação seria?

Integridade, Confidencialidade ou Disponibilidade?

Criptografia - Mundo da Criptografia

 A palavra cryptographyfoi estruturada combinando duas palavras

gregas 'Krypto' , que significa oculto , e 'grafeno' , que
significa escrita .
 Considerada para ser usada pelos egípcios em 1900 aC, a
criptografia permite a comunicação segura, apesar da existência
de terceiros maliciosos ( adversários ).
 A criptografia otimiza um algoritmo e uma chave para reconstruir
uma entrada de texto sem formatação em uma saída criptografada
em texto cifrado.
Nesta seção, você aprenderá mais sobre criptografia.

Tipos de criptografia
Duas categorias do algoritmo de criptografia incluem:

Algoritmo de criptografia simétrica

 Tanto a criptografia quanto a descriptografia usam a mesma

chave.
 Utilizado para criptografar grandes quantidades de dados (como
um banco de dados completo ou partição de disco), pois é rápido.
 Usado principalmente para privacidade e confidencialidade .

Algoritmo de criptografia assimétrica

 Usa dois conjuntos diferentes de chaves para criptografia e

descriptografia (chave pública e privada)
 Embora a chave pública possa ser compartilhada livremente, a
chave privada é mantida em sigilo,
 Muito lento e utilizado para criptografar dados menores que 2048
bits ou tamanho de chave menor
 Otimizado para criptografar chaves de criptografia simétricas, que
são utilizadas para criptografar blocos de dados muito maiores.
 Utilizado para troca de chaves , não repúdio e autenticação .
Como funciona a criptografia?

Texto simples

Qualquer linguagem transmitida e compreendida é um texto não

criptografado ou texto sem formatação. É legível por humanos.

Texto cifrado

O texto cifrado é um documento escrito ou linguagem de texto na qual o

texto simples alterou sua forma, uma forma que não pode ser
comunicada, lida ou compreendida. Também é chamado de texto
criptografado.

Como funciona?
  O texto sem formatação é criptografado antes de transmitir pela
mídia.
 A mensagem criptografada em texto cifrado, que é aceita na
extremidade do meio e descriptografada para receber a mensagem
em texto sem formatação original.

Aplicações de criptografia

• Integrity check- A criptografia usa a função hash , para garantir que

os dados não foram modificados, apagados ou perdidos de maneira
acidental ou não autorizada.
• Authentication- Identifica e valida positivamente uma entidade em um
sistema, como a assinatura de um contrato eletrônico. Ele usa uma
assinatura digital ou código de autenticação de método.

Riscos, ameaças e vulnerabilidades

A compreensão da cibersegurança precisa de um entendimento

completo dos termos Ativos , Riscos , Ameaças e Vulnerabilidades .

1. Ativos

 Ativos podem ser recursos tangíveis e intangíveis aos quais pode

ser atribuído um valor.
 Exemplo de ativos tangíveis são impressoras e computadores.
 Os ativos intangíveis consistem em segredos comerciais, bancos
de dados e registros da empresa.
Riscos, ameaças e vulnerabilidades

2. Ameaças

O provável perigo que, em geral, é difícil de controlar. As ameaças

podem envolver natureza, terroristas ou funcionário infeliz.

3. Vulnerabilidades

Fraqueza ou falha de segurança em um sistema. As ameaças podem

explorar ativos se estiverem vulneráveis. Um sistema conectado à
Internet pode mostrar uma vulnerabilidade se não for remendado.

4. Riscos

Os riscos ocorrem inesperadamente e são uma mistura

de vulnerabilidades e ameaças .
Ameaças, vulnerabilidades e explorações

Tópico: Ameaças, Vulnerabilidades e Explorações. O apresentador é

Dan Lachance.] Neste vídeo, falaremos sobre ameaças, vulnerabilidades
e explorações. A primeira coisa a dizer é que os termos geralmente são
confusos. Portanto, a distinção entre ameaças, vulnerabilidades e
explorações é muito importante por vários motivos. Por exemplo, quando
analisamos a documentação que se refere a esses termos ou a criação
ou uso de políticas de segurança organizacional. É importante entender
que, quando falamos de segurança, o elo mais fraco de uma cadeia
define essencialmente sua postura de segurança; portanto, é importante
que identifiquemos esses elos fracos e façamos algo a respeito
deles. Com uma ameaça, precisamos ter um inventário de ativos que
precisam ser protegidos contra essas ameaças. Portanto, um inventário
de ativos nos permite realizar uma análise de ameaças contra esses
ativos. Podemos então determinar que tipo de impacto negativo sobre
um ativo pode ser realizado. Então, essencialmente, esta é uma análise
de impacto. Ativos e ameaças precisam ser priorizados para que, assim,
energia e recursos possam ser alocados de acordo. Uma vulnerabilidade
é uma fraqueza. Pode ser aplicado no nível do hardware em que o
firmware está desatualizado, por exemplo, em um roteador sem fio que
possui vulnerabilidades conhecidas ou pode ser a falta de controles
físicos de segurança. Talvez os servidores estejam atrás de uma porta
trancada. No nível do software, uma vulnerabilidade pode ser exposta até
que as atualizações de software sejam aplicadas. Frequentemente, as
atualizações de software abordam esse tipo de problema. Mas, às vezes,
uma configuração incorreta do software pode apresentar uma
vulnerabilidade que pode ser explorada por um usuário mal-intencionado.

Uma exploração tira proveito de uma vulnerabilidade ou fraqueza. Agora,

isso pode ser feito legitimamente quando realizamos testes de
penetração para identificar essas vulnerabilidades que realmente podem
ser exploradas, pois podemos mitigá-las de alguma forma. Mas, ao
mesmo tempo, usuários mal-intencionados podem explorar uma
vulnerabilidade conhecida se não tivermos implementado um controle de
segurança para mitigar essa vulnerabilidade. Explorações de dia zero
são aquelas que não são conhecidas pelos fornecedores ou pela
comunidade geral de segurança de TI. No entanto, é conhecido por um
ou mais usuários mal-intencionados e eles podem tirar proveito
deles. Em alguns casos, explorações de dia zero podem ser detectadas
indiretamente com algum tipo de sistema de detecção ou prevenção de
intrusões. Porque está realmente procurando atividades suspeitas fora
da norma, o que pode indicar algum tipo de ataque de dia zero. Um
exemplo de ameaça seria a perda de disponibilidade de dados. Agora
isso pode ser por várias razões, porque um servidor travou ou porque os
arquivos foram bloqueados devido ao ransomware. Uma vulnerabilidade
pode ser a falta de conhecimento do usuário no treinamento que pode
levar a algo como ransomware, em que o usuário abre um email e abre
um anexo de arquivo que eles não pediram ou não estavam
esperando. A exploração, é claro, enganaria o usuário de alguma forma a
abrir algo como um anexo de arquivo que geraria ransomware. Neste
vídeo, discutimos ameaças, vulnerabilidades e explorações. Uma
vulnerabilidade pode ser a falta de conhecimento do usuário no
treinamento que pode levar a algo como ransomware, em que o usuário
abre um email e abre um anexo de arquivo que eles não pediram ou não
estavam esperando. A exploração, é claro, enganaria o usuário de
alguma forma a abrir algo como um anexo de arquivo que geraria
ransomware. Neste vídeo, discutimos ameaças, vulnerabilidades e
explorações. Uma vulnerabilidade pode ser a falta de conhecimento do
usuário no treinamento que pode levar a algo como ransomware, em que
o usuário abre um email e abre um anexo de arquivo que eles não
pediram ou não estavam esperando. A exploração, é claro, enganaria o
usuário de alguma forma a abrir algo como um anexo de arquivo que
geraria ransomware. Neste vídeo, discutimos ameaças, vulnerabilidades
e explorações.
Risco

O risco pode ser representado como ameaça multiplicada por

vulnerabilidades .

Conseqüentemente, para conhecer o risco para os ativos, as possíveis

vulnerabilidades e ameaças devem ser analisadas.

Risk = Threat * Vulnerability

 Risco é o comportamento de uma ameaça que utiliza uma

vulnerabilidade.

 Um risco pode causar interrupção nos negócios, perda financeira

ou até perda de vidas.
Cenário - Determinação de risco

Você precisa entender esta breve história The Three Little Pigs and
wolfpara entender o processo e o significado da realização da Análise de
Risco.
Havia três porquinhos.

 O primeiro porquinho construiu uma casa de palha , mas o lobo a

derruba e come o porco.
 O segundo porquinho construiu uma casa de gravetos , mas o
lobo também o sopra e come o porco.
 O terceiro porquinho construiu uma casa de tijolos , que o lobo
não pode derrubar.

Então agora, como você executaria a análise de risco ?

Três Porquinhos - Análise de Risco

Ameaça
Como você vê nos três cenários, a ameaça é 100% quando o lobo tenta
explodir a casa.

Vulnerabilidade

No entanto, quanto à vulnerabilidade, é onde a mudança ocorre.

 Casa de palha - 90% vulnerableque será destruída.

 Casa da vara - 40% vulnerablecomo o lobo tem menos chance
em comparação com uma casa de palha.
 Casa de tijolos - 0% vulnerableesse lobo não pode destruí-lo.

Inferência

A vulnerabilidade pode ser corrigida, portanto, você deve verificar e

abordar vulnerabilidades regularmente.

Zero Risk

Existem cenários com ameaças. No entanto, se não houver

vulnerabilidade, não haverá nenhum risco . Da mesma forma, se
houver vulnerabilidade, mas nenhum sinal de ameaça, não haverá
risco .

A seguir!

Espero que você entenda que a vulnerabilidade pode ser corrigida e,

portanto, precisa ser tratada regularmente . Isso, por sua vez, ajudaria
a reduzir riscos.
Vamos aprender sobre as superfícies de ataque no próximo tópico.

O que é um ataque?

O ataque pode comprometer a segurança dos dados. Os dois tipos

de ataques são ativos e passivos .
Ataque Passivo

 Rastreamento de transmissões para capturar informações sem o

conhecimento do usuário.
 Isso não é invasivo.
 Por exemplo : Capturando senhas ou arquivos de dados.

Ataque ativo

 Aqui, o invasor tenta colidir com sistemas seguros para modificar

ou roubar informações ou para criar código malicioso.
 Por exemplo : Infundir programas maliciosos, como cavalos de
Tróia, vírus ou worms nos sistemas.

Tipos de ataque

Phishing
É uma das ameaças cibernéticas críticas de todos os tempos. O principal
objetivo do phishing é enganar ou distrair a vítima e obter todos os
detalhes confidenciais, como número do cartão, senha, conta bancária e
endereço. O phishing se espalha por telefone ou email.
Ataque de senha
Os hackers não exigem URLs, códigos ou e-mails falsificados para
realizar esse ataque. Eles podem executá-lo quebrando senhas. Os
crackers podem implantar qualquer ferramenta de quebra de senha para
desencadear esse ataque.
Download Drive-By
O download do drive-by pode ser acionado apenas visitando um
site. Após entrar no site, downloads incomuns podem ser acionados sem
a intervenção dos usuários, resultando na instalação de um malware no
sistema.

Agora, você entenderá sobre as superfícies de ataque!

O que é uma superfície de ataque?

Uma superfície de ataque indica quaisquer vulnerabilidades prováveis,

desconhecidas ou conhecidas nos campos de exposição,
como Software , Hardware , Rede e Usuário .
Para reduzir riscos, a superfície de ataque precisa ser diminuída.
Superfícies de ataque - Software e Hardware

Superfície de ataque de software

 Consiste em páginas da web, DLLs, executáveis, configurações,

serviços e aplicativos disponíveis para usuários autorizados.
 Destina-se a apontar vulnerabilidades que podem causar qualquer
problema, desde uma falha no sistema até um pequeno
aborrecimento.

As vulnerabilidades de software incluem injeção de código e estouro de

buffer.
Superfície de ataque de hardware

 Ataques de hardware também podem ser realizados através de

uma conexão de comunicação de rede .
 O hardware pode criar uma plataforma para um ataque, mas é
necessário acesso físico ao sistema.

As vulnerabilidades de hardware cobrem itens que os usuários instalam,

como drives flash plug-in ou software.
Superfícies de ataque - rede e usuário

Superfície de ataque de rede

A superfície de ataque à rede compreende interfaces, portas,

aplicativos, dispositivos, protocolos e exposição a canais.

A superfície de ataque da rede pode ser reduzida executando as

seguintes ações:

 Garantir que apenas os recursos necessários estejam ativados

 Fechando portas desnecessárias
 Implementando sistemas de prevenção de intrusões
 Implementando firewalls

Superfície de ataque do usuário

 Os usuários são o canal mais fraco na superfície de ataque do

usuário.
  A superfície de ataque do usuário pode ser rastreada e bloqueada
por log e auditoria .

Superfície de ataque

Com o advento de novas tecnologias, como a Internet das Coisas (IoT),

computação móvel e nuvem, a superfície de ataque continua a subir .

Todas as superfícies de ataque devem ser tracked, monitored, and

checked.

Ameaça à segurança cibernética

Ameaça à segurança cibernética é um cenário que tenta explorar

possíveis vulnerabilidades para violar a segurança; impactando assim
um negócio em andamento.
É muito crítico devido ao aumento
da exposiçãoInternet , crescimentowireless technology e evolução
de vários dispositivos inteligentes ( Internet of Things) .

Cenário de exemplo : hackers ou criminosos cibernéticos podem querer

invadir contas bancárias ou coletar informações pessoais e até bloquear
ou criptografar seus dados para exploração.

Classificação de ameaças

Malicious: Um hacker ou funcionário insatisfeito que está interessado

apenas em um ativo ou informação específica.

Non-Malicious: Ataque que ocorre devido a fatores negligenciados que

comprometem a segurança.
 Um ataque não malicioso pode afetar uma pessoa ou empresa das
seguintes maneiras:
o Informações de compromisso : roubo de informações e
recuperação de materiais descartados.
o Funções de compromisso : erro em sua função e abuso de
direitos.

Ameaças persistentes avançadas

A ameaça persistente avançada (APT) é um tipo de ataque à rede, em

que uma pessoa não autorizada obtém acesso a uma rede e permanece
lá sem ser detectada por um longo período. A principal intenção do APT
é roubar dados em vez de danificar a rede ou organização.
Características do APT:

 O APT tende a ser altamente customizeda direcionado a um alvo

específico.
 A implantação é semi-automatede opera lentamente para passar
despercebida.
 É específico, objectivos dependendo da fonte do ataque, que pode
mudar com o tempo.
 O APT segue este método: Infiltra te para ocultar e continuar sua
operação.
 É preciso command and control fornecer atualizações de malware
personalizadas.
Ameaça Botmaster

 A maioria dos ataques cibernéticos está

sendo automatedou semi-automatedpor um grupo específico de
Botmasters.

 O ataque cibernético geralmente começa com um conhecido URL

address. Então, examinando seu LAN or internetespaço, ele
também pode explorar todos os seus sistemas vulneráveis
associados.

Modelagem de ameaças

A modelagem de ameaças é um processo pelo qual as possíveis

vulnerabilidades e ameaças podem ser reconhecidas, enumeradas e
priorizadas - tudo na visão de um invasor hipotético.

Considerações
  Identificar objetivos de segurança - Os objetivos de segurança
são os objetivos que influenciam significativamente as restrições
de confidencialidade, integridade e disponibilidade de dados e
aplicativos em um sistema.
 Pesquise o aplicativo - analise e identifique ativos, fluxo de dados
e limites de confiança (diagrama de componente UML).
 Decompor o aplicativo - identifique os recursos e módulos que
compõem um aplicativo (como um módulo valida e processa dados
antes de armazená-lo).
 Identifique ameaças e vulnerabilidades - É essencial considerar
ameaças não apenas da perspectiva cibernética, mas também de
todo o espectro físico, pessoal e pessoal.

Avaliação e Gestão

Análise estática
A análise estática ou de código é realizada dissecando os diferentes
recursos do arquivo binário sem executá-lo e estudando cada
componente. Exemplo: Análise usando código de Máquina ou
Montagem.

Análise dinâmica
A análise dinâmica ou comportamental é feita observando o
comportamento do malware e geralmente é executada em um ambiente
virtual sandbox para impedir que o malware realmente infecte os
sistemas de produção.

Gerenciamento de ameaças
O Gerenciamento de ameaças é a melhor prática para gerenciar
ameaças cibernéticas que permite a identificação precoce de
vulnerabilidades usando análise situacional orientada por dados.

 Threat analytics: Coleta de dados de inteligência manual e

automatizada
 Behavioral modeling: Monitoramento em tempo real
 Advanced analytics: Fornecer consciência situacional

Você sabia?

Em junho de 2007, oficiais dos EUA divulgaram que hackers invadiram o

Pentágono por meio de um ataque direcionado a elementos do
sistema de e- mail e o chamaram de ataque cibernético de maior
sucesso na época no Departamento de Defesa dos EUA.

Mitigação de Riscos

Reduza os riscos preventing cyberattacksusando várias ferramentas,

políticas, práticas recomendadas e diretrizes relacionadas à segurança
disponíveis com as tecnologias mais recentes.

PASSO - É um modelo de classificação de ameaças que ajuda a limitar a

ameaça potencial de falsos positivos. Este modelo é usado para ajudar a
raciocinar e encontrar ameaças a um sistema.

 S poofing - de identidade de usuário válida

 T ampering - O mau uso do leia usuário final acesso / gravação.
 R epudiation - Falsa negação de origem ou recebimento.
 I nformação divulgação - Dados / vazamento de informações
 D enial de Serviço - Recursos indisponíveis para os seus usuários.
 E elevação de privilégio - explorar um bug para obter acesso de
administrador.

Etapas de mitigação

i) Classificar ativos - classifique os ativos de informações com base no

significado dos negócios.
ii) Mantenha-se informado - as equipes de TI e segurança precisam se
manter atualizados sobre os mais recentes ataques de ameaças.
iii) Controles eficazes - É fundamental e é necessário um controle de
monitoramento contínuo.
iv) Governança e relatórios - Informar a alta administração sobre
políticas e mecanismos de controle de segurança cibernética.

Caça às ameaças cibernéticas - Previsão

A caça às ameaças cibernéticas é um processo proativo para prever

riscos potenciais de forma eficiente, usando as seguintes coisas.

 A análise de big data pode ser usada para detectar ameaças

persistentes avançadas longas e lentas.
 Aprendizado de máquina e UEBA - Entidade do usuário e
Behavior Analytics
  Feeds de inteligência - Feeds de inteligência contra ameaças,
análise de malware e varreduras de vulnerabilidades

Inteligência contra ameaças

A inteligência sobre ameaças é necessária nos seguintes níveis.

 Nível estratégico - Análise e relatórios de

pesquisa. Exemplo: Duqu 2.0 reportda Kaspersky publicado como
resultado da análise de malware.

 Nível tático - Troca de informações entre comunidades

operacionais. Exemplo: FS-ISACé uma comunidade de
compartilhamento de inteligência para o setor bancário.

 Nível operacional - os protocolos de feed em tempo real são

usados em uma comunidade. Exemplo: STIX TAXIIprotocolo.

Arquitetura de segurança cibernétic

Riscos e controles de arquitetura

Riscos
 A arquitetura de segurança deve identificar e proteger contra
riscos. Para um gerenciamento eficaz, deve ser uma atividade
operacional contínua .
 Exemplo : Para manter o SLA mínimo de 98%, é possível definir o
parâmetro SLA de controle de segurança em 98,5% para executar
as ações apropriadas quando necessário para evitar o risco de
penalidade.

Controles
 Na definição de controle da arquitetura de segurança, não é
recomendável definir um parâmetro; portanto, precisamos definir
controles nos diferentes estágios para detectar e evitar possíveis
ameaças.
  Exemplo : para um melhor controle, é possível definir cinco níveis
de controle de segurança do SLA, cada um entre 98,9 e 98,5,
respectivamente, juntamente com os pontos de ação.

Estrutura SABSA

 S Herwood A pplied B usiness S egurança Um quadro rchitecture
(Sabsa) é um framework open source e é usado para criar a
arquitetura de segurança da empresa.
 Um método orientado a riscos baseia-se no analysis of the
business requirements
 O objetivo principal é proteger os negócios com o nível de
segurança necessário.
 O SABSA Framework é geralmente representado como matriz
6X6 SABSA .

Matriz SABSA

A matriz 6X6 SABSA é dividida em quatro matrizes 3X3 para melhor

representação.
Na parte da estrutura de arquitetura, uma empresa considera
suas políticas de
segurança , risco , processo , controle , atributos , informações e es
tratégias .

Matriz SABSA

 Antes de projetar a arquitetura de segurança, você

deve identificar e definir privilégios baseados em função para
associados que trabalham em locais diferentes, de acordo com o
cronograma necessário.
Matriz SABSA

 Na fase de design da Arquitetura de segurança, você deve

considerar componentes físicos e operacionais, como estrutura de
dados, modelo, práticas padrão, ferramentas de produto e
serviços de suporte necessários.
Matriz SABSA

Por fim, a interface do usuário e os aplicativos devem fornecer suporte

à plataforma de segurança para todos os agendamentos operacionais
identificados e suas funções comerciais correspondentes.

Você sabia?

No ano de 2016, uma grande quebra de cartão de débito atingiu grandes

bancos indianos, como SBI, ICICI Bank, HDFC Bank, Yes Bank e Axis
Bank, comprometendo até 3,2 milhões de cartões de débito. É
considerada uma das maiores violações de dados financeiros de todos
os tempos na Índia.
Verificou-se que a violação se originou de um malware que foi
introduzido nos sistemas da Hitachi Payment Services, um provedor de
caixas eletrônicos e serviços de ponto de venda.
Gerenciando Identidade

 Para gerenciar identidades de usuários e direitos de acesso ,

você deve mapear de acordo com asbusiness roles and
responsibilities.
 Um dos recursos avançados do gerenciamento de acesso é single
sign-onque o usuário efetua login automaticamente durante toda a
sessão após o login inicial bem-sucedido.
Exemplo : no TCS, para alunos ativos, o logon SSO acontece do iEvolve
ao site Skillsoft (fornecedor de conteúdo externo) para uma experiência
de aprendizado tranquila.

Monitoramento e Prevenção

Parte Monitoramento da arquitetura de segurança inclui várias

ferramentas de detecção para monitorar invasões de malware e lançar
alertas por Reviewingde eventos relacionados à segurança e Loggingde
eventos relacionados à segurança.
Mecanismo preventivo pode existir no firewall, nos servidores de
correio ou em qualquer dispositivo de terminal .

Gerenciamento de Incidentes

Incidente é um evento que pode levar à interrupção operacional dos

negócios.

O gerenciamento de incidentes é um conjunto de atividades realizadas

para preparar , identificar , analisar e resolver problemas para evitar
futuros incidentes.

Você entenderá mais sobre incidentes nesta seção.

Preparar, detectar e analisar

Preparação

 Envolve o treinamento da equipe de resposta a incidentes após o

estabelecimento de ferramentas, processos e recursos
necessários .

Os incidentes devem ser priorizados com base no impacto nos negócios.

Detecção e Análise
  Um processo contínuo que geralmente requer tanta intuição
quanto inteligência para detectar qualquer invasão de malware e
suas conexões remotas.

Muitos incidentes exigem investigações adicionais para encontrar a fonte

e os motivos do ataque, além da contenção e erradicação de sistemas
afetados e vulneráveis para atividades de recuperação.

Resposta a Incidentes - Ciclo de Vida

 Preparação - Envolva a equipe e defina os procedimentos

necessários para orientação.

 Detecção e análise - trabalhe em incidentes que exigem

investigações adicionais para encontrar a fonte e os motivos do
ataque.

 Contenção, Erradicação e Recuperação - Assuma o controle do

incidente antes que ele piore e remova e recupere o sistema
afetado com segurança.
 Atividades pós-incidente - Documente o resultado do
aprendizado, juntamente com as medidas e controles necessários.

 Ocorreu uma violação de segurança cibernética entre maio e

julho de 2017 na US Equifax Inc.

 Os invasores cibernéticos acessaram aproximadamente 145,5

milhões de dados de consumidores dos EUA
Equifax, incluindo nomes completos, números do Seguro Social,
informações sobre cartão de crédito, datas de nascimento,
endereços e números de carteira de motorista.
Tratamento e resposta a incidentes
Neste tópico, quero falar sobre uma metodologia para gerenciamento e

resposta a incidentes de segurança. Você pode ver aqui, existem 14

etapas ou 14 fases. E eu prometo a você que não vou pedir para você

memorizá-las e, você sabe, anotá-las em um exercício mais tarde. Você

também não precisará fornecer essas informações no exame CISA. É

importante perceber que você precisa ter um plano formal de resposta a

incidentes. Tem que ser estabelecido e estas são as fases. Obviamente,

a primeira fase envolve planejamento, coleta de informações, que é

sempre a primeira fase de praticamente tudo o que fazemos. Que, sem

um bom planejamento, tudo vai desmoronar. Depois que um evento é

detectado, essa é a fase de detecção. E isso pode ser conseguido com

uma ampla variedade de metodologias, sistemas de detecção de

intrusão, sistemas de prevenção de intrusões. Pode ser simplesmente

uma chamada ou um email para uma central de serviços ou uma central

de ajuda. Pode ser uma interrupção, pode ser uma grande variedade de

coisas que estão enviando alertas e alarmes para estações de

gerenciamento e monitores em tempo real. E, assim que for detectado,

você inicia o processo de tratamento de incidentes, todo o processo deve

ser registrado. E isso pode até ser gravado, você sabe, como o primeiro

atendedor está falando em um pequeno dispositivo de gravação

portátil. Eu já vi isso feito pela perícia e socorristas. Ou, é claro, apenas

anotando e documentando. Ao gravar o processo, você avaliará o dano

causado, a extensão do incidente. Por exemplo, se é um worm lançado

por um programa de cavalo de Tróia, você deseja tentar contê-lo

imediatamente. E isso significaria, você sabe, desconectando da

rede. Você não deseja desligar as máquinas porque deseja ir em frente e

reter a eletricidade para a máquina, para que você tenha os dados na

memória e nos buffers porque pode extrair isso. Você pode filtrar isso

das unidades de disco para usá-lo no processo forense. Mas remover o

dispositivo da rede é sempre uma boa ideia. E então você pode usar as

ferramentas necessárias para erradicar o vírus em quarentena ou o

arquivo em quarentena. Se você não conseguir, o próximo passo é

escalar isso. Escale isso para colegas de trabalho, outros que têm mais

experiência. Convide uma equipe de tratamento de incidentes, uma

equipe de resposta, talvez uma terceira parte ou um nível mais alto da

sua central de atendimento. Depois de escalar isso para um nível

superior, os indivíduos da equipe responderão aos incidentes

escalados. Você' Você passará pelo processo de recuperação assim que

resolver o problema, então estamos assumindo aqui, na fase dez, que

durante a etapa sete, onde você erradica. Ou onde você escalar e

responder, você chegará à fase de recuperação, onde você voltará ao

normal, ok? Você obtém os sistemas, os aplicativos, os serviços de volta

ao estado normal antes do incidente. E, claro, isso encerra onde você

fecha o ingresso ou o evento. Você está gravando o processo por aqui,

então adicionará essas informações ao seu relatório oficial. Então, você

irá gerar um relatório oficial. Você fará uma revisão posterior da situação,

porque obviamente isso documentará tudo o que você fez. E então isso é

adicionado aos seus recursos corporativos, seus ativos ambientais como

lições aprendidas. Portanto, da próxima vez que ocorrer um incidente ou

um surto semelhante, você terá todas essas informações. Faça este

processo de 14 etapas para ajudá-lo a seguir em frente. Neste vídeo,

analisamos a técnica de manipulação e resposta de 14 etapas ou 14

fases.

Ferramenta de Avaliação de Maturidade de Resposta a

Incidentes

A Crest UK desenvolveu uma ferramenta de código aberto, a avaliação

da maturidade da resposta a incidentes , que é uma ferramenta
baseada em planilha usada para avaliar a prontidão de uma organização
para sua resposta a um ataque cibernético.
Segue três fases, como Preparação , Resposta e Acompanhamento .

Resposta a Incidentes

Preparação

 Realize uma avaliação crítica da sua organização.

 Realize uma análise de ameaças à segurança a partir de
incidentes práticos.
 Considere a implicação de pessoas, processo, tecnologia e
informação .
 Crie uma estrutura de controle apropriada .
 Revise seu estado de prontidão.

Resposta

 Identifique o incidente de segurança cibernética.

 Defina objetivos e investigue a situação.
 Tome as ações necessárias pré-aprovadas ou necessárias.
 Recupere dados e conectividade dos sistemas.

Atividades pós-incidente

Abaixo estão as atividades de resposta a incidentes recomendadas:

Acompanhamento

 Investigue os incidentes mais detalhadamente.

 Relatar incidente às partes interessadas relevantes.
 Realize uma revisão pós-incidente.
 Atualize as principais informações, controles e processos.
 Realize análise de tendências.
 Comunique e compartilhe as lições aprendidas.

Categoria de incidente

 A categoria de incidente pode ser definida de acordo com as

prioridades da empresa, desde os incidentes de teste até qualquer
ataque não autorizado.
 O precursor nos mostra que o incidente pode ocorrer. Example: O
alarme da tripulação de cabine seria um precursor de qualquer
incidente de companhia aérea.
 O indicador mostra que o incidente pode ter ocorrido. Example:
Indicação de violação da% mínima exigida de SLA.

Ponto crítico de decisão

O desafio responsivo é manter o equilíbrio ideal entre under

responsive(ser vulnerável) e over responsive(risco de falso
alarme) .

 Deep packeta inspeção pode ser usada para dar mais contexto

ao precursor ou indicador.
 Se um indicador se transformou em um incidente, a priorização
talvez seja a mais importante critical decision pointno processo
de tratamento de incidentes.
O que é autenticação de usuário?

User Authenticationé um processo que permite que um dispositivo

verifique a identidade e autenticidade de uma pessoa que precisa se
conectar a um recurso de rede.

Ao se autenticar em um sistema, você usa uma das três coisas a seguir:

 Senha (simples e barata)
 Cartão inteligente ou um token
 Biométrico , como impressão digital, reconhecimento de íris ou
reconhecimento de voz .

Explore mais sobre autenticação do usuário nesta seção.

Senha - A Palavra Secreta!

Password autentica e permite o acesso ao sistema.

As senhas são uma mera sequência de caracteres e são propensas a
problemas de segurança. Devem ser tomadas medidas para criar senhas
fortes.
A seguir, são apresentadas algumas maneiras de criar senhas
fortes:

 Comprimento de pelo menos oito caracteres.

 Combinação de letras maiúsculas ou minúsculas, números, sinais
de pontuação e símbolos.
 Usando senha para uma senha ainda mais forte. Por
exemplo,LetsGototheba!!park

Cartão Inteligente - Mundo Encolhido

Smart card é um pequeno cartão do tamanho de um cartão de crédito

com um chip incorporado, contendo informações sobre o usuário.
 Informações do usuário, como inclinação para compra e crédito,
dados do programa de fidelidade e até informações médicas são
capturadas no cartão inteligente.
 Ele também pode armazenar dados de identificação, como
impressões digitais e senhas, e pode ser usado como um token de
segurança. Ele contém chaves de criptografia usadas para
sistemas de criptografia de dados.
Usado para controle de acesso. Alguns exemplos como:

 Acesso dos funcionários e crachás de identificação.

 Cartões de sócio para boates.
 Cartões de acesso VIP.
 Cartões bancários que permitem acesso a fundos.

Cartão inteligente para autenticação multifatorial

Os cartões inteligentes geralmente são usados como parte de

uma multifactor authentication solução.
Cenário:
Um usuário passa o cartão no leitor de cartão inteligente.

 O cartão implementa várias formas de autenticação, como

a password or biometric identifier.
 O cartão inteligente processa os dados, o que elimina a
necessidade de transmissão de dados para outra máquina. Ajuda
a reduzir a ameaça de roubo de dados .
Agora, você terá uma visão detalhada da autenticação biométrica no
próximo tópico.

Autenticação biométrica

Biometrics autenticar usando atributos ou comportamento exclusivos de

um indivíduo.
Obviamente, é a maneira mais cara de provar a identidade. A biometria
reconhece um indivíduo verificando a biométrica capturada com o
modelo biométrico armazenado no sistema.

A biometria é dividida em duas categorias :

 Behavioral Trait com base nas atividades de uma pessoa, como

caminhada, assinatura ou voz.
 Physiological Biometricscom base em medições de partes do
corpo, como Mão, rosto, impressão digital ou íris.

Eles são usados em sistemas de autenticação multifator. Por exemplo,

você colocaria sua impressão digital em um sensor e depois colocaria
seu pino ( autenticação multifatorial ).
Biometria - Explained

 A biometria pode durar permanentemente por toda a

vida. Simplifica o controle de acesso em dispositivos e redes.

Comportamental:

 Gaité um biométrico mais recente. É assim que alguém caminha, e

podemos capturar essa marcha à distância.
 Signature - É assim que alguém assina, a pressão do golpe e as
curvas.
 Voice Recognition- Reconhece quem está falando, a inflexão e os
padrões de seu discurso. No entanto, é diferente do
reconhecimento de fala.

Fisiológico:

 Hand geometry é uma das primeiras biométricas e mede cada

dedo e as mãos como um todo.
  Facial recognition - Uma câmera digitaliza o rosto e identifica os
principais indicadores, o nariz, a testa e as bochechas.
 Iris recognition - Identifica a parte colorida do olho e os padrões
de uma íris são muito únicos.

A biometria seria mais útil no futuro.

Sistemas de biometria e controle de acesso automático

Este vídeo fala sobre biometria, que está sendo usada em sistemas de
controle automático de acesso.

Apresentando o RADIUS

Um dos métodos usados para o controle de acesso de usuários externos

é o Serviço de Usuário Dial-In de Autenticação Remota ( RADIUS).
O RADIUS Security está sendo usado para executar as seguintes
atividades:

 Autentique clientes e determine quem eles são.

 Autorize o que os clientes podem ou não fazer em uma rede.
 Monitorar e registrar atividades na rede com Contabilidade.

Uma extensão do RADIUS, chamada Sistema de Controle de Acesso

ao Controlador de Acesso ao TerminalTACACS , é muito semelhante
ao RADIUS.

 O controle de acesso para roteadores, servidores de acesso à rede

e outros dispositivos de computação em rede é fornecido por ele.

Três elos da cadeia de segurança RADIUS

Autenticação, Autorização e Contabilidade (AAA) são os fundamentos da

segurança efetiva da rede. Um dos principais protocolos de rede AAA é
o RADIUS .

O email

O email é uma das ferramentas de comunicação mais usadas para

uso pessoal e comercial.
  Os e-mails representam um risco de alta segurança.
 Os e-mails carregam conteúdo abusivo , incluindo lixo eletrônico e
spam.
 A criação de endereços de email ocorre quando um email é
enviado por malware, incluindo vírus e worms, spammers e
ataques de phishing.

Todos os emails abusivos têm um endereço de remetente falso,

ocultando o endereço real do remetente. Ser anônimo é a chave para
efetivamente representar uma identidade para obter senhas ou dados
pessoais.

Nesta seção, você entenderá mais sobre as ameaças à segurança de

email.

Ameaças à segurança de email

O cliente de email se torna vítima de várias atividades maliciosas
introduzidas por email. Diferentes tipos de ameaças à segurança de
email incluem:

Spam

 Spam é um termo usado para emails indesejados ou abusivos.

 Está inundando um sistema de email com várias mensagens
indesejadas.
 O spam segmenta destinatários de email com mensagens de mala
direta.
 O objetivo de um remetente de spam é alcançar o maior número
possível de destinatários, com a intenção de que alguns possam
responder.

Spoofing

 A falsificação é uma das técnicas usadas ao enviar email de spam.

 Esconde a entidade real. Quando se olha para um e-mail From:
field, ele parece legítimo, mas geralmente não é.

Ameaças à segurança de email

Phishing

 Alguém falsifica sua identidade e lança uma ampla rede para

muitos destinatários. Esse ato é conhecido como phishing.
 Geralmente, os destinatários são redirecionados para um site
falso, onde podem ser solicitados a inserir informações pessoais
ou, mesmo com um clique, eles podem baixar um vírus.

Pharming

 Pharming está relacionado ao phishing; no entanto, ele usa o

código malicioso.
 Redireciona os usuários para sites falsos e usa uma técnica
chamada envenenamento de cache DNS .

Mecanismos de defesa

60% dos emails recebidos em uma organização são marcados

como spamtodos os anos.
Os e-mails podem ter uma grande variedade de extensões . A proteção
contra malware reconhece essas extensões como possíveis ameaças e
fica em quarentena.
Scripts incorporados no email e podem ser executados quando um
usuário abre o email e conclui algum ato malicioso.

Mecanismo de defesa

O que você deve fazer para se defender?

 Tenha cuidado ao abrir e-mails.

 Verifique antes de clicar em um link em um email se não tiver
certeza.
 Exclua se você suspeitar de algo suspeito.
 Use um antivírus com as definições de vírus atualizadas usando a
proteção em tempo real.
 Não compartilhe sua senha.

Protegendo o email

Neste vídeo, você aprenderá sobre as maneiras de proteger e-mails.

 50% dos destinatários abrem e-mails e clicam nos links de

phishing antes first hourde serem enviados.
 Os emails de phishing incluem notificações falsas de bancos,
sistemas de pagamento eletrônico, provedores de email, redes
sociais e jogos online.
O que é um firewall?

O firewall desempenha um papel essencial na segurança de rede.

A firewall é um método baseado em hardware ou software que controla o

tráfego de dados de entrada e saída com base em um conjunto de
diretrizes que permitem ou negam tráfego em uma rede ou host.

Firewallsdeve ser usado em todas as redes enquanto monitoram

ameaças .

Classes de firewall

 Classe 1 -Host-based software firewall usada em um laptop ou

computador de mesa.
 Classe 2 -Router firewall que geralmente oferece atributos
simples de firewall. Eles não são utilizados em uma rede
corporativa por motivos de segurança, pois não podem suportar
ataques agressivos.
  Classe 3 -Low-end hardware firewall . Eles são adequados para
pequenas empresas, pois uniram o gerenciamento de ameaças
com recursos anti-spyware e antivírus .
 Classe 4 -High-end hardware firewalls . Eles são úteis para
empresas de pequeno e médio porte, pois oferecem proteção de
borda e ambientes críticos de infraestrutura sem diminuir o
desempenho.
 Classe 5 -High-end server firewalls utilizada quando as apostas
são altas e são desenvolvidas para necessidades de alto
rendimento.

Proteção de acesso à rede

Um dispositivo de rede que não possui um firewall ativo e patches

atualizados, pode gerar um alto risco para a rede corporativa .

Network access protectioné uma estrutura que utiliza um servidor de

diretivas de rede. Aqui, o Network Policy Server armazena as políticas
de integridade e analisa a integridade dos computadores. Três políticas
são suportadas.
 As solicitações de conexão concluem se as solicitações dos
clientes RADIUS são gerenciadas por um servidor RADIUS ou por
um Servidor de Diretivas de Rede.
 As diretivas de rede definem se uma conexão é rejeitada ou
autorizada.
 As políticas de saúde definem as condições que devem ser
cumpridas para se conectar à rede.

Vamos dar uma olhada na VLAN nas próximas placas.

Rede local virtual

A virtual local area network (VLAN)reduz os deleites e a barricada

física do host como parte da mesma sub-rede enquanto cria domínios de
transmissão menores.

As VLANs oferecem muitas vantagens sobre as LANs tradicionais.

 Administração simplificada - Quando um computador é
realocado, ele ainda pode fazer parte da mesma VLAN sem
nenhuma reconfiguração de hardware.
  Desempenho - reduzindo a transmissão e o multicast e criando o
domínio de transmissão usando switches em vez de roteadores.

Conceitos de VLAN

Aqui, você explorará alguns dos conceitos de VLAN.

Usando redes privadas virtuais

Você aprendeu sobre VLANs no tópico anterior. Agora, neste vídeo,

você aprenderá sobre redes privadas virtuais.

Tradução de Endereço de Rede (NAT)

Network address translation (NAT) funciona em um roteador e altera os

endereços IP privados para um endereço IP público e vice-versa.

Vamos verificar o conceito de tradução de endereços de rede agora.

Protegendo sua rede WiFi

Vamos assistir a este vídeo sobre como proteger suas redes Wi-Fi neste
vídeo!

A seguir!

Existe um sistema para proteger a rede real e reunir evidências de

invasores para aprender sobre as metodologias de ataque.
O próximo cartão fala sobre um sistema semelhante chamado Honeypot.

O que é um Honeypot?

A Honeypoté um sistema configurado para atrair um invasor, para

aprender sobre metodologias de ataque para proteger melhor a rede real
e para coletar evidências de invasores.

A colocação de um Honeypot depende dos seus objetivos. Esses

objetivos podem ser os seguintes:

 LAN interna
  Em DMZ (zona desmilitarizada)
 Como alternativa, do lado de fora como um deleite saboroso para
um invasor.

O melhor lugar para manter um honeypot é na DMZ porque, apesar de

ser um sistema falso, ele é essencialmente parte da sua rede.
Você deve colocar dados interessantes no sistema que possam parecer
um alvo valioso. Esse aspecto é crucial, pois os dados fazem parte de
um sistema de detecção de intrusões. No entanto, o foco principal está
na coleta de informações .

Ferramentas de Monitoramento de Rede

WireSharké um analisador de protocolo de rede interativo e utilitário de

captura. É utilizado para examinar as informações de tráfego em vários
níveis, desde os detalhes no nível da conexão até as partes que criam
um único pacote.

Tcpdumpé uma ferramenta de linha de comando de código aberto para

monitorar o tráfego de rede. Ele captura e exibe os cabeçalhos de
pacotes correspondentes a um conjunto de critérios.

Ferramentas de Monitoramento de Rede

Syslog
Syslogé um protocolo padrão utilizado para enviar mensagens de
eventos ou log do sistema para um servidor específico (servidor
syslog). Syslog significa System Logging Protocol.

 Ele é utilizado inicialmente para reunir diferentes registros de

dispositivos de várias máquinas em um local central para revisão e
monitoramento.
 O protocolo é ativado na maioria dos equipamentos de rede,
como firewalls, switches, routers, and even some scanners and
printers.

Resumo do Curso

Você chegou ao final deste curso. Espero que você tenha gostado do

aprendizado!
Neste curso Cybersecurity , você deve saber mais sobre os seguintes
tópicos:

 Cibersegurança e seus princípios

 Programas maliciosos e técnicas de criptografia
 Ameaças à segurança cibernética
 Arquitetura de segurança cibernética
 Gerenciamento de Incidentes
 Segurança relacionada ao sistema operacional
 Segurança de Email e Segurança de Rede