Cisco Cybernet

Capítulo 1: Segurança cibernética - Um mundo de
especialistas e criminosos
Muitos dos hackers originais do mundo tinham o computador como hobby, ou eram
programadores ou estudantes durante os anos 60. Originalmente, o
termo hacker descrevia indivíduos com qualificações profissionais avançadas de
programação. Os hackers usavam essas qualificações profissionais de programação para
testar os limites e os recursos dos primeiros sistemas. Esses primeiros hackers também
estiveram envolvidos no desenvolvimento dos primeiros jogos de computador. Muitos
desses jogos incluíam feiticeiros e feitiçaria.
À medida que a cultura dos hackers evoluiu, ela incorporou o acervo desses jogos na
cultura em si. Até o mundo exterior começou a projetar a imagem de poderosos magos em
menção a essa cultura hacker incompreendida. Livros como Where Wizards Stay up Late:
The Origins of The Internet, publicado em 1996, adicionaram ainda mais misticismo à
cultura hacker. A imagem e o acervo se fixaram. Muitos grupos de hackers hoje abraçam
esse imaginário. Um dos grupos mais famosos de hackers atende pelo nome de Legion of
Doom. É importante entender a cultura cibernética para compreender os criminosos do
mundo cibernético e suas motivações.
Sun Tzu foi um filósofo e guerreiro chinês no século 6 a.C. Sun Tzu escreveu o livro
intitulado A arte da guerra, que é um trabalho clássico sobre as estratégias disponíveis
para derrotar o inimigo. Seu livro tem orientado estrategistas há décadas. Um dos
princípios orientadores de Sun Tzu foi conhecer seu adversário. Embora ele se referisse
especificamente à guerra, muitos dos seus conselhos podem ser levados a outros
aspectos da vida, incluindo os desafios de segurança cibernética. Este capítulo começa
por explicar a estrutura do mundo de segurança cibernética e o motivo pelo qual continua
a crescer.
Este capítulo discute o papel dos criminosos virtuais e suas motivações. Finalmente, o
capítulo explica como se tornar um especialista em segurança cibernética. Esses
especialistas em segurança cibernética ajudam a derrotar os criminosos virtuais que
ameaçam o mundo cibernético.
Exemplos de domínios de segurança cibernética
Os especialistas na Google criaram um dos primeiros e mais poderosos domínios dentro

do mundo cibernético mais amplo da Internet. Bilhões de pessoas usam o Google para
pesquisar na Web todos os dias. A Google criou, indiscutivelmente, a maior infraestrutura
de coleta de dados do mundo. A Google desenvolveu o Android, sistema operacional
instalado em mais de 80% de todos os dispositivos móveis conectados à Internet. Cada
dispositivo exige que os usuários criem contas do Google que podem salvar favoritos e
informações da conta, armazenar os resultados da pesquisa e, até mesmo, localizar o
dispositivo. Clique aqui para ver alguns dos muitos serviços que a Google oferece
atualmente.
O Facebook é outro domínio poderoso dentro da Internet mais ampla. Os especialistas no

Facebook reconheceram que as pessoas criam contas pessoais diariamente para se
comunicar com a família e amigos. Ao fazer isso, você está oferecendo voluntariamente
uma grande quantidade de dados pessoais. Esses especialistas no Facebook construíram
um domínio enorme de dados para permitir que pessoas se conectem de maneiras que
eram inimagináveis no passado. O Facebook afeta milhões de vidas diariamente e
capacita as empresas e organizações a se comunicarem com as pessoas de uma forma
mais pessoal e focada.
O LinkedIn é ainda outro domínio de dados na Internet. Os peritos no LinkedIn

reconheceram que seus membros iriam compartilhar informações procurando construir
uma rede profissional. Usuários do LinkedIn carregam essas informações para criar perfis
on-line e conectar-se com outros membros. O LinkedIn conecta os funcionários com os
empregadores e empresas com outras empresas no mundo todo. Existem grandes
semelhanças entre o LinkedIn e o Facebook.
Um exame detalhado desses domínios revela como eles são construídos. Em um nível
básico, esses domínios são fortes, devido à capacidade de coletar dados de usuário, com
a contribuição dos próprios usuários. Esses dados geralmente incluem a formação,
discussões, gostos, locais, viagens, interesses, amigos e membros da família, profissões,
hobbies e as agendas pessoais e de trabalho dos usuários. Os especialistas criam grande
valor para as empresas interessadas em usar esses dados para melhor compreender e se
comunicar com seus clientes e funcionários.
Quem são os criminosos virtuais?
Nos primeiros anos do mundo da segurança cibernética, os típicos criminosos virtuais

eram adolescentes ou amadores que operavam a partir de um PC em casa, com os
ataques, na maior parte, limitados a brincadeiras e vandalismo. Hoje, o mundo dos
criminosos virtuais tornou-se mais perigoso. Os invasores são indivíduos ou grupos que
tentam explorar vulnerabilidades para ganho pessoal ou financeiro. Os criminosos virtuais
estão interessados em tudo, de cartões de crédito a projetos de produtos e qualquer coisa
com valor.
Amadores
Amadores, ou os hackers inexperientes, têm pouca ou nenhuma qualificação profissional,

muitas vezes usando ferramentas existentes ou instruções encontradas na Internet para
lançar ataques. Alguns são apenas curiosos, enquanto outros tentam demonstrar suas
qualificações profissionais e causar danos. Eles podem estar usando ferramentas básicas,
mas os resultados ainda podem ser devastadores.
Hackers
Esse grupo de criminosos invade computadores ou redes para obter acesso por vários
motivos. A intenção da invasão determina a classificação destes invasores como hackers
“do bem” (white hacker), suspeitos (gray hacker) ou “do mal” (black hacker). Os invasores
“do bem” invadem redes ou sistemas de computador para descobrir fraquezas a fim de
melhorar a segurança desses sistemas. Os proprietários do sistema dão permissão para
executar a invasão e recebem os resultados do teste. Por outro lado, os invasores “do mal”
aproveitam qualquer vulnerabilidade para ganho pessoal, financeiro ou ganho político. Os
invasores suspeitos situam-se entre os invasores “do bem” e os invasores “do mal”. Os
invasores suspeitos podem encontrar uma vulnerabilidade e relatá-la para os proprietários
do sistema, se essa ação coincidir com sua agenda. Alguns hackers gray hat (suspeitos)
publicam os fatos sobre a vulnerabilidade na Internet, para que outros invasores possam
explorá-la.
A figura dá detalhes sobre os termos hacker white hat, hacker “do mal” (black hat) e hacker
gray hat.
Hackers organizados
Esses criminosos incluem empresas de hacktivistas, criminosos virtuais, terroristas e os
hackers patrocinados pelo Estado. Os criminosos virtuais geralmente são grupos de
criminosos profissionais, focados em controle, poder e riqueza. Os criminosos são
altamente sofisticados e organizados e ainda podem proporcionar o crime digital como um
serviço. Os hacktivistas fazem declarações políticas para sensibilizar para questões que
são importantes para eles. Os hacktivistas publicam publicamente informações
embaraçosas sobre suas vítimas. Os invasores patrocinados pelo estado reúnem
informações ou cometem sabotagem em nome de seu governo. Esses invasores são
geralmente altamente treinados e bem financiados. Seus ataques se concentram em
objetivos específicos que são benéficos para o seu governo. Alguns atacantes
patrocinados pelo estado são, até mesmo, membros das forças armadas de seus países.
Clique aqui para ver representações pictóricas de perfis de hackers.
Motivos dos criminosos virtuais
Os perfis e os motivos dos criminosos virtuais mudaram ao longo dos anos. A atividade de
hacker começou nos anos 60 com o freaking (ou phreaking) telefônico, que se refere ao
uso de várias frequências de áudio para manipular sistemas telefônicos. Nos anos 80, os
criminosos usavam modems de computador por linha discada para conectar computadores
a redes e usavam programas de quebra de senha para obter acesso a dados. Hoje em dia,
os criminosos vão além de apenas roubar informações. Os criminosos podem, agora, usar
malware e vírus como armas de alta tecnologia. No entanto, a maior motivação para a
maioria dos criminosos virtuais é financeira. Os crimes digitais tornaram-se mais lucrativos
do que o comércio ilegal de drogas.
Os motivos e os perfis dos hackers, em geral, mudaram bastante. A figura exibe termos
modernos da atividade de hackers e uma breve descrição de cada um.
Por que tornar-se um especialista em segurança cibernética?
A demanda por especialistas em segurança cibernética tem crescido mais do que a

demanda por outros profissionais de TI. Toda a tecnologia que transforma o reino e
melhora o estilo de vida do povo também o torna mais vulnerável a ataques. A tecnologia,
sozinha, não pode prevenir, detectar, responder e se recuperar de incidentes de
segurança cibernética. Considere os seguintes aspectos:
• O nível de qualificação profissional necessária para um especialista em segurança

cibernética e a escassez de profissionais de segurança cibernética qualificados se
traduz em um maior potencial para ganhos mais altos.
• A tecnologia da informação está em constante mudança. Isso também ocorre com a

segurança cibernética. A natureza altamente dinâmica do campo da segurança
cibernética pode ser desafiadora e fascinante.
• A carreira de um especialista em segurança cibernética também é altamente portátil.

Empregos existem em quase toda localização geográfica.
• Os especialistas em segurança cibernética proporcionam um serviço necessário para

suas empresas, países e sociedades, muito parecido com a segurança pública ou
com as equipes de emergência.
Tornar-se um especialista em segurança cibernética é uma oportunidade de carreira

compensadora.
Como impedir criminosos virtuais
Impedir os criminosos virtuais é uma tarefa difícil e não existe uma "bala de prata". No
entanto, a empresa, o governo e as empresas internacionais começaram a tomar medidas
coordenadas para limitar ou se defender de criminosos virtuais. As ações coordenadas
incluem:
• Criar bancos de dados abrangentes de vulnerabilidades conhecidas do sistema e

assinaturas de ataques (um conjunto exclusivo de informações usadas para
identificar a tentativa de um invasor de explorar uma vulnerabilidade conhecida). As
empresas compartilham esses bancos de dados em todo o mundo para ajudar a se
preparar e a afastar muitos ataques comuns.
• Estabelecer sensores de aviso precoce e redes de alertas. Devido ao custo e à

impossibilidade de monitoramento de todas as redes, as organizações monitoram
alvos de alto valor ou criam impostores que se pareçam com alvos de alto valor.
Como esses alvos de alto valor são mais propensos a serem atacados, eles avisam
os outros de possíveis ataques.
• Compartilhar informações de inteligência cibernética. Empresas, agências do governo

e países agora colaboram para compartilhar informações essenciais sobre ataques
graves a alvos críticos, para evitar ataques semelhantes em outros lugares. Muitos
países estabeleceram agências de inteligência cibernética para colaborar em todo o
mundo na luta contra os grandes ataques cibernéticos.
• Estabelecer padrões de gerenciamento de segurança da informação entre

organizações nacionais e internacionais. O padrão ISO 27000 é um bom exemplo
dessas iniciativas internacionais.
• Promulgar novas leis para desencorajar violações de dados e ataques cibernéticos.

Essas leis têm penalidades severas para punir criminosos virtuais pegos durante
ações ilegais.
A figura exibe medidas para impedir criminosos virtuais e uma breve descrição de cada
uma.
Ameaças comuns aos usuários finais
Como descrito anteriormente, existem especialistas que são inovadores e visionários. Eles
constroem os diferentes domínios cibernéticos da Internet. Eles têm a capacidade de
reconhecer o poder dos dados e de aproveitá-los. Depois, eles constroem suas empresas
e proporcionam serviços, além de proteger as pessoas contra ataques cibernéticos. De
maneira ideal, os profissionais de segurança cibernética devem reconhecer a ameaça que
os dados representam, se forem usados contra as pessoas.
Ameaças e vulnerabilidades são as principais preocupações dos profissionais de

segurança cibernética. Duas situações são especialmente críticas:
• Quando uma ameaça é a possibilidade de um evento prejudicial, como um ataque.
• Quando uma vulnerabilidade torna um alvo suscetível a um ataque.
Por exemplo, dados nas mãos erradas podem resultar em uma perda de privacidade para
os proprietários, podem afetar seu crédito ou colocar em risco sua carreira ou relações
pessoais. O roubo de identidade é um grande negócio. No entanto, não são
necessariamente os Googles e os Facebooks que representam o maior risco. Escolas,
hospitais, instituições financeiras, órgãos governamentais, o local de trabalho e o comércio
eletrônico representam riscos ainda maiores. Empresas como o Google e o Facebook têm
recursos para contratar os melhores talentos da segurança cibernética para proteger seus
domínios. À medida que mais organizações constroem grandes bases de dados contendo
todos os nossos dados pessoais, aumenta a necessidade de profissionais de segurança
cibernética. Isso deixa as pequenas empresas e organizações competindo pelo conjunto
restante de profissionais de segurança cibernética. Ameaças cibernéticas são
particularmente perigosas para certos setores e os registros que devem manter.
Tipos de registros pessoais
Os exemplos a seguir são apenas algumas fontes de dados que podem vir de empresas
estabelecidas.
Registros médicos
Ir ao consultório médico resulta na adição de mais informações a um EHR (Electronic
health record, Registro eletrônico de saúde). A prescrição de um médico de família torna-
se parte do EHR. Um EHR inclui saúde física, saúde mental e outras informações pessoais
que podem não estar relacionadas medicamente. Por exemplo, um indivíduo vai para a
terapia quando criança por causa de mudanças importantes na família. Isso estará em
algum lugar em seu histórico médico. Além do histórico médico e de informações pessoais,
o EHR também pode incluir informações sobre a família dessa pessoa. Várias leis estão
relacionadas à proteção dos históricos médicos de pacientes.
Dispositivos médicos, como monitores de sinais vitais, usam a plataforma de nuvem para
permitir transferência, armazenamento e a exibição sem fio de dados clínicos, como
batimentos cardíacos, pressão arterial e taxa de glicose no sangue. Esses dispositivos
podem gerar um enorme volume de dados clínicos que podem se tornar parte de um
histórico médico.
Registros de educação
Registros de educação incluem informações sobre as notas, pontuações nas provas,

participação nas aulas, cursos realizados, prêmios, certificados concedidos e relatórios
disciplinares. Esse registro também pode incluir informações de contato, históricos de
saúde e imunização e registros de educação especial, incluindo IEPs (Individualized
education programs, Programas de educação individualizada).
Registros de emprego e financeiros
Informações de emprego podem incluir empregos anteriores e desempenho. Registros de

emprego também podem incluir informações sobre seguros e salário. Os registros
financeiros podem incluir informações sobre receitas e despesas. Os registros fiscais
poderiam incluir canhotos de holerites, faturas de cartão de crédito, classificação de crédito
e informações bancárias.
Ameaças a serviços de internet
Existem muitos serviços técnicos essenciais necessários para uma rede e, em última
análise, para a Internet. Esses serviços incluem roteamento, endereçamento,
nomenclatura de domínio e gerenciamento de banco de dados. Esses serviços também
servem como alvos importantes de criminosos virtuais.
Os criminosos usam ferramentas de sniffing de pacotes para capturar streams de dados

em uma rede. Isso significa que todos os dados confidenciais, como nomes de usuário,
senhas e números de cartão de crédito, estão em risco. Analisadores de pacote funcionam
monitorando e registrando todas as informações que passam por uma rede. Os criminosos
também podem usar dispositivos não autorizados, como pontos de acesso WiFi inseguro.
Se o criminoso configura isso perto de um lugar público, como uma cafeteria, pessoas
inocentes podem entrar e o analisador de pacote faz uma cópia de suas informações
pessoais.
Serviço de nome de domínio (DNS) converte um nome de domínio, como

www.facebook.com, em seu endereço IP numérico. Se um servidor DNS não sabe o
endereço IP, ele perguntará a outro servidor DNS. Com spoofing de DNS (ou
envenenamento de cache de DNS), o criminoso introduz dados falsos no cache do
resolvedor de DNS. Esses ataques de veneno exploram uma fraqueza no software de
DNS que faz com que os servidores DNS redirecionem o tráfego para um domínio
específico para o computador do criminoso, em vez de para o proprietário legítimo do
domínio.
Pacotes transportam dados por uma rede ou pela Internet. A falsificação de pacotes (ou
injeção de pacotes) interfere na comunicação de uma rede estabelecida construindo
pacotes para aparecer como se fossem parte de uma comunicação. A falsificação de
pacotes permite que um criminoso interrompa ou intercepte pacotes. Esse processo
permite que o criminoso sequestre uma conexão autorizada ou negue a capacidade de um
indivíduo de usar determinados serviços de rede. Os profissionais da segurança
cibernética chamam isso de um ataque man in the middle.
Os exemplos fornecidos apenas arranham a superfície dos tipos de ameaças que os

criminosos podem lançar contra os serviços de rede e a Internet.
Ameaças a setores importantes de indústrias
Os principais setores da indústria oferecem sistemas de infraestrutura de rede, como

fabricação, energia, comunicação e transporte. Por exemplo, a smart grid é um reforço
para o sistema de geração e distribuição de energia elétrica. A rede elétrica transporta
energia dos geradores centrais para um grande número de clientes. Uma smart grid usa
informações para criar uma rede autorizada de distribuição avançada de energia. Líderes
mundiais reconhecem que proteger sua infraestrutura é fundamental para proteger sua
economia.
Ao longo da última década, ataques cibernéticos como Stuxnet provaram que um ataque
cibernético pode destruir ou interromper infraestruturas essenciais. O ataque Stuxnet,
especificamente, foi direcionado ao sistema SCADA (Supervisory Control and Data
Acquisition, Controle de supervisão e aquisição de dados) e foi usado para controlar e
monitorar processos industriais. O SCADA pode fazer parte de vários processos industriais
em sistemas de fabricação, produção, energia e comunicação. Clique aqui para exibir mais
informações sobre o ataque Stuxnet.
Um ataque cibernético poderia derrubar ou interromper setores de indústrias, como

telecomunicações, transporte ou sistemas de geração e distribuição de energia elétrica.
Também poderia interromper o setor de serviços financeiros. Um dos problemas com
ambientes que incorporam o SCADA é o fato de que os designers não conectaram o
SCADA ao ambiente de TI tradicional e à Internet. Portanto, eles não consideraram
corretamente a segurança cibernética durante a fase de desenvolvimento desses
sistemas. Como outros setores, empresas que usam os sistemas SCADA reconhecem o
valor da coleta de dados para melhorar as operações e diminuir os custos. A tendência
resultante é conectar sistemas SCADA aos sistemas tradicionais de TI. No entanto, isso
aumenta a vulnerabilidade dos setores que usam os sistemas SCADA.
A possível ameaça que existe hoje exige um grupo especial de especialistas em

segurança cibernética.
Ameaças ao estilo de vida das pessoas
Segurança cibernética é o esforço contínuo para proteger sistemas em rede e dados

contra acesso não autorizado. Em um nível pessoal, todos precisam proteger sua
identidade, seus dados e seus dispositivos computacionais. No nível corporativo, é
responsabilidade dos funcionários proteger a reputação, os dados e os clientes da
organização. No nível do estado, a segurança nacional e a segurança e o bem estar dos
cidadãos estão em jogo.
Profissionais de segurança cibernética são, muitas vezes, envolvidos no trabalho com as

agências governamentais na identificação e coleta de dados.
Nos EUA, a NSA (National Security Agency, Agência de segurança nacional) é
responsável pelas atividades de vigilância e coleta de informações. A NSA construiu um
novo data center para processar o volume crescente de informações. Em 2015, o
Congresso dos EUA aprovou a Lei de liberdade dos EUA (USA Freedom Act), encerrando
a prática de coleta em massa de registros telefônicos de cidadãos dos EUA. O programa
forneceu metadados que deram à NSA informações sobre comunicações enviadas e
recebidas.
As iniciativas para proteger o estilo de vida das pessoas entram em conflito com seu direito
à privacidade. Será interessante ver o que acontece com o equilíbrio entre esses direitos e
a segurança dos usuários da Internet.
Ameaças internas e externas
Ameaças à segurança interna
Os ataques podem se originar de dentro de uma organização ou de fora da organização,

conforme mostrado na figura. Um usuário interno, como um funcionário ou parceiro de
contrato, pode, de forma acidental ou intencional:
• Tratar erroneamente os dados confidenciais
• Ameaçar as operações de servidores internos ou de dispositivos de infraestrutura de

rede
• Facilitar ataques externos conectando mídias USB infectadas no sistema de

computador corporativo
• Convidar acidentalmente malware para a rede por e-mail ou sites mal-intencionados
Ameaças internas têm o potencial de causar maior dano que as ameaças externas, pois os
usuários internos têm acesso direto ao edifício e a seus dispositivos de infraestrutura. Os
invasores internos normalmente têm conhecimento da rede corporativa, de seus recursos
e de seus dados confidenciais. Eles também podem ter conhecimento de contramedidas
de segurança, políticas e níveis mais altos de privilégios administrativos.
Ameaças à segurança externa
Ameaças externas de amadores ou invasores habilidosos podem explorar vulnerabilidades

em dispositivos conectados em rede ou podem usar social engineering, como enganações,
para ter acesso. Ataques externos exploram fraquezas ou vulnerabilidades para obter
acesso a recursos externos.
Dados Tradicionais
Dados corporativos incluem informações pessoais, propriedade intelectual e dados

financeiros. Informações pessoais incluem materiais de aplicativos, folha de pagamento,
cartas de oferta, acordos de funcionários e todas as informações usadas na tomada de
decisões de emprego. Propriedade intelectual, como patentes, marcas registradas e
planos de novos produtos, permite que uma empresa obtenha vantagem econômica sobre
seus concorrentes. Considere essa propriedade intelectual como um segredo comercial.
Perder essas informações pode ser desastroso para o futuro da empresa. Dados
financeiros, como declarações de rendimentos, balanços e demonstrações de fluxo de
caixa, proporcionam detalhes sobre a saúde da empresa.
As vulnerabilidades de dispositivos móveis
No passado, os funcionários normalmente usavam computadores fornecidos pela empresa

conectados a uma LAN corporativa. Os administradores monitoram e atualizam
continuamente esses computadores para atender aos requisitos de segurança. Hoje,
dispositivos móveis como iPhones, smartphones, tablets e milhares de outros estão se
tornando substitutos poderosos (ou adições) ao computador tradicional. Mais e mais
pessoas estão usando esses dispositivos para acessar informações empresariais. Traga
seu próprio dispositivo (BYOD) é uma tendência crescente. A incapacidade de gerenciar e
atualizar de maneira central dispositivos móveis impõe uma ameaça crescente às
organizações que permitem dispositivos móveis de funcionários em suas redes.
O surgimento da Internet das coisas
A Internet das coisas (IoT) é o conjunto de tecnologias que permitem a conexão de vários
dispositivos à Internet. A evolução tecnológica associada ao advento da IoT está mudando
os ambientes comerciais e de consumo. As tecnologias IoT permitem às pessoas
conectarem bilhões de dispositivos à Internet. Esses dispositivos incluem aparelhos,
bloqueios, motores e dispositivos de entretenimento, para citar apenas alguns. Essa
tecnologia afeta a quantidade de dados que precisam de proteção. Os usuários acessam
esses dispositivos remotamente, o que aumenta o número de redes que requer proteção.
Com o surgimento da IoT, há muito mais dados a serem gerenciados e protegidos. Todas
essas conexões, além da capacidade de armazenamento expandida e de serviços de
armazenamento oferecidos na nuvem e da virtualização, levaram ao crescimento
exponencial de dados. Essa expansão de dados criou uma nova área de interesse na
tecnologia e nos negócios, chamada "Big data".
O impacto do Big data
O big data é o resultado de conjuntos de dados grandes e complexos, tornando os

aplicativos de processamento de dados tradicionais inadequados. O big data impõe
desafios e oportunidades, com base em três dimensões:
• O volume ou a quantidade de dados
• A velocidade ou a rapidez dos dados
• A variedade ou a gama de tipos e fontes de dados
Há vários exemplos de grandes ataques corporativos de hackers nos jornais. Empresas

como Target, Home Depot e PayPal são alvo de ataques altamente divulgados. Como
resultado, os sistemas empresariais exigem mudanças drásticas nos designs dos produtos
de segurança e atualizações significativas nas tecnologias e nas práticas. Além disso, os
governos e as indústrias estão introduzindo mais regulamentações e demandas que
exigem melhor proteção dos dados e controles de segurança para ajudar a proteger o big
data.
Uso de armas avançadas

As vulnerabilidades de software hoje dependem de vulnerabilidades do protocolo, erros de
programação ou problemas de configuração do sistema. O criminoso virtual precisa
apenas explorar uma dessas vulnerabilidades. Por exemplo, um ataque comum envolveu a
construção de uma entrada em um programa para sabotar o programa, causando seu mau
funcionamento. Esse mau funcionamento proporcionou uma porta de entrada para o
programa ou provocou o vazamento de informações.
Há uma crescente sofisticação percebida nos ataques cibernéticos de hoje. Um Advanced

Persistent Threat (APT) é um hack de computador contínuo que não aparece no radar,
contra um objeto específico. Os criminosos normalmente escolhem um APT por motivos
comerciais ou políticos. Um APT ocorre durante um longo período, com um alto grau de
sigilo, usando malware sofisticado.
Ataques de algoritmo podem rastrear dados de geração automática de relatório do

sistema, como quanta energia um computador está usando e usar essas informações para
disparar alertas falsos. Os ataques algorítmicos também podem desativar um computador,
forçando-o a usar memória ou a sobrecarregar sua unidade central de processamento.
Ataques algorítmicos são mais desonestos, pois exploram os designs usados para
melhorar a economia de energia, reduzir as falhas do sistema e melhorar as eficiências.
Finalmente, a nova geração de ataques envolve a seleção inteligente de vítimas. No

passado, os ataques selecionariam o fruto mais baixo da árvore ou as vítimas mais
vulneráveis. No entanto, com maior atenção à detecção e isolamento de ataques
cibernéticos, os criminosos virtuais devem ser mais cuidadosos. Não podem arriscar a
detecção precoce ou os especialistas em segurança cibernética fecharão os portões do
castelo. Como resultado, muitos dos ataques mais sofisticados só serão lançados se o
invasor puder corresponder à assinatura do objeto ao qual o ataque é direcionado.
Escopo mais amplo e efeito cascata
O gerenciamento de identidades federadas refere-se a várias empresas que permitem que

seus usuários usem as mesmas credenciais de identificação para obter acesso às redes
de todas as empresas do grupo. Isso amplia o escopo e aumenta a probabilidade de um
efeito em cascata, se ocorrer um ataque.
Uma identidade federada vincula a identidade eletrônica de um sujeito em vários sistemas

de gerenciamento de identidade separados. Por exemplo, um sujeito pode conseguir fazer
logon no Yahoo! com credenciais do Google ou do Facebook. Isso é um exemplo de login
social.
O objetivo do gerenciamento de identidades federadas é compartilhar informações de

identidade automaticamente entre fronteiras. Na perspectiva do usuário individual, isso
significa um início de sessão universal na Web.
É imprescindível que as empresas examinem as informações de identificação

compartilhadas com parceiros. Endereços, nomes e números de seguridade social podem
permitir a ladrões de identidade a oportunidade de roubar essas informações de um
parceiro para perpetrar fraude. A forma mais comum de proteger identidades federadas é
vincular a habilidade de login a um dispositivo autorizado.
Implicações de segurança
Centros de chamada de emergência nos Estados Unidos são vulneráveis a ataques

cibernéticos que podem fechar as redes de chamadas de emergência, colocando em risco
a segurança pública. Um ataque TDoS (Telephone denial of service, negação de serviço
por telefone) usa telefonemas contra uma rede de telefone, ocupando o sistema alvo e
impedindo que ligações legítimas sejam completadas. Os centros de chamada de
emergência de última geração são vulneráveis porque eles usam sistemas de VoIP (Voice-
over-IP, Voz sobre IP), em vez de linhas fixas tradicionais. Além de ataques TDoS, esses
centros de chamada também podem estar expostos ao risco de ataques DDoS
(Distributed-denial-of-service, Negação de serviço distribuída) que usam muitos sistemas
para inundar os recursos do alvo, indisponibilizando o alvo para usuários legítimos. Há
muitas maneiras, hoje em dia, de solicitar ajuda da polícia, desde o uso de um aplicativo
em um smartphone até o uso de um sistema de segurança doméstico.
Como abordar a falta de especialistas em segurança

cibernética
Nos EUA, o Instituto Nacional de Padrões e Tecnologia (NIST) criou uma estrutura para
empresas e organizações que precisam de profissionais de segurança cibernética. A
estrutura permite às empresas identificar os principais tipos de responsabilidades, cargos e
habilidades necessários para a força de trabalho. A National Cybersecurity Workforce
Framework categoriza e descreve o trabalho de segurança cibernética. Fornece uma
linguagem comum que define o trabalho de segurança cibernética, juntamente com um
conjunto comum de tarefas e qualificações profissionais necessárias para se tornar um
especialista em segurança cibernética. A estrutura ajuda a definir os requisitos
profissionais em segurança cibernética.
A National Cybersecurity Workforce Framework
A estrutura de força de trabalho categoriza o trabalho da segurança cibernética em sete

categorias.
Operar e manter inclui proporcionar o suporte, a administração e a manutenção

necessários para garantir a segurança e o desempenho do sistema de TI.
Proteger e defender inclui a identificação, a análise e a mitigação de ameaças a sistemas

internos e a redes.
Investigar inclui a investigação de evento e/ou crimes digitais que envolvem recursos de
TI.
Coletar e operar inclui as operações de negação e fraude especializadas e a coleta de

informações de segurança cibernética.
Analisar Provisionar de forma segura inclui a conceitualização, o projeto e a construção

de sistemas de TI seguros.
Supervisão e desenvolvimento proporciona liderança, gestão e orientação para realizar

o trabalho de segurança cibernética de forma eficaz.
Provisionar de forma segura inclui a conceitualização, o projeto e a construções de

sistemas de TI seguros.
Dentro de cada categoria, há várias áreas de especialização. As áreas de especialização

definem, assim, tipos comuns de trabalho de segurança cibernética.
A figura exibe cada uma das categorias e uma breve descrição de cada uma.
Organizações profissionais
Os especialistas em segurança cibernética devem colaborar, frequentemente, com os

colegas profissionais. As empresas internacionais de tecnologia geralmente patrocinam
workshops e conferências. Essas empresas, muitas vezes, mantêm os profissionais de
segurança cibernética inspirados e motivados.
Clique nos logotipos na figura para saber mais sobre algumas empresas de segurança
importantes.
Estudantes, empresas e competições de segurança cibernética
Os especialistas de segurança cibernética devem ter as mesmas habilidades que os

hackers, espacialmente os hackers Black Hats, para proteger contra ataques. Como um
indivíduo pode construir e praticar as qualificações profissionais necessárias para se tornar
um especialista em segurança cibernética? As competições de qualificações profissionais
entre alunos são uma ótima forma de construir habilidades e qualificações profissionais de
conhecimento. Há muitas competições nacionais de qualificações profissionais em
segurança cibernética disponíveis para estudantes de segurança cibernética.
Clique nos logotipos na figura para saber mais sobre clubes, empresas e competições de
segurança cibernética do estudante.
O QUE É CYBERPATRIOT?
CyberPatriot é o Programa Nacional de Educação Cibernética juvenil criado pela

Associação da Força Aérea para inspirar os alunos do K-12 a carreiras em cibersegurança
ou outras disciplinas de cibersegurança, tecnologia, engenharia e matemática (STEM)
críticas ao futuro da nossa nação. No cerne do programa está o Concurso Nacional de
Defesa Cibernética da Juventude, o maior concurso de defesa cibernética do país que
coloca os estudantes do ensino médio e secundário encarregados de garantir redes
virtuais. Outros programas incluem a AFA CyberCamps, uma iniciativa de educação
cibernética da escola primária, uma série de literatura infantil e CyberGenerations – uma
iniciativa de cibersegurança direcionada para manter os idosos seguros online
Certificações do setor
Em um mundo de ameaças à segurança cibernética, há uma grande demanda por

profissionais de segurança da informação com conhecimento e qualificações profissionais.
O setor de TI estabeleceu padrões para que os especialistas em segurança cibernética
obtenham certificações profissionais que fornecem provas das qualificações profissionais e
do nível de conhecimento.
CompTIA Security+
Security+ é um programa de teste patrocinado pela CompTIA que certifica a competência

dos administradores de TI em garantir informações. O teste Security+ abrange os
princípios mais importantes para proteger uma rede e gerenciar os riscos, incluindo as
preocupações associadas à computação em nuvem.
Hacker ético certificado pelo EC-Council (CEH)
Essa certificação de nível intermediário afirma que os especialistas em segurança

cibernética que detêm essa credencial têm as qualificações profissionais e o conhecimento
para várias práticas de hackers. Esses especialistas em segurança cibernética usam as
mesmas qualificações profissionais e técnicas usadas pelos criminosos virtuais para
identificar as vulnerabilidades do sistema e acessar pontos nos sistemas.
SANS GIAC Security Essentials (GSEC)

A certificação GSEC é uma boa escolha para uma credencial de nível inicial para
especialistas em segurança cibernética que podem demonstrar que compreendem
conceitos e terminologia de segurança e que têm as habilidades profissionais e os
conhecimentos necessários para exercer funções práticas na segurança. O programa
SANS GIAC oferece várias certificações adicionais nos campos de administração de
segurança, computação forense e auditoria.
(ISC)^2 Profissional certificado de segurança de sistemas da informação (CISSP)
A Certificação CISSP é uma certificação independente de fornecedor para os especialistas

de segurança cibernética com grande experiência técnica e gerencial. Também é
formalmente aprovada pelo Departamento de defesa (DoD) dos EUA e é uma certificação
mundialmente reconhecida no setor, na área de segurança.
ISACA Certified Information Security Manager (CISM)
Heróis cibernéticos responsáveis pelo gerenciamento, desenvolvimento e supervisão dos

sistemas de segurança da informação em nível corporativo ou aqueles que desenvolvem
melhores práticas de segurança podem se qualificar para CISM. Detentores de credenciais
detêm qualificações profissionais avançadas em gerenciamento de riscos de segurança.
Como se tornar um especialista em segurança cibernética
Para se tornar um especialista em segurança cibernética bem-sucedido, o possível

candidato deve olhar para alguns dos requisitos exclusivos. Heróis devem ser capazes de
responder às ameaças assim que elas ocorrem. Isso significa que as horas de trabalho
podem ser um pouco não convencionais.
Heróis cibernéticos também analisam política, tendências e informações para entender

como os criminosos virtuais pensam. Muitas vezes, isso pode envolver uma grande
quantidade de trabalho de detetive.
As recomendações a seguir ajudarão os aspirantes a especialistas de segurança

cibernética a atingir seus objetivos:
• Estudo : aprenda o básico, completando os cursos em TI. Seja estudante a vida

inteira. A segurança cibernética é um campo que sempre representa desafios e os
especialistas de segurança cibernética devem se manter atualizados.
• Buscar certificações: certificações patrocinadas pela indústria e por empresas do

setor como Microsoft e Cisco provam que o indivíduo tem o conhecimento necessário
para procurar emprego como especialista em segurança cibernética.
• Buscar estágios : procurar um estágio em segurança como um aluno pode levar a

ótimas oportunidades.
• Junte-se a organizações profissionais : participe de organizações de segurança da

informação, participe de reuniões e conferências, participe de fóruns e blogs para
obter conhecimento com os especialistas.
Ameaças internas e externas
Ameaças à segurança interna

Os ataques podem se originar de dentro de uma organização ou de fora da organização, conforme
mostrado na figura. Um usuário interno, como um funcionário ou parceiro de contrato, pode, de forma
acidental ou intencional:
• Tratar erroneamente os dados confidenciais
• Ameaçar as operações de servidores internos ou de dispositivos de infraestrutura de rede
• Facilitar ataques externos conectando mídias USB infectadas no sistema de computador corporativo
• Convidar acidentalmente malware para a rede por e-mail ou sites mal-intencionados
Ameaças internas têm o potencial de causar maior dano que as ameaças externas, pois os usuários
internos têm acesso direto ao edifício e a seus dispositivos de infraestrutura. Os invasores internos
normalmente têm conhecimento da rede corporativa, de seus recursos e de seus dados confidenciais.
Eles também podem ter conhecimento de contramedidas de segurança, políticas e níveis mais altos de
privilégios administrativos.
Ameaças à segurança externa
Ameaças externas de amadores ou invasores habilidosos podem explorar vulnerabilidades em

dispositivos conectados em rede ou podem usar social engineering, como enganações, para ter acesso.
Ataques externos exploram fraquezas ou vulnerabilidades para obter acesso a recursos externos.
Dados Tradicionais
Dados corporativos incluem informações pessoais, propriedade intelectual e dados financeiros.

Informações pessoais incluem materiais de aplicativos, folha de pagamento, cartas de oferta, acordos de
funcionários e todas as informações usadas na tomada de decisões de emprego. Propriedade intelectual,
como patentes, marcas registradas e planos de novos produtos, permite que uma empresa obtenha
vantagem econômica sobre seus concorrentes. Considere essa propriedade intelectual como um segredo
comercial. Perder essas informações pode ser desastroso para o futuro da empresa. Dados financeiros,
como declarações de rendimentos, balanços e demonstrações de fluxo de caixa, proporcionam detalhes
sobre a saúde da empresa.
As vulnerabilidades de dispositivos móveis
No passado, os funcionários normalmente usavam computadores fornecidos pela empresa conectados a

uma LAN corporativa. Os administradores monitoram e atualizam continuamente esses computadores
para atender aos requisitos de segurança. Hoje, dispositivos móveis como iPhones, smartphones, tablets
e milhares de outros estão se tornando substitutos poderosos (ou adições) ao computador tradicional.
Mais e mais pessoas estão usando esses dispositivos para acessar informações empresariais. Traga seu
próprio dispositivo (BYOD) é uma tendência crescente. A incapacidade de gerenciar e atualizar de
maneira central dispositivos móveis impõe uma ameaça crescente às organizações que permitem
dispositivos móveis de funcionários em suas redes.
O surgimento da Internet das coisas
A Internet das coisas (IoT) é o conjunto de tecnologias que permitem a conexão de vários dispositivos à
Internet. A evolução tecnológica associada ao advento da IoT está mudando os ambientes comerciais e
de consumo. As tecnologias IoT permitem às pessoas conectarem bilhões de dispositivos à Internet.
Esses dispositivos incluem aparelhos, bloqueios, motores e dispositivos de entretenimento, para citar
apenas alguns. Essa tecnologia afeta a quantidade de dados que precisam de proteção. Os usuários
acessam esses dispositivos remotamente, o que aumenta o número de redes que requer proteção.
Com o surgimento da IoT, há muito mais dados a serem gerenciados e protegidos. Todas essas
conexões, além da capacidade de armazenamento expandida e de serviços de armazenamento
oferecidos na nuvem e da virtualização, levaram ao crescimento exponencial de dados. Essa expansão
de dados criou uma nova área de interesse na tecnologia e nos negócios, chamada "Big data".
O que o acrônimo IoE representa?
Select one:
Intelligence on Everything (Inteligência de Todas as Coisas)
Internet of Everyday (Internet do Dia a dia)
Internet of Everything (Internet de Todas as Coisas)
Insight into Everything (Informações de Todas as Coisas)
Feedback
Refer to curriculum topic: 1.1.1
A Internet de Todas as Coisas é o termo usado para os dispositivos conectados à Internet
The correct answer is: Internet of Everything (Internet de Todas as Coisas)
Question 2
Correct
Mark 2.00 out of 2.00
Flag question
Question text
Que tipo de ataque utiliza muitos sistemas para inundar os recursos de um alvo, o que o
torna indisponível?
Select one:
varredura de ping
spoof
DDoS
DoS
Feedback
DDoS é um ataque que envolve vários sistemas. DoS envolve apenas um sistema de
ataque único.
The correct answer is: DDoS

Question 3
Correct
Flag question
Question text
Que tipo de ataque pode desativar um computador ao forçá-lo a usar a memória ou ao
sobrecarregar a CPU?
Select one:
ATAQUES APT (ADVANCED PERSISTENT THREAT)
algoritmo
DDoS
esgotamento
Feedback
Ataques de algoritmo podem forçar computadores a usar memória ou sobrecarregar a
CPU.
The correct answer is: algoritmo
Question 4
Incorrect
Flag question
Question text
Que nome é dado para hackers que fazem invasões por uma causa?
Select one:
“do bem”
azuis
hackers ativistas
hacker
Feedback
O termo é usado para descrever hackers “suspeitos” que se unem e protestam por uma
causa.
The correct answer is: hackers ativistas
Question 5
Correct
Flag question
Question text
Escolha três tipos de registros que ladrões cibernéticos teriam interesse em roubar de
empresas. (Escolha três.)
Select one or more:
alimentos
rock
educação
voo
saúde
jogo
emprego
Feedback
É importante proteger registros de emprego, saúde e educação porque eles contêm
informações pessoais.
The correct answers are: saúde, educação, emprego

Question 6
Correct
Flag question
Question text
Qual das opções é um exemplo de um castelo de dados da Internet?
Select one:
Juniper
LinkedIn
Palo Alto
Cisco
Feedback
Um castelo de dados é um repositório de dados.
The correct answer is: LinkedIn
Question 7
Correct
Flag question
Question text
O que o termo BYOD representa?
Select one:
bring your own disaster (traga seu próprio desastre)
bring your own device (traga seu próprio dispositivo)

buy your own disaster (compre seu próprio desastre)
bring your own decision (traga sua própria decisão)
Feedback
O termo “traga seu próprio dispositivo” é utilizado para descrever dispositivos móveis como
iPhones, smartphones, tablets e outros dispositivos.
The correct answer is: bring your own device (traga seu próprio dispositivo)
Question 8
Correct
Flag question
Question text
Qual é o nome dado a um hacker amador?
Select one:
equipe azul
“do mal”
hacker inexperiente
vermelho
Feedback
Script kiddies é um termo usado para descrever hackers inexperientes.
The correct answer is: hacker inexperiente
Question 9
Correct
Flag question
Question text
O que o termo vulnerabilidade significa?
Select one:
uma fraqueza que torna um alvo suscetível a um ataque
um alvo conhecido ou uma máquina vítima
um método de ataque para explorar um alvo
uma ameaça em potencial criada por um hacker
um computador que contém informações confidenciais
Feedback
Uma vulnerabilidade não é uma ameaça, mas sim uma fraqueza que torna o PC ou o
software um alvo para ataques.
The correct answer is: uma fraqueza que torna um alvo suscetível a um ataque
Question 10
Incorrect
Flag question
Question text
Qual é a categoria da estrutura da força de trabalho que inclui análise e avaliação
altamente especializadas das informações de segurança cibernética recebidas para
determinar se elas são úteis para a inteligência?
Select one:
Provisão segura
Supervisão e desenvolvimento
Análise
Proteger e defender
Feedback
A categoria "Analisar" da estrutura da força de trabalho inclui áreas de especialidade
responsáveis pela avaliação e análise altamente especializadas de informações de
segurança cibernética recebidas para determinar sua utilidade.
The correct answer is: Análise
Question 11
Incorrect
Flag question
Question text
Frustrar os vilões cibernéticos inclui quais das seguintes opções? (Escolher dois.)
Select one or more:
contratação de hackers
compartilhamento de informações de inteligência cibernética
estabelecimento de sistemas de aviso inicial
desligamento da rede
alteração de sistemas operacionais
Feedback
As empresas podem unir esforços para impedir o crime digital ao estabelecer sistemas de
aviso inicial e compartilhar inteligência cibernética.
The correct answers are: estabelecimento de sistemas de aviso inicial, compartilhamento

de informações de inteligência cibernética
Os princípios de segurança
A primeira dimensão do cubo de segurança cibernética identifica os objetivos para

proteger o espaço cibernético. Os objetivos identificados na primeira dimensão são os
princípios fundamentais. Esses três princípios são confidencialidade, integridade e
disponibilidade. Os princípios proporcionam foco e permitem ao especialista de segurança
cibernética priorizar ações ao proteger qualquer sistema em rede.
A confidencialidade impede a divulgação de informações para pessoas, recursos ou

processos não autorizados. Integridade refere-se à precisão, consistência e confiabilidade
dos dados. Finalmente, a disponibilidade garante que as informações estejam acessíveis
para usuários autorizados quando necessário. Use o acrônimo CIA para se lembrar desses
três princípios.
Proteções da segurança cibernética

A terceira dimensão do cubo de segurança cibernética define as qualificações profissionais
e a disciplina que um profissional de segurança cibernética pode usar para proteger o
espaço cibernético. Os profissionais de segurança cibernética devem usar uma variedade
de diferentes qualificações profissionais e disciplinas disponíveis a eles, ao proteger os
dados no espaço cibernético. Eles devem fazer isso mantendo-se no “lado correto” da lei.
O cubo de segurança cibernética identifica os três tipos de qualificações profissionais e

disciplinas usadas para proporcionar proteção. A primeira qualificação profissional inclui as
tecnologias, os dispositivos e os produtos disponíveis para proteger os sistemas de
informação e se defender de criminosos virtuais. Os profissionais de segurança cibernética
têm uma reputação de dominar as ferramentas tecnológicas à sua disposição. No entanto,
McCumber os lembra de que as ferramentas tecnológicas não são o bastante para
derrotar os criminosos virtuais. Os profissionais de segurança cibernética também devem
construir uma defesa com o estabelecimento de políticas, procedimentos e diretrizes que
permitem que os usuários do espaço cibernético fiquem seguros e sigam as boas práticas.
Finalmente, os usuários do espaço cibernético devem se esforçar para ter mais
conhecimento sobre as ameaças do espaço cibernético e estabelecer uma cultura de
aprendizagem e reconhecimento.
O princípio da confidencialidade
A confidencialidade impede a divulgação de informações para pessoas, recursos ou processos não

autorizados. Um outro termo para confidencialidade é privacidade. As empresas restringem o acesso para
garantir que apenas os operadores autorizados possam usar dados ou outros recursos de rede. Por
exemplo, um programador não deve ter acesso às informações pessoais de todos os funcionários.
As empresas precisam treinar os funcionários sobre as melhores práticas para proteção de informações
confidenciais, para se protegerem e também à organização, contra ataques. Os métodos usados para
garantir a confidencialidade incluem criptografia, autenticação e controle de acesso aos dados.
Proteção da privacidade dos dados
As empresas coletam uma grande quantidade de dados. Muitos desses dados não são confidenciais, pois
estão publicamente disponíveis, como nomes e números de telefones. Outros dados coletados, no
entanto, são confidenciais. As informações confidenciais são dados protegidos contra acessos não
autorizados para proteger um indivíduo ou uma organização. Há três tipos de informações confidenciais:
• Informações pessoais são informações de identificação pessoal (PII) de um determinado um

indivíduo. A Figura 2 lista essa categoria de dados.
• Informações comerciais são informações que incluem qualquer coisa que possa representar um
risco para a empresa, se descoberta pelo público ou por um concorrente. A Figura 3 lista essa
categoria de dados.
• Informações confidenciais são informações pertencentes a um órgão do governo, classificadas pelo
seu nível de sensibilidade. A Figura 4 lista essa categoria de dados.
Controle de acesso
O controle do acesso define vários esquemas de proteção que impedem o acesso não autorizado a um
computador, a uma rede, a um banco de dados ou a outros recursos de dados. Os conceitos de AAA
envolvem três serviços de segurança: autenticação, autorização e accounting. Esses serviços
proporcionam a estrutura principal para controlar o acesso.
O primeiro "A" no AAA representa a autenticação. Autenticação verifica a identidade de um usuário para
evitar acesso não autorizado. Os usuários provam sua identidade com um nome de usuário ou um ID.
Além disso, os usuários precisam verificar sua identidade proporcionando uma das opções a seguir,
conforme mostrado na Figura 1:
• Algo que saibam (como uma senha)
• Algo que tenham (como um token ou cartão)
• Algo que sejam (como uma impressão digital)
Por exemplo, se você vai a um caixa eletrônico tirar dinheiro, precisa do cartão do banco (algo que você
tem) e precisa saber a senha. Isso também é um exemplo de autenticação multifatorial. A autenticação
multifatorial requer mais de um tipo de autenticação. A forma mais popular de autenticação é o uso de
senhas.
Serviços de autorização determinam quais recursos os usuários podem acessar, juntamente com as
operações que os usuários podem executar, conforme mostrado na Figura 2. Alguns sistemas fazem isso
usando uma lista de controle de acesso, ou uma ACL. Uma ACL determina se um usuário tem certos
privilégios de acesso depois de se autenticar. Só porque você pode fazer logon na rede corporativa não
significa que você tem permissão para usar a impressora colorida de alta velocidade. A autorização
também pode controlar quando um usuário tem acesso a um recurso específico. Por exemplo, os
funcionários podem ter acesso a um banco de dados de vendas durante o horário comercial, mas o
sistema os bloqueia, depois de horas.
Accounting mantém controle sobre o que os usuários fazem, incluindo o que acessam, a quantidade de
tempo que acessam os recursos e as alterações feitas. Por exemplo, um banco mantém o controle da
conta de cada cliente. Uma auditoria do sistema pode revelar o tempo e o valor de todas as transações e
o funcionário ou o sistema que executou as transações. Serviços de accounting de segurança cibernética
funcionam da mesma maneira. O sistema controla cada transação de dados e fornece os resultados da
auditoria. Um administrador pode configurar políticas de computador, conforme mostrado na Figura 3,
para permitir a auditoria do sistema.
O conceito de AAA é semelhante ao uso de um cartão de crédito, conforme indicado pela Figura 4. O
cartão de crédito identifica quem pode usá-lo, determina quanto o usuário pode gastar e contabiliza os
itens ou serviços que o usuário comprou.
O Accounting controla e monitora em tempo real. Sites, como o Norse, mostram ataques em tempo real
com base em dados coletados como parte de um sistema de estrutura de accounting ou de rastreamento.
Clique aqui para visitar o site de rastreamento em tempo real Norse.
Leis e responsabilidade
A confidencialidade e a privacidade parecem intercambiáveis, mas do ponto de vista legal, elas significam
coisas diferentes. A maioria dos dados de privacidade é confidencial, mas nem todos dados confidenciais
são privados. O acesso a informações confidenciais ocorre depois da confirmação da autorização
adequada. Instituições financeiras, hospitais, profissionais da área médica, escritórios de advocacia e
empresas em geral processam informações confidenciais. As informações confidenciais têm um status
não público. A manutenção da confidencialidade é mais que um dever ético.
A privacidade é o uso adequado dos dados. Quando as organizações coletam informações fornecidas
pelos clientes ou funcionários, elas devem usar esses dados apenas para a finalidade a que se designam.
A maioria das empresas exigirá que o cliente ou o funcionário assine um formulário de liberação, dando à
empresa permissão para usar os dados.
Todas as leis listadas na figura incluem uma provisão para lidar com a privacidade, começando com as
leis dos Estados Unidos na Figura 1. A Figura 2 lista uma amostragem dos esforços internacionais. A
maioria dessas leis é uma resposta ao enorme crescimento da coleta de dados.
O número crescente de estatutos relacionados à privacidade cria um enorme fardo para empresas que
coletam e analisam dados. As políticas são o melhor caminho para uma empresa ficar em conformidade
com o número crescente de leis relacionadas à privacidade. As políticas permitem que as empresas
apliquem regras, procedimentos e processos específicos ao coletar, armazenar e compartilhar dados.
Princípio da integridade de dados
A integridade é a precisão, a consistência e a confiabilidade dos dados durante todo o seu ciclo de vida.
Um outro termo para integridade é qualidade. Os dados passam por várias operações, como captura,
armazenamento, recuperação, atualização e transferência. Os dados devem permanecer inalterados
durante todas essas operações por entidades não autorizadas.
Os métodos usados para garantir a integridade de dados incluem hashing, verificações de validação de
dados, verificações de consistência dos dados e controles de acesso. Sistemas de integridade de dados
podem incluir um ou mais dos métodos listados acima.
Necessidade de integridade de dados
A integridade de dados é um componente fundamental da segurança da informação. A necessidade de

integridade de dados varia, com base em como a organização usa os dados. Por exemplo, o Facebook
não verifica os dados que um usuário publica em um perfil. Um banco ou organização financeira atribui
uma importância mais alta à integridade de dados do que o Facebook. As transações e as contas de
clientes devem ser precisas. Em uma empresa de serviços de saúde, a integridade de dados pode ser
uma questão de vida ou morte. As informações de prescrição devem ser precisas.
A proteção da integridade de dados é um desafio constante para a maioria das empresas. A perda da
integridade de dados pode tornar recursos de dados inteiros não confiáveis ou inutilizáveis.
Verificações de integridade
Uma verificação de integridade é uma forma de medir a consistência de uma coleta de dados (um arquivo,
uma foto ou um registro). A verificação de integridade realiza um processo chamado de função hash para
tirar um retrato de dados em um momento específico. A verificação de integridade usa o snapshot para
garantir que os dados permaneçam inalterados.
Uma soma de verificação é um exemplo de uma função hash. Uma soma de verificação verifica a
integridade de arquivos, ou de strings de caracteres, antes e depois de serem transferidos de um
dispositivo para outro por uma rede local ou pela Internet. As somas de verificação simplesmente
convertem cada conjunto de informações para um valor e soma o total. Para testar a integridade de
dados, um sistema de recebimento apenas repete o processo. Se as duas somas forem iguais, os dados
são válidos (Figura 1). Se não forem iguais, uma mudança ocorreu em algum lugar ao longo da linha
(Figura 2).
Funções hash comuns incluem MD5, SHA-1, SHA-256 e SHA-512. Essas funções hash usam algoritmos
matemáticos complexos. O valor de hash está simplesmente ali para comparação. Por exemplo, depois
de baixar um arquivo, o usuário pode verificar a integridade do arquivo, comparando os valores de hash
da fonte com o valor gerado por qualquer calculadora de hash.
As empresas usam controle de versão para evitar alterações acidentais por usuários autorizados. Dois
usuários não podem atualizar o mesmo objeto. Os objetos podem ser arquivos, registros de banco de
dados ou transações. Por exemplo, o primeiro usuário a abrir um documento tem a permissão para alterar
esse documento. A segunda pessoa tem uma versão somente leitura.
Backups precisos ajudam a manter a integridade de dados, se os dados forem corrompidos. Uma
empresa precisa verificar o seu processo de backup para garantir a integridade do backup, antes que
ocorra perda de dados.
A autorização determina quem tem acesso aos recursos da empresa, de acordo com a necessidade de
cada um. Por exemplo, controles de acesso de usuário e permissões de arquivo garantem que apenas
determinados usuários possam modificar os dados. Um administrador pode definir as permissões de um
arquivo como somente leitura. Como resultado, um usuário que acessa esse arquivo não pode fazer
nenhuma alteração.
O princípio da disponibilidade
A disponibilidade dos dados é o princípio usado para descrever a necessidade de manter a

disponibilidade dos sistemas e serviços de informação o tempo todo. Ataques cibernéticos e falhas do
sistema podem impedir o acesso a sistemas e serviços de informação. Por exemplo, a interrupção da
disponibilidade do site de um concorrente por causa de um ataque pode proporcionar uma vantagem para
seu rival. Ataques DoS (Denial-of-service, Negação de serviço) ameaçam a disponibilidade do sistema e
impedem que usuários legítimos acessem e usem os sistemas de informações, quando necessário.
Os métodos usados para garantir a disponibilidade incluem a redundância do sistema, backups do

sistema, maior resiliência do sistema, manutenção de equipamentos, sistemas operacionais e software
atualizados e planos para recuperação rápida de desastres não previstos.
Os cinco noves
As pessoas usam vários sistemas de informação em suas vidas diariamente. Computadores e sistemas
de informação controlam a comunicação, o transporte e a fabricação de produtos. A disponibilidade
contínua dos sistemas de informação é fundamental para a vida moderna. O termo alta disponibilidade
descreve sistemas concebidos para evitar períodos de inatividade. A alta disponibilidade garante um nível
de desempenho por um período maior que o período normal. Sistemas de alta disponibilidade
normalmente são projetados para incluírem três princípios (Figura 1):
• Eliminar pontos únicos de falha
• Proporcionar transição confiável
• Detectar falhas à medida que ocorrem
O objetivo é a capacidade de continuar a operar em condições extremas, como durante um ataque.

Dentre as práticas mais populares de alta disponibilidade estão os cinco noves. Os cinco noves referem-
se a 99,999%. Isso significa que o período de inatividade é menos de 5,26 minutos por ano. A Figura 2
proporciona três abordagens para os cinco noves.
Assegurando a disponibilidade
As empresas podem garantir a disponibilidade implementando o seguinte:
• Manutenção de equipamentos
• Atualizações do sistema e do SO
• Teste de backup
• Planejamento contra desastres
• Implementações de novas tecnologias
• Monitoramento de atividades incomuns
• Teste de disponibilidade
Tipos de armazenamento de dados
Dados armazenados são dados em repouso. Dados em repouso significa que um tipo de dispositivo de
armazenamento retém os dados quando nenhum usuário ou processo os está usando. Um dispositivo de
armazenamento pode ser local (em um dispositivo de computação) ou centralizado (na rede). Existem
várias opções para armazenamento de dados.
Armazenamento local (DAS) é um armazenamento conectado a um computador. Um disco rígido ou flash

drive USB é um exemplo de armazenamento local. Por padrão, os sistemas não são configurados para
compartilhar o armazenamento com conexão direta.
A Matriz redundante de riscos independentes (RAID) usa vários discos rígidos em uma matriz, o que é um
método de combinação de vários discos para que o sistema operacional os veja como um único disco. A
RAID fornece desempenho melhorado e tolerância a falhas.
Um dispositivo de armazenamento em rede (NAS) é um dispositivo de armazenamento conectado a uma

rede que permite o armazenamento e a recuperação de dados de um local centralizado por usuários de
rede autorizados. Os dispositivos NAS são flexíveis e escaláveis, o que significa que os administradores
podem aumentar a capacidade, conforme precisarem.
Uma arquitetura SAN (storage area network, rede de área de armazenamento) é um sistema de
armazenamento em rede. Os sistemas SAN conectam-se à rede usando interfaces de alta velocidade que
permitem desempenho melhorado e a habilidade de conectar vários servidores em um repositório de
armazenamento de disco centralizado.
Armazenamento em nuvem é uma opção de armazenamento remoto que usa o espaço em um provedor
de data center e é acessível de qualquer computador com acesso à Internet. Google Drive, iCloud e
Dropbox são exemplos de provedores de armazenamento em nuvem.
Desafios da proteção dos dados armazenados
As empresas têm uma tarefa desafiadora, ao tentar proteger os dados armazenados. Para melhorar o
armazenamento de dados, as empresas podem automatizar e centralizar os backups de dados.
O local pode ser um dos tipos mais difíceis de armazenamento de dados para gerenciar e controlar. O
local é vulnerável a ataques mal-intencionados no host local. Os dados armazenados também podem
incluir dados de backup. Os backups podem ser manuais ou automáticos. As empresas devem limitar os
tipos de dados armazenados no armazenamento local. Especialmente os dados essenciais de uma
empresa não deveriam ser armazenados em dispositivos de armazenamento local.
Os sistemas de armazenamento em rede proporcionam uma opção mais segura. Os sistemas de

armazenamento em rede, incluindo RAID, SAN e NAS, proporcionam maior desempenho e redundância.
No entanto, os sistemas de armazenamento em rede são mais complicados de configurar e gerenciar.
Eles também suportam mais dados, o que pode representar um risco maior para a empresa, se o
dispositivo falhar. Os desafios dos sistemas de armazenamento em rede incluem configuração, testes e
monitoramento do sistema.
Métodos de transmissão de dados
A transmissão de dados envolve o envio de informações de um dispositivo para outro. Há vários métodos
para transmitir informações entre dispositivos, incluindo:
• Rede sigilosa – usa mídia removível para transferir fisicamente os dados de um computador para
outro
• Redes cabeadas – usam cabos para transmitir dados

• Redes sem fio – usam ondas de rádio para transmitir dados
As empresas nunca conseguirão eliminar o uso de uma rede sigilosa.
As redes cabeadas incluem redes com fio de cobre e mídia de fibra óptica. As redes cabeadas podem
atender a uma área geográfica local (Rede de área local) ou podem englobar grandes distâncias (rede de
longa distância).
As redes sem fio estão substituindo as redes cabeadas. As redes sem fio estão se tornando mais rápidas
e podem suportar mais largura de banda. As redes sem fio expandem o número de usuários convidados
com dispositivos móveis nas redes do escritório pequeno, do escritório residencial (SOHO) e nas redes
empresariais.
As redes com e sem fio usam pacotes ou unidades de dados. O termo pacote refere-se a uma unidade de
dados que percorre o caminho entre uma origem e um destino na rede. Protocolos padrão como o
protocolo de Internet (IP) e o protocolo de transferência de hipertexto (HTTP) definem a estrutura e a
formação de pacotes de dados. Esses padrões têm código aberto e estão disponíveis ao público.
Proteger a confidencialidade, a integridade e a disponibilidade dos dados transmitidos é uma das
responsabilidades mais importantes de um profissional de segurança cibernética.
Desafios da proteção dos dados em trânsito
A proteção de dados transmitidos é um dos trabalhos mais desafiadores de um profissional de segurança

cibernética. Com o crescimento em dispositivos móveis e sem fios, os profissionais de segurança
cibernética são responsáveis por proteger enormes quantidades de dados que passam pela sua rede
diariamente. O profissional de segurança cibernética deve lidar com vários desafios na proteção desses
dados:
• Proteção da confidencialidade dos dados – os criminosos virtuais podem capturar, salvar e

roubar dados em trânsito. Os profissionais da segurança cibernética devem tomar medidas para
combater essas ações.
• Proteção da integridade de dados – os criminosos virtuais podem interceptar e modificar dados

em trânsito. Os profissionais de segurança cibernética implantam sistemas de integridade de dados
que testam a integridade e a autenticidade dos dados transmitidos para combater essas ações.
• Proteção da disponibilidade dos dados - os criminosos virtuais podem usar dispositivos falsos ou
não autorizados para interromper a disponibilidade dos dados. Um simples dispositivo móvel pode
servir como um access point sem fio local e enganar usuários desavisados para se associarem a
um dispositivo falso. Os criminosos virtuais podem sequestrar uma conexão autorizada a um serviço
ou dispositivo protegido. Os profissionais de segurança de rede podem implementar sistemas de
autenticação mútua para combater essas ações. Os sistemas de autenticação mútua exigem que o
usuário se autentique no servidor e solicitam que o servidor se autentique no usuário.
Formas de processamento de dados e computação
O terceiro estado dos dados são os dados em processamento. Esse estado se refere aos dados durante
a entrada inicial, a modificação, o cálculo ou a saída.
A proteção da integridade de dados começa com a entrada inicial dos dados. As organizações usam
vários métodos para coletar dados, como entrada manual de dados, digitalização de formulários,
carregamentos de arquivos e dados coletados dos sensores. Cada um desses métodos impõe possíveis
ameaças à integridade de dados. Um exemplo de corrupção de dados durante o processo de entrada
inclui erros de entrada de dados ou sensores de sistema inoperantes, desconectados ou com mau
funcionamento. Outros exemplos podem incluir formatos de dados incorretos ou não correspondentes e
rotulagem errada.
A modificação dos dados refere-se a qualquer mudança nos dados originais, como modificação manual
dos dados pelos usuários, processamento de programas e alteração dos dados, além de falhas em
equipamentos que podem resultar em modificação dos dados. Processos como codificação/decodificação,
compactação/descompactação e criptografia/descriptografia são todos exemplos de modificações de
dados. Código malicioso também resulta em corrupção dos dados.
A corrupção de dados também ocorre durante o processo de saída de dados. Saída de dados refere-se à
saída de dados para impressoras, displays eletrônicos ou diretamente para outros dispositivos. A precisão
dos dados de saída é fundamental, pois fornece informações e influencia a tomada de decisões.
Exemplos de corrupção dos dados de saída incluem o uso incorreto de delimitadores de dados,
configurações de comunicação incorretas e configuração inadequada de impressoras.
Desafios da proteção dos dados em processamento
A proteção contra a modificação inválida de dados durante o processamento pode ter um efeito adverso.
Erros de software são o motivo de muitos acidentes e desastres. Por exemplo, apenas duas semanas
antes do Natal, alguns varejistas parceiros da Amazon perceberam uma mudança no preço anunciado em
seus artigos para apenas um centavo de dólar. A falha durou uma hora. O erro resultou em milhares de
compradores fazendo o melhor negócio de suas vidas e na empresa perdendo receitas. Em 2016, o
termostato Nest apresentou defeito e deixou os usuários sem aquecimento. O termostato Nest é uma
tecnologia inteligente, da Google. Uma falha de software deixou os usuários, literalmente, no frio. Uma
atualização deu errado, drenando as baterias do dispositivo e deixando-o incapaz de controlar a
temperatura. Como resultado, os clientes não conseguiram aquecer suas casas ou obter água quente em
um dos fins de semana mais frios do ano.
A proteção de dados durante o processamento requer sistemas bem projetados. Os profissionais de

segurança cibernética criam políticas e procedimentos que exigem teste, manutenção e atualização de
sistemas para mantê-los funcionando com o mínimo de erros.
Proteções de tecnologia baseadas em software
As proteções de tecnologia incluem programas e serviços que protegem sistemas operacionais, bancos
de dados e outros serviços sendo executados em estações de trabalho, dispositivos portáteis e
servidores. Os administradores instalam contramedidas ou proteções baseadas em software em hosts ou
servidores individuais. Existem várias tecnologias baseadas em software usadas para proteger os ativos
de uma empresa:
• Os firewalls de software controlam o acesso remoto a um software. Os sistemas operacionais

normalmente incluem um firewall ou um usuário pode comprar ou fazer download de software de
terceiros.
• Scanners de rede e de porta detectam e monitoram portas abertas em um host ou servidor.
• Analisadores de protocolo, ou analisadores de assinatura, são dispositivos que coletam e examinam

o tráfego de rede. Eles identificam problemas de desempenho, detectam problemas de
configuração, identificam aplicativos com comportamento inadequado, estabelecem o parâmetro e
os padrões de tráfego normal e depuram problemas de comunicação.
• Scanners de vulnerabilidades são programas de computador projetados para avaliar os pontos

fracos em computadores ou redes.
• Sistemas de detecção de invasão baseados em host (IDS) examinam as atividades apenas em

sistemas de host. Um IDS gera arquivos de log e mensagens de alarme quando detecta atividade
incomum. Um sistema que armazena dados confidenciais ou que presta serviços essenciais é um
candidato para IDS baseado em host.
Proteções de tecnologia baseadas em hardware

Existem várias tecnologias baseadas em hardware usadas para proteger os ativos de uma empresa:
• Dispositivos de firewall bloqueiam o tráfego indesejado. Os firewalls contêm regras que definem o
tráfego permitido dentro e fora de uma rede.
• Sistemas de detecção de invasão (IDS) detectam sinais de ataques ou tráfego incomum em uma
rede e enviam um alerta.
• Sistemas de prevenção de intrusões (IPS) detectam sinais de ataques ou tráfego incomum em uma
rede, geram um alerta e tomam medidas corretivas.
• Os serviços de filtros de conteúdo controlam o acesso e a transmissão de conteúdo ofensivo ou

censurável.
Proteções de tecnologia baseadas em rede
Existem várias tecnologias baseadas em rede usadas para proteger os ativos da empresa:
• Rede privada virtual (VPN) é uma rede virtual segura que usa a rede pública (ou seja, a Internet).
A segurança de uma VPN está na criptografia do conteúdo do pacote entre os endpoints que
definem a VPN.
• Network Access Control (NAC) requer um conjunto de verificações antes de permitir que um
dispositivo se conecte a uma rede. Algumas verificações comuns incluem software antivírus
atualizados ou atualizações do sistema operacional instaladas.
• Segurança de access point sem fio inclui a implementação de autenticação e criptografia.
Proteções de tecnologia baseadas na nuvem

As tecnologias baseadas na nuvem mudam o componente de tecnologia da organização para o provedor
de nuvem. Os três principais serviços de computação em nuvem são:
• Software as a Service (SaaS) permite aos usuários ter acesso a bancos de dados e software de
aplicativo. Os provedores de nuvem gerenciam a infraestrutura. Os usuários armazenam dados nos
servidores do provedor de nuvem.
• Infrastructure as a Service (IaaS) fornece recursos de computação virtualizados pela Internet. O

provedor hospeda o hardware, o software, os servidores e os componentes de armazenamento.
• Platform as a Service (PaaS) proporciona acesso a ferramentas e serviços de desenvolvimento

usados para entregar os aplicativos.
Os provedores de serviços de nuvem ampliaram essas opções para incluir IT as a Service (ITaaS), que
proporciona suporte para os modelos de serviço IaaS, PaaS e SaaS. No modelo ITaaS, a empresa
contrata serviços individuais ou em pacote com o provedor de serviços em nuvem.
Provedores de serviços de nuvem usam dispositivos de segurança virtual que são executados dentro de
um ambiente virtual com um sistema operacional pré-preparado em pacotes, codificado, sendo executado
em hardware virtualizado.
Implementação de educação e treinamento em segurança cibernética
Investir muito dinheiro em tecnologia não fará diferença se as pessoas dentro da empresa forem o elo
mais fraco da segurança cibernética. Um programa de conscientização sobre segurança é extremamente
importante para uma organização. Um funcionário pode não ser intencionalmente malicioso, mas
simplesmente desconhecer quais são os procedimentos adequados. Há várias formas de implementar um
programa de treinamento formal:
• Torne o treinamento de conscientização de segurança uma parte do processo de integração do

funcionário
• Vincule a conscientização de segurança aos requisitos do trabalho ou às avaliações de

desempenho
• Realize sessões de treinamento presenciais
• Complete cursos on-line
A conscientização de segurança deve ser um processo contínuo, já que novas ameaças e técnicas estão
sempre surgindo.
Estabelecimento de uma cultura de conscientização de segurança
cibernética
Os membros de uma empresa devem ter consciência das políticas de segurança e ter o conhecimento
para fazer parte da segurança de suas atividades diárias.
Um programa de conscientização de segurança ativo depende:
• Do ambiente da empresa
• Do nível de ameaça
A criação de uma cultura de conscientização de segurança cibernética é um esforço contínuo que requer
a liderança da alta gerência e o compromisso de todos os usuários e funcionários. Afetar a cultura de
segurança cibernética de uma empresa começa com o estabelecimento de políticas e procedimentos pela
gerência. Por exemplo, muitas empresas têm dias de conscientização de segurança cibernética. As
empresas também podem publicar banners e sinalização para aumentar a conscientização geral de
segurança cibernética. A criação de seminários e workshops de orientação de segurança cibernética
ajudam a aumentar a conscientização.
Políticas
Uma política de segurança é um conjunto de objetivos de segurança para uma empresa que inclui regras
de comportamento para os usuários e administradores e especifica os requisitos do sistema. Esses
objetivos, regras e requisitos garantem, juntos, a segurança da rede, dos dados e dos sistemas de
computador de uma organização.
Uma política de segurança abrangente realiza várias tarefas:
• Demonstra um comprometimento da empresa com a segurança.

• Define as regras para o comportamento esperado.
• Isso garante a consistência nas operações do sistema, nas aquisições, no uso e na manutenção de
hardware e de software.
• Define as consequências jurídicas das violações.
• Dá o apoio da gerência à equipe de segurança.
Políticas de segurança informam os usuários, funcionários e gerentes dos requisitos de uma empresa
para a proteção de ativos de tecnologia e de informação. Uma política de segurança também especifica
os mecanismos necessários para atender aos requisitos de segurança.
Como mostrado na figura, uma política de segurança normalmente inclui:
• Políticas de identificação e autenticação -Especifica pessoas autorizadas para acesso aos

recursos de rede e define procedimentos de verificação.
• Políticas de senhas - Garante que as senhas atendam aos requisitos mínimos e sejam alteradas
regularmente.
• Políticas de uso aceitável -Identifica os recursos e o uso da rede que são aceitáveis para a
empresa. Também pode identificar ramificações para violações de política.
• Políticas de acesso remoto - Identifica como os usuários remotos podem acessar uma rede e o
que é remotamente acessível.
• Políticas de manutenção de rede - Especifica procedimentos de atualização de sistemas

operacionais e de aplicativos de usuários finais dos dispositivos de rede.
• Políticas de tratamento de incidentes - Descreve como os incidentes de segurança são tratados.
Um dos componentes de política de segurança mais comuns é uma política de uso aceitável (AUP). Esse
componente define o que os usuários podem ou não fazer nos vários componentes do sistema. A AUP
deve ser o mais explícita possível, para evitar mal-entendidos. Por exemplo, uma AUP lista sites, grupos
de notícias ou aplicativos específicos de uso intensivo de largura de banda que os usuários não podem
acessar usando computadores ou a rede da empresa.
Padrões
Os padrões ajudam uma equipe de TI a manter a consistência no funcionamento da rede. Documentos de

padrões proporcionam as tecnologias que usuários ou programas específicos precisam, além de qualquer
requisito ou critério de programa que uma empresa deve seguir. Isso ajuda a equipe de TI melhorar a
eficiência e simplicidade no design, manutenção e solução de problemas.
Um dos princípios de segurança mais importantes é a consistência. Por esse motivo, é necessário que as
empresas estabeleçam padrões. Cada empresa desenvolve padrões para suporte de seu único ambiente
operacional. Por exemplo, uma empresa estabelece uma política de senhas. O padrão é que as senhas
requerem um mínimo de oito caracteres alfanuméricos maiúsculos e minúsculos, incluindo pelo menos um
caractere especial. Um usuário deve alterar a senha a cada 30 dias e um histórico das 12 senhas
anteriores garante que o usuário crie senhas exclusivas durante um ano.
Diretrizes
As diretrizes são uma lista de sugestões sobre como fazer as coisas de forma mais eficiente e com
segurança. Eles são semelhantes aos padrões, mas mais flexíveis e, geralmente, não são obrigatórios. As
diretrizes definem como os padrões são desenvolvidos e garantem adesão às políticas de segurança
gerais.
Algumas das orientações mais úteis compõem as melhores práticas de uma empresa. Além das melhores
práticas definidas de uma empresa, as orientações também estão disponíveis das seguintes instituições:
• Centro de recursos de segurança de computador do Instituto Nacional de Padrões e Tecnologia

(NIST) (Figura 1)
• Orientações de configuração de segurança nacional (NSA) (Figura 2)
• O padrão de critérios comuns (Figura 3)
Usando o exemplo de políticas de senha, uma diretriz é uma sugestão de que o usuário use uma frase
como "I have a dream" e converta-a para uma senha forte, Ihv@dr3@m. O usuário pode criar outras
senhas com essa frase, alterando o número, movendo o símbolo ou alterando o sinal de pontuação.
Procedimentos
Documentos de procedimentos são mais longos e mais detalhados que os padrões e diretrizes.
Documentos de procedimentos incluem detalhes de implementação que normalmente contêm instruções
e gráficos passo a passo.
A figura mostra um exemplo do procedimento usado para alterar uma senha. Grandes empresas devem
usar documentos de procedimentos para manter a consistência de implantação que é necessária para um
ambiente seguro.
Visão geral do modelo
Os profissionais de segurança precisam proteger as informações de ponta a ponta na organização. Essa

é uma tarefa muito importante e não devemos esperar que um único indivíduo tenha todo o conhecimento
necessário. A Organização internacional de normalização (ISO) / Comissão eletrotécnica internacional
(IEC) desenvolveram uma estrutura abrangente para orientar o gerenciamento de segurança da
informação. O modelo de segurança cibernética da ISO/IEC é para profissionais de segurança cibernética
o que o modelo de rede OSI é para engenheiros de rede. Ambos proporcionam uma estrutura para
entendimento e abordagem de tarefas complexas.
Domínios de segurança cibernética
ISO/IEC 27000 é um padrão de segurança da informação publicada em 2005 e revisada em 2013. A ISO
publica os padrões ISO 27000. Embora os padrões não sejam obrigatórios, a maioria dos países os usa
como uma estrutura de fato para implementação da segurança da informação.
Os padrões ISO 27000 descrevem a implementação de um sistema de gerenciamento de segurança da

informação abrangente (ISMS). Um ISMS consiste em todos os controles administrativos, técnicos e
operacionais para manter a informação segura dentro de uma empresa. Doze domínios independentes
representam os componentes do padrão ISO 27000. Esses doze domínios servem para organizar, em alto
nível, as vastas áreas de informações cobertas pela segurança da informação.
A estrutura do modelo de segurança cibernética ISO é diferente do modelo OSI, pois usa domínios, e não
camadas, para descrever as categorias de segurança. O motivo para isso é que o modelo de segurança
cibernética ISO não é uma relação hierárquica. É um modelo não hierárquico, em que cada domínio tem
uma relação direta com os outros domínios. O modelo de segurança cibernética ISO 27000 é muito
semelhante ao modelo OSI e é vital para os especialistas em segurança cibernética entender esses dois
modelos para ter sucesso.
Clique em cada domínio da figura para obter uma breve descrição.
Os doze domínios servem como uma base comum para o desenvolvimento de padrões de segurança
organizacional e de práticas eficazes de gerenciamento de segurança. Também ajudam a facilitar a
comunicação entre as empresas.
Objetivos de controle
Os doze domínios consistem em objetivos de controle definidos na parte 27001 do padrão. Os objetivos
de controle definem os requisitos de alto nível para implementar um ISM abrangente. A equipe de
gerência de uma empresa usa os objetivos de controle do padrão ISO 27001 para definir e publicar as
políticas de segurança da empresa. Os objetivos de controle proporcionam uma checklist que deve ser
usada durante as auditorias de gerenciamento de segurança. Muitas empresas precisam passar uma
auditoria de ISMS para ganhar uma designação de conformidade com ISO 27001.
Certificação e conformidade proporcionam confiança para duas empresas que precisam confiar nos dados
confidenciais uma da outra. Auditorias de conformidade e de segurança provam que as empresas estão
melhorando continuamente seu sistema de gerenciamento de segurança da informação.
A seguir temos um exemplo de um objetivo de controle:
Controlar o acesso a redes usando os mecanismos de autenticação adequados para os usuários e

equipamentos.
Controles
O padrão ISO/IEC 27002 define controles de sistema de gerenciamento de segurança da informação. Os

controles são mais detalhados que objetivos. Os objetivos de controle informam à empresa o que fazer.
Controles definem como atingir o objetivo.
Com base no objetivo de controle, para controle de acesso a redes usando os mecanismos de
autenticação adequados para usuários e equipamentos, o controle seria:
Use senhas fortes. Uma senha forte é composta de pelo menos oito caracteres que são uma combinação
de letras, números e símbolos (@, #, $, %, etc.) se permitido. As senhas diferenciam maiúsculas de
minúsculas, portanto, uma senha forte contém letras em maiúsculas e minúsculas.
Profissionais de segurança cibernética reconhecem o seguinte:
• Controles não são obrigatórios, mas são amplamente aceitos e adotados.
• Os controles devem manter neutralidade de fornecedor para evitar a aparência de endossar um

produto ou empresa específico.
• Controles são como diretrizes. Isso significa que pode haver mais de uma maneira de atingir o
objetivo.
O modelo de segurança cibernética ISO e a Tríade CIA
O padrão ISO 27000 é uma estrutura universal para cada tipo de empresa. Para usar a estrutura de forma
eficaz, uma organização deve limitar quais domínios, objetivos de controle e controles aplicar a seu
ambiente e a suas operações.
Os objetivos de controle da ISO 27001 serve como uma lista de verificação. A primeira etapa realizada
por uma organização é determinar se esses objetivos de controle são aplicáveis à organização. A maioria
das empresas geram um documento chamado Declaração de aplicabilidade (SOA). A SOA define quais
objetivos de controle a empresa precisa usar.
Diferentes empresas colocam maior prioridade sobre a confidencialidade, integridade e disponibilidade,
dependendo do tipo de setor. Por exemplo, a Google coloca o valor mais alto na disponibilidade e
confidencialidade de dados do usuário e menos na integridade. A Google não verifica os dados do
usuário. A Amazon coloca alta ênfase na disponibilidade. Se o site não estiver disponível, a Amazon não
faz a venda. Isso não significa que a Amazon ignora a confidencialidade em favor da disponibilidade. A
Amazon só coloca uma prioridade mais alta na disponibilidade. Portanto, a Amazon pode gastar mais
recursos para garantir que existam mais servidores disponíveis para processar as compras dos clientes.
Uma empresa adapta seu uso dos objetivos de controle e dos controles disponíveis para melhor atender
as suas prioridades em matéria de confidencialidade, integridade e disponibilidade.
O modelo de segurança cibernética ISO e os estados dos dados
Diferentes grupos na organização podem ser responsáveis pelos dados em cada um dos vários estados.
Por exemplo, o grupo de segurança da rede é responsável pelos dados durante a transmissão. Os
programadores e o pessoal de entrada de dados são responsáveis pelos dados durante o
processamento. Os especialistas de suporte a hardware e servidor são responsáveis pelos dados
armazenados. Os controles ISO abordam, especificamente, os objetivos de segurança dos dados em
cada um dos três estados.
Nesse exemplo, os representantes de cada um dos três grupos ajudam a identificar os controles que são
aplicáveis e a prioridade de cada controle em sua área. O representante do grupo de segurança de rede
identifica os controles, garantindo a confidencialidade, a integridade e a disponibilidade de todos os dados
transmitidos.
O modelo de segurança cibernética ISO e proteções
Os objetivos do controle ISO 27001 estão diretamente relacionados às políticas, aos procedimentos e às
diretrizes de segurança cibernética da organização, determinados pela alta gerência. Os controles ISO
27002 proporcionam orientação técnica. Por exemplo, a alta gerência estabelece uma política,
especificando a proteção de todos os dados que entram ou saem da organização. A implementação da
tecnologia para atingir os objetivos da política não envolveria a alta gerência. É responsabilidade dos
profissionais de TI implementar e configurar adequadamente os equipamentos usados para atender às
diretivas da política definidas pela alta gerência.
Para fins de autenticação, quais são os três métodos usados para verificar a identidade?
(Es-colha três.)
Select one or more:
algo que você tem
algo que você é
o local onde você está
algo que você sabe
algo que você faz
Feedback
As formas de autenticação são algo que você sabe, tem ou é.
The correct answers are: algo que você sabe, algo que você tem, algo que você é
Question 2
Correct

Flag question
Question text
Quais são os dois métodos que ajudam a garantir a integridade de dados? (Escolher dois.)
Select one or more:
rejeição
hashing
autorização
privacidade
disponibilidade
verificações de consistência de dados
Feedback
Sistemas de integridade de dados incluem um dos dois métodos de integridade de dados.
The correct answers are: hashing, verificações de consistência de dados
Question 3
Correct
Flag question
Question text
Quais são os três estados de dados? (Escolha três.)
Select one or more:
inativos
em processo
criptografado
na nuvem
suspensos
em trânsito
Feedback
A proteção do mundo digital exige que os profissionais de segurança cibernética se
responsabilizem pela segurança dos dados em trânsito, na nuvem e inativos.
The correct answers are: inativos, em trânsito, em processo
Question 4
Correct
Flag question
Question text
Quais são os três tipos de informações confidenciais? (Escolha três.)
Select one or more:
confidenciais
publicadas
corporativas
não confidenciais
PII
públicas
Feedback
Informações confidenciais são informações que, de outro modo, prejudicariam uma
empresa ou um indivíduo se fossem divulgadas publicamente.
The correct answers are: PII, corporativas, confidenciais

Question 5
Correct
Flag question
Question text
Qual princípio impede a divulgação de informações para pessoas, recursos ou processos
não autorizados?
Select one:
não-repúdio
auditoria
confidencialidade
integridade
disponibilidade
Feedback
O princípio de segurança da confidencialidade refere-se à prevenção da divulgação de
informações para pessoas, recursos e processos não autorizados.
The correct answer is: confidencialidade
Question 6
Correct
Flag question
Question text
Qual nome é dado a um dispositivo de armazenamento conectado a uma rede?
Select one:
DAS
Nuvem
NAS
SAN
RAID
Feedback
NAS se refere a um dispositivo de armazenamento conectado a uma rede que permite o
armazenamento e a recuperação de dados de um local centralizado por usuários de rede
autorizados.
The correct answer is: NAS
Question 7
Incorrect
Flag question
Question text
Qual mecanismo as empresas podem usar para evitar alterações acidentais feitas por
usuários autorizados?
Select one:
SHA-1
backups
hashing
criptografia
controle da versão
Feedback
O controle da versão garante que dois usuários não consigam atualizar o mesmo objeto.
The correct answer is: controle da versão

Question 8
Correct
Flag question
Question text
Quais são as duas funções hash comuns? (Escolher dois.)
Select one or more:
RSA
RC4
SHA
MD5
ECC
Blowfish
Feedback
SHA e MD5 usam algoritmos matemáticos complexos para calcular valores de hash.
The correct answers are: SHA, MD5
Question 9
Correct
Flag question
Question text
Qual opção é um método de envio de informações de um dispositivo para outro usando
mídias removíveis?
Select one:
com fio
LAN (Rede de área local)
pacote
sem fio
rede sigilosa
infravermelho
Feedback
Rede sigilosa refere-se à entrega em mãos de dados removíveis.
The correct answer is: rede sigilosa
Question 10
Correct
Flag question
Question text
Quais das opções são dois métodos que garantem a confidencialidade? (Escolher dois.)
Select one or more:
autenticação
disponibilidade
não-repúdio
criptografia
autorização
integridade
Feedback
Confidencialidade significa que as informações serão visualizadas apenas por aqueles que
precisam saber delas. Isso pode ser feito pela criptografia de dados e autenticação de
usuários que solicitarem acesso.
The correct answers are: criptografia, autenticação
Question 11
Correct
Flag question
Question text
Quais são os três serviços de segurança de controle de acesso? (Escolha três.)
Select one or more:
rejeição
autenticação
acesso
autorização
auditoria
disponibilidade
Feedback
Esta pergunta refere-se à autenticação AAA, autorização e auditoria.
The correct answers are: autenticação, autorização, auditoria
Question 12
Correct

Flag question
Question text
Quais serviços determinam quais recursos os usuários podem acessar, além das
operações que podem executar?
Select one:
token
autenticação
biometria
auditoria
autorização
Feedback
A autorização determina se um usuário tem certos privilégios de acesso.
The correct answer is: autorização
Question 13
Correct
Flag question
Question text
Quais são os três princípios fundamentais do mundo da segurança cibernética? (Escolha
três.)
Select one or more:
disponibilidade
integridade
criptografia
confidencialidade
segurança
política
Feedback
Três princípios fundamentais são confidencialidade, integridade e disponibilidade.
The correct answers are: confidencialidade, integridade, disponibilidade
Question 14
Correct
Flag question
Question text
Qual tipo de leis de segurança cibernética protege você de uma empresa que possa
querer compartilhar seus dados confidenciais?
Select one:
autenticação
privacidade
não-repúdio
integridade
confidencialidade
Feedback
As leis de privacidade controlam o uso adequado dos dados e o acesso a eles.
The correct answer is: privacidade
Question 15
Correct
Flag question
Question text
Qual nome é dado às alterações nos dados originais, como modificação manual dos dados
pelos usuários, processamento de programas e alteração dos dados, além de falhas em
equipamentos?
Select one:
divulgação
backup
corrupção
exclusão
integridade
modificação
Feedback
A modificação envolve alterações nos dados originais e não completa a exclusão dos
dados.
The correct answer is: modificação
Question 16
Correct
Flag question
Question text
Quais são os dois métodos que ajudam a garantir a disponibilidade do sistema? (Escolher
dois.)
Select one or more:

resiliência do sistema
manutenção de equipamentos
verificações de integridade
extintores de incêndio
backups de sistema
sistemas operacionais atualizados
Feedback
The correct answers are: manutenção de equipamentos, sistemas operacionais

atualizados
Question 17
Incorrect
Flag question
Question text
Quais são os princípios de projeto que ajudam a garantir a alta disponibilidade? (Escolha
três.)
Select one or more:
detecção de falhas à medida que ocorrem
verificação de consistência dos dados
fornecimento de cruzamento confiável
uso de criptografia
eliminação de pontos únicos de falha
garantia da confidencialidade
Feedback
Sistemas de alta disponibilidade normalmente incluem estes três princípios de projeto.
The correct answers are: detecção de falhas à medida que ocorrem, fornecimento de
cruzamento confiável, eliminação de pontos únicos de falha
Question 18
Incorrect
Flag question
Question text
O que é identificado pela primeira dimensão do cubo de segurança cibernética?
Select one:
Ferramentas
proteções
metas
conhecimento
regras
Feedback
A primeira dimensão do cubo mágico da segurança cibernética identifica os objetivos da
proteção do mundo digital.
The correct answer is: metas
Question 19
Correct
Flag question
Question text
Como é chamada uma rede virtual segura que usa a rede pública?
Select one:
IDS
VPN
MPLS
NAC
IPS
Firewall
Feedback
O termo VPN descreve uma rede virtual que usa criptografia para proteger dados quando
trafegam pelos meios de comunicação da Internet.
The correct answer is: VPN
Question 20
Correct
Flag question
Question text
Quais são as três tarefas realizadas por uma política de segurança abrangente? (Escolha
três.)
Select one or more:
definição das consequências jurídicas das violações
imprecisão
utilidade para a gestão
definição das regras de comportamento esperado

não ser juridicamente vinculativo
oferecimento de apoio da gestão aos funcionários de segurança
Feedback
A política define o estabelecimento de regras e diretrizes para a empresa.
The correct answers are: definição das regras de comportamento esperado, definição das
consequências jurídicas das violações, oferecimento de apoio da gestão aos funcionários
de segurança
O que é Malware?
Software mal-intencionado ou malware é um termo usado para descrever o software desenvolvido para
interromper as operações do computador ou obter acesso a sistemas informatizados, sem o
conhecimento ou permissão do usuário. Malware tornou-se um termo genérico usado para descrever
todos os tipos de softwares hostis ou invasores. O termo malware inclui vírus de computador, worms,
cavalos de Troia, ransomware, spyware, adware, scareware e outros programas mal-intencionados. O
malware pode ser óbvio e simples de identificar ou pode ser muito furtivo e quase impossível de detectar.
Vírus, worms e cavalos de troia
Os criminosos virtuais miram os dispositivos finais do usuário por meio da instalação do malware. Clicar
em Play (Reproduzir) para visualizar uma animação dos três tipos mais comuns de malware.
Vírus
Um vírus é um código malicioso executável que está anexado a outro arquivo executável, como um
programa legítimo. A maioria dos vírus necessitam de inicialização do usuário final e podem ser ativados
a uma hora ou data específica. Os vírus de computador geralmente são transmitidos através de uma das
três formas: de mídia removível; de downloads na Internet; e de anexos de e-mail. Os vírus podem ser
inofensivos e apenas exibir uma imagem ou podem ser destrutivos, como os que modificam ou excluem
dados. Para evitar a detecção, o vírus sofre mutação. O simples ato de abrir um arquivo pode ativar um
vírus. Um setor de boot, ou vírus de sistema de arquivo, infecta pen-drives USB e podem ser transmitidos
para o disco de rígido do sistema. A execução de um programa específico pode ativar um vírus de
programa. Uma vez ativo, o vírus de programa normalmente afetará outros programas no computador ou
outros computadores na rede. O vírus Melissa foi um exemplo de transmissão de vírus por e-mail. O vírus
Melissa afetou dezenas de milhares de usuários e causou uma estimativa de US$ 1,2 bilhão em danos.
Clique aqui para obter mais informações sobre vírus.
Worms
Worms é um código malicioso que se replica ao explorar de forma independente vulnerabilidades em

redes. Os worms normalmente deixam a rede mais lenta. Enquanto um vírus requer um programa do host
para execução, os worms podem ser executados se modo autônomo. Exceto pela infecção inicial, os
worms não necessitam mais da participação do usuário. Após afetar o host, um worm é pode ser
transmitido muito rapidamente pela rede. Worms compartilham padrões similares. Todos eles têm
habilitam uma vulnerabilidade, uma maneira de se propagar, e todos eles contêm uma carga.
Os worms são responsáveis por alguns dos ataques mais devastadores na Internet. Por exemplo, em
2001, o worm Code Red infectou 658 servidores. Em 19 horas, o worm infectou mais de 300.000
servidores.
cavalo de troia
Um cavalo de Troia é um malware que realiza operações mal-intencionadas, sob o pretexto de uma
operação desejada, como jogar um game online. Esse código malicioso explora os privilégios do usuário
que o executa. Um cavalo de Troia difere de um vírus porque o cavalo de Troia se liga a arquivos não
executáveis, como arquivos de imagem, arquivos de áudio ou jogos.
Bombas lógicas
Uma bomba lógica é um programa mal-intencionado que utiliza um gatilho para ativar o código malicioso.
Por exemplo, os acionadores podem ser datas, horas, outros programas em execução ou a exclusão de
uma conta de usuário. A bomba lógica permanece inativa até que o evento acionador aconteça. Assim
que ativada, a bomba lógica implementa um código malicioso que danifica um computador. Uma bomba
lógica pode sabotar os registros de banco de dados, apagar arquivos e atacar sistemas operacionais ou
aplicativos. Recentemente, especialistas em segurança digital descobriram bombas lógicas que atacam e
destroem os componentes de hardware em uma estação de trabalho ou servidor, incluindo as ventoinhas,
CPU, memória, discos rígidos e fontes de alimentação. A bomba lógica sobrecarrega esses dispositivos
até o superaquecimento ou falha.
Ransomware
O ransomware aprisiona um sistema de computador ou os dados nele encontrados até que a vítima faça
um pagamento. O ransomware normalmente funciona criptografando os dados no computador com uma
chave desconhecida ao usuário. O usuário deve pagar um resgate aos criminosos para remover a
restrição.
Outras versões do ransomware podem lançar mão das vulnerabilidades de sistemas específicos para
bloquear o sistema. O ransomware se propaga como um cavalo de Troia e resulta de um arquivo baixado
ou de um ponto fraco no software.
A meta do criminoso é sempre o pagamento através de um sistema de pagamento indetectável. Depois

que a vítima efetua o pagamento, o criminoso fornece um programa que descriptografa os arquivos ou
envia um código de desbloqueio. Clique aqui para obter mais informações sobre ransomware.
Backdoors e Rootkits
Um backdoor refere-se ao programa ou código lançado por um criminoso que comprometeu um sistema.
O backdoor ignora a autenticação normal usada para acessar o sistema. Alguns programas comuns de
backdoor são o Netbus e Back Orifice, que permitem o acesso remoto a usuários do sistema não
autorizados. A finalidade do backdoor é conceder aos criminosos virtuais o acesso futuro ao sistema,
mesmo se a empresa corrigir a vulnerabilidade original usada para atacar o sistema. Em geral, os
criminosos fazem com que usuários autorizados executem inconscientemente um programa Cavalo de
Troia na máquina, para instalar um backdoor.
Um rootkit modifica o sistema operacional para criar um backdoor. Os invasores usam o backdoor para
acessar o computador remotamente. A maioria dos rootkits utiliza as vulnerabilidades do software para
escalonar privilégios e modificar arquivos de sistema. O escalonamento de privilégios utiliza os erros de
programação ou falhas de projeto para conceder o acesso criminoso aos recursos e dados da rede.
Também é comum os rootkits modificarem a computação forense do sistema e as ferramentas de
monitoramento, o que os torna muito difíceis de ser detectados. Muitas vezes, um usuário deve apagar e
reinstalar o sistema operacional de um computador infectado por um rootkit.
Defesa contra malware
Alguns passos simples podem ajudar a se proteger contra todas as formas de malware:
• Programa de antivírus - A maioria dos conjuntos de antivírus captura as formas mais comuns de
malware. Contudo, os criminosos virtuais desenvolvem e implantam novas ameaças diariamente.
Portanto, o segredo de uma solução antivírus eficaz é manter as assinaturas atualizadas. Uma
assinatura é como uma impressão digital. Identifica as características de um código malicioso.
• Software atualizado - Muitas formas de malware atingem seus objetivos explorando as
vulnerabilidades do software, no sistema operacional e nos aplicativos. Embora as vulnerabilidades
do sistema operacional sejam a principal fonte de problemas, as vulnerabilidades dos aplicativos
atuais representam o maior risco. Infelizmente, embora os fornecedores de sistemas operacionais
estejam cada vez mais propensos a realizar correções, a maioria dos fornecedores de aplicativos
não está.
Spam
O e-mail é um serviço universal usado por bilhões de pessoas em todo o mundo. Como um dos serviços
mais populares, o e-mail se tornou uma grande vulnerabilidade para usuários e organizações. Spam,
também conhecido como lixo eletrônico, é e-mail não solicitado, nem autorizado. Na maioria dos casos, o
spam é um método de anúncio. Entretanto, o spam pode enviar links perigosos, malware ou conteúdo
enganoso. O objetivo final é obter informações confidenciais, como o número na previdência social ou
informações da conta no banco. A maioria dos spam vem de vários computadores em redes infectadas
por um vírus ou worm. Esses computadores infectados enviam o máximo de lixo eletrônico possível.
Mesmo com essas funcionalidades de segurança implementadas, alguns spams ainda podem passar.
Observe alguns dos indicadores mais comuns de Spam:
• Um e-mail sem assunto.
• Um e-mail solicitando uma atualização de uma conta.
• O texto do e-mail tem erros de ortografia ou uma pontuação estranha.
• Links no e-mail são longos e/ou incompreensíveis.
• Um e-mail parece uma correspondência de uma empresa idônea.
• Um e-mail que solicita que o usuário abra um anexo.
Clique aqui para obter informações adicionais sobre spam.
Se receber um e-mail que contém um ou mais desses indicadores, o usuário não deverá abrir o e-mail ou
os anexos. É muito comum que a política de e-mail de uma empresa exija que um usuário que recebeu
esse tipo de e-mail denuncie para a equipe de segurança digital. Quase todos os provedores de e-mail
filtram spam. Infelizmente, o spam ainda consome a largura de banda e o servidor do destinatário ainda
precisa processar a mensagem.
Spyware, Adware e Scareware
Spyware é o software que permite que um criminoso obtenha informações sobre as atividades do
computador do usuário. O spyware frequentemente inclui rastreadores de atividade, coleta de toque de
tela e captura de dados. Para tentar combater as medidas de segurança, o spyware quase sempre
modifica as configurações de segurança. Muitas vezes, o spyware se junta ao software legítimo ou a
cavalos de Troia. Muitos sites de shareware estão cheios de spyware.
Normalmente, o adware exibe pop-ups irritantes para gerar receita para seus autores. O malware pode
analisar os interesses do usuário rastreando os sites visitados. Em seguida, ele pode enviar anúncios
pop-ups relacionados a esses sites. Algumas versões do software instalam Adware automaticamente.
Alguns tipos de adware só oferecem anúncios, mas também é comum que o adware venha com spyware.
O scareware persuade o usuário a executar uma ação específica por medo. O scareware simula janelas
pop-up que se assemelham às janelas de diálogo do sistema operacional. Essas janelas transmitem
mensagens falsificadas que afirmam que o sistema está em risco ou precisa da execução de um
programa específico para retornar à operação normal. Na verdade, não há problemas e, se o usuário
concordar e permitir a execução do programa mencionado, o malware infectará o sistema.
Phishing
Phishing é uma forma de fraude. Os criminosos virtuais usam e-mail, mensagem instantânea ou outras
mídias sociais para coletar informações, como credenciais de logon ou informações da conta, ao colocar
uma fachada de entidade ou pessoa confiável. O phishing ocorre quando uma parte mal-intencionada
envia um e-mail fraudulento disfarçado de uma fonte legítima e confiável. A intenção da mensagem é
enganar o destinatário para instalar o malware no dispositivo dele ou compartilhar informações pessoais
ou financeiras. Um exemplo de phishing é um e-mail falsificado para parecer que veio de uma loja de
varejo, solicitando que o usuário clique em um link para receber um prêmio. O link pode ir para um site
falso que pede informações pessoais ou pode instalar um vírus.
Spear phishing é um ataque de phishing altamente direcionado. Embora o phishing e o spear phishing
usem e-mails para alcançar as vítimas, o spear phishing envia e-mails personalizados a uma pessoa
específica. O criminoso pesquisas os interesses da vítima antes de enviar o e-mail. Por exemplo, um
criminoso descobre que a vítima está interessada em carros, procurando um modelo específico de carro
para comprar. O criminoso entra no mesmo fórum de discussão de carros utilizado pela vítima, forja uma
oferta de venda de carro e envia um e-mail para o alvo. O e-mail contém um link para as fotos do carro.
Ao clicar no link, a vítima instala inconscientemente o malware no computador. Clique aqui para saber
mais sobre fraudes de e-mail.
Vishing, Smishing, Pharming e Whaling
Vishing é o phishing que usa a tecnologia de comunicação de voz. Os criminosos podem falsificar as
chamadas de origens legítimas usando a tecnologia VoIP (voice over IP). As vítimas também podem
receber uma mensagem gravada que pareça legítima. Os criminosos querem obter números de cartão de
crédito ou outras informações para roubar a identidade da vítima. O vishing se vale do fato de que as
pessoas confiam na rede telefônica.
Smishing (Short Message Service phishing) é o phishing que usa mensagens de texto em celulares. Os
criminosos se passam por uma fonte legítima na tentativa de ganhar a confiança da vítima. Por exemplo,
um ataque de smishing pode enviar à vítima o link de um site. Quando a vítima visita o site, o malware é
instalado no telefone celular.
Pharming é a representação de um site legítimo na tentativa de enganar os usuários para inserir as

credenciais. O pharming leva os usuários para um site falso que parece ser oficial. Então, as vítimas
digitam as informações pessoais, achando que estão conectadas a um site legítimo.
Whaling é um ataque de phishing que buscam vítimas de alto perfil em uma empresa, como executivos
seniores. Outras vítimas incluem políticos ou celebridades.
Clique aqui para ler um artigo de RSA sobre phishing, smishing, vishing e whaling.
Plugins de navegador e envenenamento de navegador
Asviolações de segurança podem afetar os navegadores da Web, exibindo anúncios de pop-up, coletando
informações pessoais identificáveis ou instalando adware, vírus ou spyware. Um criminoso pode invadir
um arquivo executável, os componentes ou plugins do navegador.
Plugins
Os plugins Flash e Shockwave da Adobe permitem a criação de animações gráficas e desenhos

interessantes que melhoram muito o visual de uma página da Web. Os plugins exibem o conteúdo
desenvolvido usando o software apropriado.
Até pouco tempo, os plugins tinham um registro de segurança considerável. À medida que o conteúdo
baseado em Flash cresceu e se tornou mais popular, os criminosos examinaram os plugins e softwares
Flash, determinaram vulnerabilidades e exploraram o Flash Player. A exploração com sucesso pode
causar uma falha no sistema ou permitir que um criminoso assuma o controle do sistema afetado. Espera-
se um aumento nas perdas de dados à medida que os criminosos continuem analisando as
vulnerabilidades dos plugins e protocolos mais populares.
Envenenamento de SEO
Os mecanismos de busca, como o Google, classificam as páginas e apresentam resultados relevantes

com base nas consultas da pesquisa dos usuários. Dependendo da relevância do conteúdo do site, ele
pode aparecer mais alto ou mais baixo na lista de resultado da pesquisa. SEO, abreviação de Search
Engine Optimization (Otimização de mecanismos de busca), é um conjunto de técnicas usadas para
melhorar a classificação do site por um mecanismo de pesquisa. Embora muitas empresas legítimas se
especializem na otimização de sites para melhor posicioná-las, o envenenamento de SEO usa a SEO
para que um site mal-intencionado fique mais alto nos resultados da pesquisa.
O objetivo mais comum do envenenamento de SEO é para aumentar o tráfego em sites maliciosos que
podem hospedar malware ou executar engenharia social. Para forçar um site malicioso a obter uma
classificação mais elevada nos resultados de pesquisa, os invasores utilizam termos de busca populares.
Sequestrador de navegador
Um sequestrador de navegador é o malware que altera as configurações do navegador de um

computador para redirecionar o usuário para sites pagos pelos clientes de criminosos virtuais.
Normalmente, os sequestradores de navegador são instalados sem a permissão do usuário e fazem parte
de um download drive-by. Um download drive-by é um programa que é transferido para o computador
automaticamente, quando um usuário visita um site da Web ou visualiza uma mensagem de e-mail HTML.
Sempre leia atentamente os contratos do usuário ao baixar programas, para evitar esse tipo de malware.
Engenharia social
Engenharia social é um meio totalmente não técnico de um criminoso coletar informações sobre a vítima.
Engenharia social é um ataque que tenta manipular indivíduos para realizar ações ou divulgar
informações confidenciais.
Os engenheiros sociais frequentemente dependem da boa vontade das pessoas para ajuda, mas também
miram nos pontos fracos. Por exemplo, um invasor pode chamar um funcionário autorizado com um
problema urgente, que requer acesso imediato à rede. O invasor pode recorrer à vaidade do funcionário,
valer-se de autoridade usando técnicas que citam nomes ou apelar para a ganância do funcionário.
Há alguns tipos de ataques de Engenharia social:
Pretexting - Ocorre quando um invasor chama uma pessoa e mente para ela na tentativa de obter acesso
a dados confidenciais. Um exemplo envolve um invasor que finge precisar de dados pessoais ou
financeiros para confirmar a identidade do destinatário.
Something for Something (Quid pro quo) - Ocorre quando um invasor solicita informações pessoais de
uma pessoa em troca de algo, como um presente.
Táticas de Engenharia social
Engenheiros sociais utilizam várias táticas. As táticas de engenharia social incluem:
• Autoridade – As pessoas são mais propensas a cooperar quando instruídas por "uma autoridade"
• Intimidação – Os criminosos intimidam a vítima a realizar uma ação
• Consenso/prova social – As pessoas realizarão essa ação se acharem que as outras pessoas
aprovarão
• Escassez – As pessoas realizarão essa ação se acharem que existe uma quantidade limitada
• Urgência – As pessoas realizarão essa ação se acharem que existe um tempo limitado
• Familiaridade/gosto – Os criminosos criam empatia com a vítima para estabelecer um

relacionamento
• Confiança – Os criminosos criam uma relação de confiança com uma vítima, que pode precisar de
mais tempo para ser estabelecida
Clicar em cada tática na figura para ver um exemplo.
Os profissionais desegurança digital são responsáveis por ensinar os outros funcionários da empresa
sobre as táticas dos engenheiros sociais. Clique aqui para saber mais sobre táticas de engenharia social.
Shoulder Surfing e busca de informações na lixeira
Um criminoso observa ou bisbilhota a vítima para obter PINs, códigos de acesso ou números de cartão de
crédito. Um invasor pode estar perto da sua vítima ou pode usar binóculos ou câmeras de circuito fechado
para descobrir informações. É por isso que uma pessoa só pode ler uma tela de ATM em determinados
ângulos. Esses tipos de proteções dificultam muito o Shoulder Surfing.
"A lixeira de um homem é o tesouro de outro". Essa frase pode ser especialmente verdadeira no mundo
da busca de informações na lixeira, que é o processo de revirar o lixo da vítima para ver quais
informações uma empresa descartou. Considere a possibilidade de proteger a lixeira. Quaisquer
informações confidenciais devem ser devidamente eliminadas através de trituração ou do uso de sacos de
incineração, um recipiente que contém documentos confidenciais ou secretos para posterior destruição
pelo fogo.
Representação e farsas
A representação é o ato de fingir ser outra pessoa. Por exemplo, um scam de telefone recente mirava nos
contribuintes. Um criminoso, disfarçado de funcionário da Receita Federal, dizia para as vítimas que elas
deviam dinheiro à Receita. As vítimas devem pagar imediatamente através de uma transferência
bancária. O impostor ameaçou que a falta de pagamento resultará em prisão. Os criminosos também
usam a representação para atacar os outros. Eles podem prejudicar a credibilidade das pessoas, usando
publicações em site ou redes sociais.
Uma farsa é um ato com a finalidade de enganar ou ludibriar. Uma farsa virtual pode causar tanto
problema quanto uma violação real. Uma farsa provoca uma reação do usuário. A reação pode criar um
medo desnecessário e um comportamento irracional. Os usuários passam as farsas por e-mail e redes
sociais. Clique aqui para acessar um site que relaciona mensagens de farsa.
Piggybacking e tailgating
Piggybacking ocorre quando um criminoso se identifica juntamente com uma pessoa autorizada, para
entrar em um local protegido ou uma área restrita. Os criminosos usam vários métodos de piggyback:
• Parecem ser escoltados pela pessoa autorizada
• Juntam-se a uma grande multidão, fingindo ser um membro

• Escolhem uma vítima que é descuidada em relação às regras do estabelecimento
Tailgating é outro termo que descreve a mesma prática.
Uma armadilha evita o piggybacking, usando dois conjuntos de portas. Depois que os indivíduos entram
pela porta externa, essa porta deve fechar antes que entrem na porta interna.
Disfarce on-line, no e-mail e na Web
Encaminhar e-mails de farsa e outras piadas, filmes engraçados e e-mails não relacionados ao trabalho
durante o expediente pode violar a política de uso aceitável pela empresa e resultar em ações
disciplinares. Clique aqui para acessar um site que publica rumores e o fato que confirma as informações.
Defesa contra disfarce
As empresas precisam promover a conscientização das táticas de engenharia social e orientar os

funcionários corretamente sobre medidas de prevenção como as seguintes:
• Nunca fornecer informações confidenciais ou secretas por e-mail, sessões de bate-papo,

pessoalmente ou por telefone às pessoas desconhecidas.
• Resistir à tentação de clicar em e-mails e links de site atraentes.
• Ficar de olho em downloads não iniciados ou automáticos.
• Estabelecer políticas e instruir os funcionários sobre essas políticas.
• Quando se trata de segurança, dar um sentido de apropriação aos funcionários.
• Não se submeter à pressão de pessoas desconhecidas.
Clique aqui para saber mais sobre conscientização de segurança digital
Negação de serviço
Os ataques de negação de serviço (DoS) são um tipo de ataque à rede. Um ataque de negação de
serviço (DoS) resulta em algum tipo de interrupção de serviço aos usuários, dispositivos ou aplicações.
Existem dois tipos principais de ataque de negação de serviço (DoS):
• Quantidade exorbitante de tráfego – O invasor envia uma enorme quantidade de dados a uma
taxa que a rede, o host ou o aplicativo não pode suportar. Isso causa uma desaceleração na
transmissão ou resposta ou uma falha em um dispositivo ou serviço.
• Pacotes formatados maliciosamente – O invasor envia um pacote formatado maliciosamente

para um host ou aplicativo e o receptor não consegue contê-lo. Por exemplo, um aplicativo não
pode identificar os pacotes que contêm erros ou os pacotes formatados incorretamente
encaminhados pelo invasor. Isso causa lentidão ou falha na execução do dispositivo receptor.
Os ataques de negação de serviço (DoS) são um grande risco porque podem facilmente interromper a
comunicação e causar perda significativa de tempo e dinheiro. Esses ataques são relativamente simples
de conduzir, mesmo por um invasor não capacitado.
O objetivo de um ataque de negação de serviço é negar acesso aos usuários autorizados, tornando a
rede indisponível (lembre-se dos três princípios básicos de segurança: confidencialidade, integridade e
disponibilidade). Clicar em Play (Reproduzir) na Figura 1 para visualizar a animação de um ataque de
negação de serviço (DoS).
Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de negação de serviço

(DoS), porém é originado por várias fontes coordenadas. Por exemplo, um ataque de negação de serviço
distribuída (DDoS) pode ocorrer da seguinte maneira:
Um invasor cria uma rede de hosts infectados, denominada botnet, composta por zumbis. Os zumbis são
os hosts infectados. O invasor usa um sistema de controle para controlar os zumbis. Os computadores
zumbis examinam e infectam constantemente mais hosts, criando mais zumbis. Quando está pronto, o
hacker instrui os sistemas controlador para fazer com que o botnet de zumbis execute um ataque de
negação de serviço distribuído (DDoS).
Clicar em Play (Reproduzir) na Figura 2 para visualizar as animações de um ataque de negação de

serviço distribuída (DDoS). Um ataque de negação de serviço distribuída (DDoS) usa muitos zumbis para
sobrecarregar uma vítima.
Sniffing
Sniffing é semelhante a espionar alguém. Eles ocorrem quando os invasores examinam todo o tráfego de
rede à medida que passa pelo NIC, independentemente de se o tráfego é endereçado a eles ou não. Os
criminosos conseguem fazer sniffing de rede com um aplicativo, dispositivo de hardware ou uma
combinação dos dois. Como mostrado na figura, o sniffing visualiza todo o tráfego de rede ou atinge um
protocolo específico, serviço ou até mesmo uma sequência de caracteres, como um login ou senha.
Alguns sniffers de rede observam todo o tráfego e modificam o tráfego parcial ou totalmente.
Sniffing também tem seus benefícios. Os administradores de rede também podem usar sniffers para
analisar o tráfego de rede, identificar problemas de largura de banda e solucionar outros problemas de
rede.
A segurança física é importante para evitar a entrada de sniffers na rede interna.
Spoofing
Spoofing é um ataque de representação e tira proveito de uma relação de confiança entre os dois
sistemas. Se os dois sistemas aceitam a autenticação de cada um deles, um indivíduo conectado a um
sistema pode não passar novamente pelo processo de autenticação novamente para acessar outro
sistema. Um invasor pode se aproveitar desse arranjo, enviando um pacote para um sistema que parece
ter vindo de um sistema confiável. Como a relação de confiança é estabelecida, o sistema-alvo pode
executar a tarefa solicitada sem autenticação.
Existem vários tipos de ataques de spoofing:

• O spoofing do endereço MAC ocorre quando um computador aceita pacotes de dados com base no
endereço MAC de outro computador.
• O spoofing de IP envia pacotes IP com um endereço de origem falsificado para se disfarçar.
• O Address Resolution Protocol (ARP) é um protocolo que mapeia os endereços IP para endereços
MAC para transmissão de dados. O spoofing de ARP envia mensagens falsificadas de ARP através
de uma LAN para vincular o endereço MAC do criminoso ao endereço IP de um membro autorizado
da rede.
• O Domain Name System (DNS) associa os nomes de domínio aos endereços IP. O spoofing do
servidor DNS modifica o servidor DNS para redirecionar um nome de domínio específico para um
endereço IP diferente, controlado pelo criminoso.
Man-in-the-middle
Um criminoso executa um ataque Man-in-the-middle (MitM), interceptando as comunicações entre

computadores para roubar as informações que passam pela rede. O criminoso também pode optar por
manipular as mensagens e transmitir informações falsas entre os hosts, já que os hosts não sabem que
uma modificação de mensagens ocorreu. O MitM permite que o criminoso tenha o controle sobre um
dispositivo sem o conhecimento do usuário.
Clicar nos passos na figura para aprender as noções básicas do ataque MitM.
Man-In-The-Mobile (MitMo) é uma variação do man-in-middle. O MitMo assume o controle de um

dispositivo móvel. O dispositivo móvel infectado envia as informações confidenciais do usuário para os
invasores. ZeuS, um exemplo de exploit com capacidades de MitMo, permite que os invasores capturem
silenciosamente as mensagens de SMS de verificação de 2 passos enviadas para os usuários. Por
exemplo, ao configurar um ID da Apple, o usuário deve fornecer um número de telefone habilitado para
SMS para receber um código de verificação temporário via mensagem de texto, para comprovar a
identidade do usuário. O malware espiona esse tipo de comunicação e retransmite as informações para
os criminosos.
Um ataque de repetição ocorre quando um invasor captura uma parte de uma comunicação entre dois
hosts e, então, retransmite a mensagem capturada mais tarde. Os ataques de repetição driblam os
mecanismos de autenticação.
Ataques de Dia Zero
Um ataque de dia zero, às vezes conhecido como uma ameaça de dia zero, é um ataque de computador
que tenta explorar as vulnerabilidades do software que são desconhecidas ou não divulgadas pelo
fornecedor do software. O termo zero hora descreve o momento em que alguém descreve essas
explorações. Durante o tempo que os fornecedores de software demoram para desenvolver e liberar um
patch, a rede está vulnerável a essas explorações, como mostrado na figura. A defesa contra esses
ataques rápidos requer que os profissionais de rede adotem uma visão mais sofisticada da arquitetura da
rede. Não é mais possível conter as intrusões em alguns pontos da rede.
Keyboard Logging
O Keyboard Logging é um programa de software que grava ou registra os toques de teclas do usuário do
sistema. Os criminosos podem implementar registradores de toque de tela no software instalado em um
sistema de computador ou por meio de um hardware fisicamente conectado a um computador. O
criminoso configura o software registrador de tecla para enviar um e-mail com o arquivos de log. Os
toques de tela capturados no arquivo de log podem revelar nomes de usuários, senhas, sites visitados e
outras informações confidenciais.
Os registradores de teclado podem ser um software comercial legítimo. Geralmente, os pais compram
software registradores de tecla para rastrear os sites e o comportamento dos filhos que utilizam a Internet.
Muitos aplicativos anti-spyware são capazes de detectar e remover registradores de tecla não
autorizados. Embora o software de registro de tela seja legal, os criminosos usam o software para fins
ilegais.
Defesa contra ataques
Uma empresa pode tomar uma série de medidas para se defender contra diversos ataques. Configurar
firewalls para descartar todos os pacotes de fora da rede, com endereços que indiquem que foram
originados dentro da rede. Essa situação não ocorre normalmente e isso indica que um criminoso virtual
tentou executar um ataque de spoofing.
Para evitar ataques DoS e DDoS, assegure que os patches e upgrades sejam atuais, distribua a carga de
trabalho entre os sistemas de servidor e bloqueie os pacotes externos de Internet Control Message
Protocol (ICMP) na borda da rede. Os dispositivos de rede usam pacotes ICMP para enviar mensagens
de erro. Por exemplo, o comando ping usa pacotes ICMP para verificar se um dispositivo pode se
comunicar com outro na rede.
Os sistemas podem impedir que a vítima sofra um ataque de repetição, criptografando o tráfego,
fornecendo autenticação criptográfica e incluindo um carimbo de hora em cada parte da mensagem.
Clique aqui para saber mais sobre as formas de evitar ataques virtuais.
Capítulo 4: A arte de proteger segredos
Os princípios da criptologia explicam como os protocolos e algoritmos da modernidade protegem as

comunicações. A criptologia é a ciência de criar e violar os códigos secretos. Criptografia é o
desenvolvimento e utilização de códigos. Criptoanálise é o estudo e quebra de códigos. A sociedade usa
a criptografia há séculos para proteger documentos confidenciais. Por exemplo, Júlio César usou uma
cifra alfabética simples para criptografar mensagens para seus generais no campo. Seus generais tinham
conhecimento da chave de criptografia necessária para decifrar as mensagens. Atualmente, os métodos
de criptografia modernos garantem comunicações seguras.
O controle de acesso é, como está implícito no nome, uma forma controlar o acesso a edifícios, salas,
sistemas, bancos de dados, arquivos e informações. As empresas usam diversas técnicas de controle de
acesso para proteger a confidencialidade. Este capítulo examinará as quatro etapas no processo de
controle de acesso: 1) a identificação, 2) autenticação, 3) autorização e 4) auditoria. Além disso, o capítulo
descreve os modelos diferentes de controle de acesso e os tipos de controle de acesso.
O capítulo conclui com uma discussão de várias maneiras de os usuários mascararem dados. A
ofuscação de dados e a estenografia são as duas técnicas usadas para obter o mascaramento de dados.
O que é criptografia?
A criptologia é a ciência de criar e violar os códigos secretos. A criptografia é o modo de armazenar e

transmitir dados, de modo que somente o destinatário pretendido possa ler ou processá-los. A criptografia
moderna usa algoritmos seguros em relação à computação para nos certificar de que criminosos virtuais
não possam comprometer facilmente as informações protegidas.
A confidencialidade de dados assegura a privacidade para que apenas o destinatário desejado possa ler
a mensagem. As partes obtêm a confidencialidade por meio da da criptografia. A criptografia é o processo
de embaralhamento de dados para impedir que uma pessoa não autorizada leia os dados com facilidade.
Ao ativar a criptografia, os dados legíveis contêm texto claro ou texto não criptografado, enquanto a
versão criptografada contém texto criptografado ou texto codificado. A criptografia converte a mensagem
legível de texto claro em texto codificado, que é a mensagem ilegível disfarçada. A descriptografia reverte
o processo. A criptografia também precisa de uma chave, que desempenha um papel crítico para
criptografar e descriptografar uma mensagem. A pessoa que possui a chave pode descriptografar o texto
codificado para texto claro.
Historicamente, as partes utilizaram vários métodos e algoritmos de criptografia. Um algoritmo é o

processo ou fórmula usada para resolver um problema. Acredita-se que Júlio César protegia as
mensagens, colocando dois conjuntos do alfabeto lado a lado e, em seguida, trocando um deles por um
número específico de casas. O número de casas na troca atua como chave. Ele convertia o texto claro em
texto codificado usando essa chave e somente seus generais, que também tinham a chave, sabiam como
decifrar as mensagens. Esse método é a cifra de César. A figura mostra uma mensagem secreta que usa
a cifra de César.
A história da criptografia
O histórico de criptografia começou em círculos diplomáticos há milhares de anos. Os mensageiros da

corte real levavam mensagens criptografadas para outras cortes. Ocasionalmente, cortes não envolvidas
na comunicação tentavam roubar as mensagens enviadas a um reino considerado inimigo. Não muito
tempo depois, os comandantes começaram a usar a criptografia para proteger as mensagens.
Ao longo dos séculos, vários métodos de cifra, dispositivos físicos e materiais de apoio criptografaram e
descriptografaram texto:
• Cítala (figura 1)
• Cifra de César (figura 2)
• Cifra de Vigenère (figura 3)
• Máquina Enigma (figura 4)
Todos os métodos de cifra usam uma chave para criptografar ou descriptografar uma mensagem. A chave
é um componente importante do algoritmo de criptografia. Um algoritmo de criptografia é tão bom quanto
a chave usada. Quanto mais complexidade envolvida, mais seguro é o algoritmo. O gerenciamento de
chave é uma peça importante do processo.
Criação de texto codificado
Cada método de criptografia usa um algoritmo específico, chamado código, para criptografar e
descriptografar as mensagens. Um código é uma série de etapas bem definidas usadas para criptografar
e descriptografar as mensagens. Há vários métodos de criar um texto codificado:
• Transposição – as letras são reorganizadas (figura 1)

• Substituição – as letras são substituídas (figura 2)
• Cifra de uso único – o texto claro, combinado com uma chave secreta, cria um novo caractere que é
combinado com o texto claro para gerar o texto codificado (figura 3)
Os algoritmos de criptografia antigos, como a cifra de César ou a máquina Enigma, dependiam do sigilo
do algoritmo para obter a confidencialidade. Com a tecnologia moderna, a engenharia reversa muitas
vezes é simples, então as partes usam algoritmos de domínio público. Com os algoritmos mais modernos,
a descriptografia requer o conhecimento das chaves criptográficas corretas. Isto significa que a segurança
da criptografia depende do segredo das chaves, não do algoritmo.
Alguns algoritmos de criptografia modernos ainda usam a transposição como parte do algoritmo.
O gerenciamento de chaves é a parte mais difícil do projeto de um criptossistema. Muitos criptossistemas

falharam devido a erros no gerenciamento de chave e todos os algoritmos de criptografia modernos
requerem procedimentos de gerenciamento de chaves. Na prática, a maioria dos ataques em sistemas
criptográficos envolve o sistema de gerenciamento de chave, ao invés do próprio algoritmo criptográfico.
Dois tipos de criptografia
A cifragem criptográfica pode oferecer confidencialidade, incorporando várias ferramentas e protocolos.

Existem duas abordagens para garantir a segurança dos dados ao usar a criptografia. A primeira é
proteger o algoritmo. Se a segurança de um sistema de criptografia depende do sigilo do próprio
algoritmo, o aspecto mais importante é proteger o algoritmo a todo o custo. Toda vez que uma pessoa
descobre os detalhes do algoritmo, cada parte envolvida precisa alterar o algoritmo. Essa abordagem não
parece muito segura ou gerenciável. A segunda abordagem é para proteger as chaves. Com a criptografia
moderna, os algoritmos são públicos. As chaves criptográficas asseguram o sigilo dos dados. As chaves
criptográficas são senhas que fazem parte da entrada de um algoritmo de criptografia, juntamente com os
dados que requerem criptografia.
Há duas classes de algoritmos de criptografia:
Algoritmos simétricos - Esses algoritmos usam a mesma chave pré-compartilhada, às vezes chamada
de par de chaves secretas, para criptografar e descriptografar dados. O remetente e o destinatário
conhecem a chave pré-compartilhada, antes de qualquer comunicação criptografada começar. Como
mostrado na figura 1, os algoritmos simétricos usam a mesma chave para criptografar e descriptografar o
texto claro. Os algoritmos de criptografia que usam uma chave comum são mais simples e precisam de
menos potência computacional.
Algoritmos assimétricos - A criptografia assimétrica usa uma chave para criptografar os dados e uma
chave diferente para descriptografá-los. Uma chave é pública e outra é privada. Em um sistema de
criptografia de chave pública, qualquer pessoa pode codificar uma mensagem utilizando a chave pública
do destinatário e o destinatário é o único que pode decifrá-la usando sua chave privada. As partes trocam
mensagens seguras sem precisar de uma chave pré-compartilhada, como mostrado na figura 2.
Algoritmos assimétricos são mais complexos. Esses algoritmos usam muitos recursos e são mais lentos.
Tipo de criptografia
Os tipos mais comuns de criptografia são as cifras de blocos e as cifras de fluxo. Cada método tem uma
maneira diferente para agrupar os bits de dados para criptografá-los.
Cifras de blocos
As cifras de blocos transformam um bloco de tamanho fixo de texto claro em um bloco comum de texto
codificado de 64 ou 128 bits. O tamanho do bloco é a quantidade de dados criptografados a qualquer
momento. Para descriptografar o texto codificado, aplique a transformação inversa para o bloco de texto
codificado, usando a mesma chave secreta.
Normalmente, as cifras de blocos resultam em dados de saída maiores do que os dados de entrada, pois
o texto codificado deve ser um múltiplo do tamanho do bloco. Por exemplo, Data Encryption Standard
(DES) é um algoritmo simétrico que criptografa blocos em partes de 64 bits, usando uma chave de 56 bits.
Para tanto, o algoritmo de bloco leva uma parte dos dados de cada vez, por exemplo, 8 bytes por parte,
até que todo o bloco esteja completo. Se houver menos dados do que um bloco de entrada completo, o
algoritmo acrescentará dados artificiais ou espaços em branco, até usar uma parte completa de 64 bits,
como mostrado na figura 1 para os 64 bits à esquerda.
Cifras de fluxo
Ao contrário das cifras de blocos, as cifras de fluxo criptografam um byte de texto claro ou um bit de cada
vez, como mostrado na figura 2. Imagine as cifras de fluxo como uma cifra de blocos de um bit. Com uma
cifra de fluxo, a transformação dessas unidades de texto claro menores varia, dependendo de quando são
encontrados durante o processo de criptografia. As cifras de fluxo podem ser muito mais rápidas do que
as cifras de blocos e geralmente não aumentam o tamanho da mensagem, pois podem criptografar um
número arbitrário de bits.
A5 é uma cifra de fluxo que oferece privacidade de voz e criptografa as comunicações de telefonia celular.
Também é possível usar o DES em modo de cifra de fluxo.
Sistemas criptográficos complexos podem combinar bloco e fluxo no mesmo processo.

Algoritmos de criptografia simétrica
Vários sistemas de criptografia usam a criptografia simétrica. Alguns dos padrões de criptografia comuns
que usam criptografia simétrica incluem o seguinte:
3DES (triplo DES): Digital Encryption Standard (DES) é uma cifra de blocos simétrica de 64 bits, que usa
uma chave de 56 bits. Essa cifra usa um bloco de 64 bits de texto claro como entrada e um bloco de 64
bits de texto codificado como saída. Sempre opera em blocos de igual tamanho e usa permutações e
substituições no algoritmo. Permutação é uma maneira de organizar todos os elementos de um conjunto.
O Triplo DES criptografa três vezes os dados e usa uma chave diferente para, no mínimo, uma das três
passagens, fornecendo um tamanho de chave cumulativa de 112-168 bits. O 3DES é resistente ao
ataque, mas é muito mais lento do que o DES.
O ciclo de criptografia do 3DES ocorre da seguinte forma:
1. Dados criptografados pelo primeiro DES
2. Dados descriptografados pelo segundo DES
3. Dados criptografados novamente pelo terceiro DES
O processo inverso descriptografa o texto codificado.
IDEA: O Algoritmo de Criptografia de Dados (IDEA) usa blocos de 64 bits e chaves de 128 bits. O IDEA
realiza oito transformações em cada um dos 16 blocos que resultam na divisão de cada bloco de 64 bits.
O IDEA substituiu o DES e agora o PGP (Pretty Good Privacy) o utiliza. PGP é um programa que oferece
privacidade e autenticação para comunicação de dados. GNU Privacy Guard (GPG) é uma versão
licenciada e gratuita do PGP.
AES: O Advanced Encryption Standard (AES) tem um tamanho de bloco fixo de 128 bits, com um
tamanho de chave de 128, 192 ou 256 bits. O Instituto Nacional de Padrões e Tecnologia (NIST) aprovou
o algoritmo AES em dezembro de 2001. O governo norte-americano usa o AES para proteger as
informações confidenciais.
O AES é um algoritmo forte que usa chaves de comprimentos maiores. O AES é mais rápido do que DES
e 3DES, portanto, oferece uma solução tanto para aplicações de software quanto para uso de hardware
em firewalls e roteadores.
Outras cifras de bloco incluem Skipjack (desenvolvido pela NSA), Blowfish e Twofish.
O processo de criptografia assimétrica
A criptografia assimétrica, também chamada de criptografia de chave pública, utiliza uma chave de
criptografia que é diferente da chave usada para descriptografia. Um criminoso não pode calcular uma
chave de descriptografia baseada no conhecimento da chave de criptografia e vice-versa, em qualquer
período razoável.
Se Alice e Bob trocarem uma mensagem secreta usando a criptografia de chave pública, eles usarão um
algoritmo assimétrico. Desta vez, Bob e Alice não compartilham as chaves antes de enviar mensagens
secretas. Em vez disso, Bob e Alice possuem um cadeado separado cada um, com as chaves diferentes
correspondentes. Para enviar uma mensagem secreta a Bob, Alice deve entrar em contato com ele
primeiro e pedir para que ele envie o cadeado aberto para ela. Bob envia o cadeado, mas mantém a
chave. Ao receber o cadeado, Alice escreve a mensagem secreta e a coloca em uma caixa pequena. Ela
também coloca seu cadeado aberto na caixa, mas mantém a chave. Então, ela fecha a caixa com o
cadeado de Bob. Ao fechar a caixa, Alice não consegue mais abrir já que ela não tem a chave desse
cadeado. Ela envia a caixa para Bob e, como a caixa viaja pelo sistema de correio, ninguém é capaz de
abri-la. Quando Bob recebe a caixa, ele pode usar a chave para abrir a caixa e recuperar a mensagem da
Alice. Para enviar uma resposta segura, Bob coloca a mensagem secreta na caixa, juntamente com o
cadeado aberto e fecha a caixa usando o cadeado da Alice. Bob envia a caixa segura novamente para
Alice.
Por exemplo, na figura 1, Alice solicita e obtém a chave pública de Bob. Na figura 2, Alice usa a chave
pública de Bob para criptografar uma mensagem com um algoritmo estabelecido. Alice envia a mensagem
criptografada para Bob e, então, Bob usa a chave privada para descriptografar a mensagem, como
mostrado na figura 3.
Algoritmos de criptografia assimétrica
Os algoritmos assimétricos usam fórmulas que qualquer pessoa pode procurar. O par de chaves
independentes é o que torna esses algoritmos seguros. Os algoritmos assimétricos incluem:
RSA (Rivest-Shamir-Adleman) - Usa o produto de dois números primos muito grandes, com um
tamanho igual de 100 a 200 dígitos. Os navegadores usam RSA para estabelecer uma conexão segura.
Diffie-Hellman - Fornece um método de troca eletrônica para compartilhar a chave secreta. Os protocolos
seguros, como Secure Sockets Layer (SSL), Transport Layer Security (TLS), Secure Shell (SSH) e
Internet Protocol Security (IPsec) usam Diffie-Hellman.
ElGamal - Usa o padrão do governo dos E.U.A. para assinaturas digitais. Esse algoritmo é gratuito
porque ninguém detém a patente.
Criptografia de curva elíptica (ECC) - Usa curvas elípticas como parte do algoritmo. Nos Estados
Unidos, a Agência Nacional de Segurança usa ECC para geração de assinatura digital e troca de chave.
Gerenciamento de chaves
O gerenciamento de chave inclui a geração, troca, armazenamento, utilização e substituição das chaves
usadas em um algoritmo de criptografia.
O gerenciamento de chaves é a parte mais difícil no projeto de um criptossistema. Muitos criptossistemas

falharam devido a erros nos procedimentos de gerenciamento de chave. Na prática, a maioria dos
ataques em sistemas criptográficos aponta para o nível de gerenciamento de chave, ao invés do próprio
algoritmo criptográfico.
Como mostrado na figura, existem várias características essenciais do gerenciamento de chave a serem
consideradas.
Os dois termos usados para descrever as chaves são:
• Tamanho da chave - É a medida em bits.
• Espaço da chave - É o número de possibilidades que um tamanho de chave específico pode gerar.
O espaço da chave aumenta exponencialmente à medida que o tamanho da chave aumenta. O espaço
da chave de um algoritmo é o conjunto de todos os valores de chave possíveis. As chaves maiores são
mais seguras; porém, também usam muitos recursos. Quase todos os algoritmos possuem algumas
chaves fracas no espaço da chave, que permitem que um criminoso quebre a criptografia usando um
atalho.
Comparação de tipos de criptografia
É importante compreender as diferenças entre os métodos de criptografia simétrica e assimétrica. Os

sistemas de criptografia simétrica são mais eficientes e podem lidar com mais dados. No entanto, os
sistemas de gerenciamento de chave com criptografia simétrica são mais problemáticos e difíceis de
gerenciar. A criptografia assimétrica é mais eficiente na proteção da confidencialidade de pequenas
quantidades de dados e o seu tamanho a torna mais segura para tarefas como troca de chave eletrônica,
que é uma pequena quantidade de dados em vez da criptografia de grandes blocos de dados.
A manutenção da confidencialidade é importante para dados inativos e dados em movimento. Em ambos

os casos, a criptografia simétrica é favorecida devido a sua velocidade e à simplicidade do algoritmo.
Alguns algoritmos assimétricos podem aumentar consideravelmente o tamanho do objeto criptografado.
Portanto, no caso de dados em movimento, use a criptografia com chave pública para compartilhar a
chave secreta e, então, a criptografia simétrica para assegurar a confidencialidade dos dados enviados.
Aplicações
Há várias aplicações para os algoritmos simétricos e assimétricos.
Um token gerador de senha de uso único é um dispositivo de hardware que usa criptografia para gerar
uma senha de uso único. Uma senha de uso único é uma cadeia de caracteres numérica ou alfanumérica
gerada automaticamente que autentica um usuário para uma transação de uma sessão somente. O
número muda a cada 30 segundos. A senha de sessão aparece em um visor e o usuário insere a senha.
O setor de pagamento eletrônico usa o 3DES. Os sistemas operacionais usam DES para proteger os
arquivos e os dados do sistema com senhas. A maioria dos sistemas de arquivo de criptografia, como
NTFS, usa AES.
Quatro protocolos usam algoritmos de chave assimétrica.
• Internet Key Exchange (IKE), que é um componente fundamental das redes virtuais privadas IPsec
(VPNs).
• Secure Socket Layer (SSL), que é um meio de implementar a criptografia em um navegador da

Web.
• Secure Shell (SSH), que é um protocolo que fornece uma conexão de acesso remoto seguro a
dispositivos de rede.
• Pretty Good Privacy (PGP), que é um programa de computador que fornece privacidade
criptográfica e autenticação para aumentar a segurança de comunicações de e-mail.
Uma VPN é uma rede privada que usa rede pública, geralmente a internet, para criar um canal de
comunicação seguro. Uma VPN conecta dois endpoints, como dois escritórios remotos, pela Internet com
o objetivo de formar a conexão.
As VPNs usam IPsec. IPsec é um conjunto de protocolos desenvolvido para obter serviços seguros pelas
redes. Os serviços de IPsec permitem a autenticação, integridade, controle de acesso e confidencialidade.
Com a IPsec, os sites remotos podem trocar informações criptografadas e verificadas.
Os dados em uso são uma preocupação crescente para várias empresas. Quando em uso, os dados não
têm mais proteção porque o usuário precisa abrir e alterar os dados. A memória do sistema guarda os
dados em uso e pode conter dados confidenciais, como chave de criptografia. Se criminosos
comprometerem os dados em uso, eles terão acesso aos dados inativos e aos dados em movimento.
Controles de acesso físico
Controles de acesso físico são barreiras reais implantadas para evitar o contato direto com os sistemas. A
meta é prevenir que usuários não autorizados acessem fisicamente as instalações, equipamentos e
outros ativos organizacionais.
O controle de acesso físico determina quem pode entrar (ou sair), onde podem entrar (ou sair) e quando
podem entrar (ou sair).
Os exemplos de controles de acesso físico incluem o seguinte:
• Os guardas (figura 1) monitoram as instalações
• As cercas (figura 2) protegem o perímetro
• Os detectores de movimento (figura 3) identificam objetos que se movem
• Os bloqueios de notebook (figura 4) protegem os equipamentos portáteis
• As portas fechadas (figura 5) impedem o acesso não autorizado
• Os cartões de acesso (figura 6) permitem a entrada nas áreas restritas
• Os cães de guarda (figura 7) protegem as instalações
• As câmeras de vídeo (figura 8) monitoram as instalações, coletando e gravando imagens
• As entradas de pessoal autorizado (figura 9) permitem o acesso à área protegida depois que a porta
1 é fechada
• Os alarmes (figura 10) detectam as invasões

Controles de acesso lógicos
Controles de acesso lógico são as soluções de hardware e software usadas para gerenciar o acesso aos
recursos e sistemas. Essas soluções baseadas em tecnologia incluem ferramentas e protocolos que os
sistemas de computador usam para identificação, autenticação, autorização e auditoria.
Os controles de acesso lógico incluem o seguinte:
• A criptografia é o processo de pegar o texto claro e criar o texto codificado
• Os cartões inteligentes possuem um microchip integrado
• As senhas são strings de caracteres protegidos
• A biometria se refere às características físicas dos usuários
• As listas de controle de acesso (ACLs) definem o tipo de tráfego permitido em uma rede
• Os protocolos são conjuntos de regras que regem a troca de dados entre os dispositivos
• Os firewalls impedem o tráfego de rede indesejado
• Os roteadores conectam pelo menos duas redes
• Os sistemas de detecção de invasão monitoram as atividades suspeitas de uma rede
• Os níveis de sobrecarga são determinados limites de erros permitidos antes de acionar um sinal de
alerta
Clicar em cada tipo de controle de acesso lógico na figura para obter mais informações.
Controles de acesso administrativos
Os controles de acesso administrativo são as políticas e procedimentos definidos pelas empresas para
implementar e aplicar todos os aspectos de controle de acesso não autorizado. Os controles
administrativos focam em práticas pessoais e de negócios. Os controles de acesso administrativos
incluem o seguinte:
• As políticas são declarações de intenções

• Os procedimentos são os passos detalhados necessários para realizar uma atividade
• As práticas de contratação envolvem as etapas seguidas por uma empresa para encontrar
funcionários qualificados
• As verificações de antecedentes se referem a uma triagem admissional que inclui as informações

de verificação de histórico profissional, histórico de crédito e antecedentes criminais
• A classificação de dados categoriza os dados com base na confidencialidade
• O treinamento em segurança ensina os funcionários sobre as políticas de segurança de uma

empresa
• As análises críticas avaliam o desempenho de trabalho do funcionário
Controle de acesso obrigatório
O controle de acesso obrigatório (MAC) restringe as ações que um indivíduo pode executar em um objeto.
Um indivíduo pode ser um usuário ou um processo. Um objeto pode ser um arquivo, uma porta ou um
dispositivo de entrada/saída. Uma regra de autorização reforça se um indivíduo pode ou não acessar o
objeto.
As organizações usam MAC onde existem diferentes níveis de classificações de segurança. Cada objeto
tem um rótulo e cada indivíduo tem uma autorização. Um sistema MAC restringe um indivíduo com base
na classificação de segurança do objeto e na etiqueta anexada ao usuário.
Por exemplo, considere as classificações de segurança militar Confidencial e Altamente Confidencial. Se

considerado altamente confidencial, um arquivo (um objeto) será classificado (identificado) como
Altamente Confidencial. As únicas pessoas (indivíduos) que podem visualizar o arquivo (objeto) são as
que possuem uma autorização para Altamente Confidencial. É o mecanismo de controle de acesso que
assegura que um indivíduo (sujeito) que possui apenas uma autorização para Confidencial nunca obtenha
acesso a um arquivo identificado como Altamente Confidencial. Da mesma forma, um usuário (indivíduo)
autorizado para o acesso Altamente Confidencial não pode alterar a classificação de um arquivo (objeto)
identificado como Altamente Confidencial para Confidencial. Além disso, um usuário Altamente
Confidencial não pode enviar um arquivo Altamente Confidencial para um usuário autorizado somente
para ver informações Confidenciais.
Controle de acesso por função
O controle de acesso por função (RBAC) varia de acordo com a função do indivíduo. Funções são
funções de trabalho em uma empresa. Funções específicas necessitam de permissões para realizar
determinadas operações. Os usuários obtêm permissões pelas funções.
O RBAC pode funcionar em combinação com DAC ou MAC ao reforçar as políticas de um deles. O RBAC
ajuda a implementar a administração da segurança em grandes empresas com centenas de usuários e
milhares de permissões possíveis. As empresas aceitam consideravelmente a utilização do RBAC para
gerenciar permissões de computador dentro de um sistema ou aplicativo, como as melhores práticas.
Controle de acesso baseado em regras
O controle de acesso por função usa as listas de controle de acesso (ACLs) para ajudar a determinar se o
acesso deve ser concedido. Uma série de regras está contida na ACL, conforme mostrado na figura. A
determinação de acesso concedido ou não depende dessas regras. Um exemplo de tal regra é declarar
que nenhum funcionário pode ter acesso a folha de pagamentos após o horário comercial ou nos fins de
semana.
Como ocorre no MAC, os usuários não podem alterar as regras de acesso. As empresas podem combinar
o controle de acesso por função com outras estratégias para a implementação de restrições de acesso.
Por exemplo, os métodos de MAC podem utilizar uma abordagem por função para implementação.
O que é identificação?
A identificação aplica as regras estabelecidas pela política de autorização. Um indivíduo solicita acesso a
um recurso do sistema. Sempre que o indivíduo solicita acesso a um recurso, os controles de acesso
determinam se devem conceder o negar o acesso. Por exemplo, a política de autorização determina quais
atividades um usuário podem executar em um recurso.
Um identificador único assegura a devida associação entre as atividades permitidas e os indivíduos. Um

nome de usuário é o método mais comum usado para identificar um usuário. Um nome de usuário pode
ser uma combinação alfanumérica, um número de identificação pessoal (PIN), um cartão inteligente ou a
biometria, como uma impressão digital, escaneamento da retina ou reconhecimento de voz.
Um identificador único assegura que um sistema possa identificar cada usuário individualmente; portanto,
permite que um usuário autorizado realize as ações apropriadas em um recurso específico.
Controles de identificação
As políticas de segurança cibernética determinam quais controles de identificação devem ser usados. A
confidencialidade das informações e os sistemas de informações determinam o nível de exigência dos
controles. O aumento nas violações de dados forçou muitas empresas a reforçar os controles de
identificação. Por exemplo, o setor de cartões de crédito nos Estados Unidos exige que todos os
fornecedores migrem para sistemas de identificação de cartão inteligente.
O que você sabe
Senhas, frases secretas ou PINs são exemplos de informações que somente o usuário sabe. As senhas
são o método mais popular usado para autenticação. Os termos frase secreta, código de acesso, chave
de acesso ou PIN são chamados genericamente de senha. Uma senha é uma string de caracteres
protegidos usada para comprovar a identidade de um usuário. Se essa string de caracteres tiver relação
com um usuário (como um nome, data de nascimento ou endereço), será mais fácil para os criminosos
virtuais adivinharem a senha do usuário.
Diversas publicações recomendam que uma senha tenha pelo menos oito caracteres. Os usuários não
devem criar uma senha muito grande que seja difícil de memorizar ou, por outro lado, tão pequena que se
torne vulnerável à quebra de senha. As senhas devem conter uma combinação de letras maiúsculas e
minúsculas, números e caracteres especiais. Clique aqui para testar as senhas atuais.
Os usuários precisam usar senhas diferentes para cada sistema, pois se um criminoso decifrar a senha
do usuário uma vez, ele terá acesso a todas as contas do usuário. Um gerenciador de senha pode ajudar
o usuário a criar e lembrar de senhas fortes. Clique aqui para visualizar um gerador de senhas fortes.
O que você tem
Cartões inteligentes e chaves de segurança fob são exemplos de algo que os usuários podem carregar
consigo.
Segurança por Cartão Inteligente (figura 1) – O cartão inteligente é um cartão de plástico pequeno, do
tamanho de um cartão de crédito, com um chip pequeno incorporado nele. Um chip é um portador de
dados inteligente, capaz de processar, de armazenar, e de proteger os dados. Os cartões inteligentes
armazenam informações privadas, como números de conta bancária, a identificação pessoal, os registros
médicos e as assinaturas digitais. Os cartões inteligentes fornecem autenticação e criptografia para
manter os dados seguros.
Segurança por Chave Fob (figura 2) – Uma chave fob de segurança é um dispositivo que é pequeno
suficiente para ser colocado em um chaveiro. Usa um processo chamado autenticação por dois fatores,
que é mais seguro que uma combinação de nome de usuário e senha. Primeiro, o usuário digita um
número de identificação pessoal (PIN ). Se inserido corretamente, a chave fob de segurança exibirá um
número. Este é o segundo fator que o usuário deve inserir para entrar no dispositivo ou rede.
Quem você é
Uma característica física única, como a impressão digital, retina ou voz, que identifica um usuário
específico, é denominada biometria. A segurança biométrica compara as características físicas aos perfis
armazenados para autenticar os usuários. Um perfil é um arquivo de dados que contém características
conhecidas de uma pessoa. O sistema concede acesso ao usuário se suas características forem
compatíveis com as configurações salvas. Um leitor de impressão digital é um dispositivo biométrico
comum.
Existem dois tipos de identificadores biométricos:

• Características fisiológicas – Incluem impressões digitais, DNA, rosto, mãos, retina ou ouvido
• Características comportamentais - Incluem os padrões de comportamento, como gestos, voz,

ritmo de digitação ou o modo de andar de um usuário
A biometria está se tornando cada vez mais popular em sistemas de segurança pública, dispositivos
eletrônicos do consumidor e aplicações de ponto de venda. A implementação da biometria utiliza um leitor
ou dispositivo de varredura, software que transformam as informações escaneadas no formato digital e
um banco de dados que armazena os dados biométricos para comparação.
Autenticação multifator
A autenticação multifator utiliza pelo menos dois métodos de verificação. Uma chave de segurança fob é
um bom exemplo. Os dois fatores são algo que você sabe, como uma senha, e algo que você tem, como
uma chave de segurança fob. Vá um pouco além, adicionando algo que você é, como uma verificação de
impressão digital.
A autenticação multifator pode reduzir a incidência de roubo de identidade on-line, porque saber a senha
não daria aos criminosos virtuais o acesso às informações do usuário. Por exemplo, um site de banco on-
line pode exigir uma senha e um PIN que o usuário recebe em seu smartphone. Como mostrado na
figura, retirar dinheiro de um caixa eletrônico é outro exemplo de autenticação multifatorial. O usuário
deve ter o cartão do banco e saber o PIN para que o caixa eletrônico libere o dinheiro.
O que é autorização?
A autorização controla o que um usuário pode e não pode fazer na rede após a autenticação com
sucesso. Após comprovar a identidade do usuário, o sistema verifica os recursos da rede que o usuário
pode acessar e o que o usuário pode fazer com os recursos. Como mostrado na figura, a autorização
responde a pergunta: "Quais privilégios de ler, copiar, criar e excluir o usuário tem?"
A autorização usa um conjunto de atributos que descrevem o acesso do usuário à rede. O sistema
compara esses atributos às informações contidas no banco de dados de autenticação, determina um
conjunto de restrições para o usuário e o entrega ao roteador local, no qual o usuário está conectado.
A autorização é automática e não exige que os usuários executem etapas adicionais após a autenticação.
Implementar a autorização imediatamente após a autenticação do usuário.
Como usar a autorização
Definir as regras de autorização é a primeira etapa no controle de acesso. Uma política de autorização
estabelece essas regras.
Uma política de associação baseada em grupo define a autorização com base nos membros de um grupo
específico. Por exemplo, todos os empregados de uma empresa têm um cartão de acesso que concede o
acesso às instalações da empresa. Se a função não exigir que a funcionária tenha acesso à sala do
servidor, o cartão de segurança não permitirá que ela entre na sala.
Uma política de nível de autoridade define as permissões de acesso com base na posição do funcionário
dentro da empresa. Por exemplo, somente os funcionários seniores do departamento de TI podem
acessar a sala do servidor.
O que é auditabilidade?
A auditoria rastreia uma ação até a pessoa ou processo que está efetuando a mudança em um sistema,
coleta essas informações e reporta os dados de uso. A empresa pode usar esses dados para
determinadas finalidades, como auditoria ou cobrança. Os dados coletados podem incluir a hora de login
para um usuário, independentemente de o login de usuário ter sido bem ou malsucedido ou quais
recursos de rede o usuário acessou. Isso permite que uma empresa rastreie as ações, erros e erros
durante uma auditoria ou investigação.
Implementação de Auditabilidade
A implementação da auditabilidade consiste em tecnologias, políticas, procedimentos e educação. Os

arquivos de log fornecem as informações de detalhes com base nos parâmetros escolhidos. Por exemplo,
uma empresa pode procurar falhas e sucessos de login. As falhas de login podem indicar que um
criminoso tentou invadir uma conta. Os sucessos de login informam a uma empresa quais usuários estão
usando quais recursos e quando. É normal que um usuário autorizado acesse a rede corporativa às
03:00? As políticas e procedimentos da empresa determinam quais ações devem ser registadas e como
os arquivos de log são gerados, revisados e armazenados.
A retenção de dados, eliminação de mídia e requisitos de conformidade geram auditabilidade. Muitas leis
exigem a implementação de medidas para proteger diferentes tipos de dados. Essas leis orientam uma
empresa sobre o caminho certo para manusear, armazenar e eliminar dados. A educação e
conscientização das políticas, procedimentos e leis relacionadas de uma empresa também contribuem
com a auditabilidade.
Controles preventivos
Meios para evitar que algo aconteça. Os controles de acesso preventivos impedem que a atividade
indesejada ou não autorizada aconteça. Para um usuário autorizado, um controle de acesso preventivo
significa restrições. A atribuição de privilégios específicos do usuário em um sistema é um exemplo de
controle preventivo. Embora o usuário seja autorizado, o sistema estabelece limites para impedir que o
usuário acesse e execute ações não autorizadas. Um firewall que bloqueia o acesso a uma porta ou um
serviço que criminosos virtuais podem explorar também é um controle preventivo.
Controles de detecção
A detecção é o ato ou processo de perceber ou descobrir algo. As detecções de controle de acesso

identificam diferentes tipos de atividade não autorizada. Os sistemas de detecção podem ser bem
simples, como um detector de movimento ou proteção de segurança. Eles também podem ser mais
complexos, como um sistema de detecção de invasão. Todos os sistemas de detecção têm várias
características em comum; eles procuram atividades incomuns ou proibidas. Também fornecem métodos
para gravar ou alertar os operadores do sistema sobre um possível acesso não autorizado. Os controles
de detecção não impedem que algo aconteça; na verdade, são medidas tomadas após o fato.
Controles corretivos
A correção neutraliza a algo que é indesejável. As empresas implementam controles de acesso corretivos
após o sistema passar por uma ameaça. Os controles corretivos restauram o sistema ao estado de
confidencialidade, integridade e disponibilidade. Eles também podem restaurar os sistemas ao estado
normal, após ocorrer atividade não autorizada.
Controles de recuperação
Recuperação é o retorno ao estado normal. Os controles de acesso de recuperação restauram os

recursos, funções e capacidades após uma violação de uma política de segurança. Os controles de
recuperação podem reparar danos, além de deter qualquer dano adicional. Esses controles têm mais
recursos avançados em controles de acesso corretivos.
Controles de compensação
Meios de compensação por algo. Os controles de acesso compensatórios fornecem opções a outros
controles para aumentar o reforço relacionado à sustentação de uma política de segurança.
Um controle compensatório também pode substituir um controle que não pode ser usado devido às
circunstâncias. Por exemplo, se uma empresa não pode ter um cão de guarda, em vez disso, ela
implementa um detector de movimento com um holofote e um som de latidos.
O que é mascaramento de dados?
A tecnologia de mascaramento de dados protege dados, substituindo as informações confidenciais por

uma versão pública. A versão não confidencial parece e age como a original. Isso significa que um
processo empresarial pode usar dados não confidenciais e não há necessidade de alterar os aplicativos
de suporte ou as instalações de armazenamento de dados. No caso de uso mais comum, o
mascaramento limita a propagação de dados sensíveis dentro de sistemas de TI, ao distribuir conjuntos
de dados substitutos para teste e análise. As informações podem ser mascaradas dinamicamente, se o
sistema ou aplicativo determinar que uma solicitação de informações confidenciais feita pelo usuário é
arriscada.
Técnicas de mascaramento de dados
O mascaramento de dados pode substituir os dados sensíveis em ambientes não relativos à produção,
para proteger as informações principais.
Existem várias técnicas de mascaramento de dados que podem assegurar que os dados permaneçam
significativos, mas alterados o suficiente para protegê-lo.
• A substituição troca os dados por valores que parecem autênticos para tornar os registros de dados
anônimos.
• O embaralhamento origina um conjunto de substituição da mesma coluna de dados que um usuário

deseja mascarar. Esta técnica funciona bem para informações financeiras em um banco de dados
de teste, por exemplo.
• A anulação aplica um valor nulo a um campo específico, que impede totalmente a visibilidade dos
dados.
O que é estenografia?
A estenografia esconde dados (a mensagem) em outro arquivo, como um gráfico, áudio ou outro arquivo
de texto. A vantagem da estenografia em relação à criptografia é que a mensagem secreta não atrai
atenção especial. Ao visualizar o arquivo de forma eletrônica ou impressa, ninguém saberá que uma
imagem, na realidade, contém uma mensagem secreta.
Existem vários componentes envolvidos na ocultação de dados. Primeiro, existem os dados integrados
que compõem a mensagem secreta. O texto de capa (ou imagem de capa ou áudio de capa) oculta os
dados integrados, produzindo o estego-texto (ou estego-imagem ou estego-áudio). Uma estego-chave
(stego-key) controla o processo de ocultação.
Técnicas de estenografia
A abordagem usada para integrar dados em uma imagem de capa é o uso de Bits Menos Significativos
(LSB). Esse método usa os bits de cada pixel na imagem. Um pixel é a unidade básica de cor
programável em uma imagem de computador. A cor específica de um pixel é uma mistura de três cores -
vermelho, verde e azul (RGB). Três bytes de dados especificam a cor de um pixel (um byte para cada
cor). Oito bits formam um byte. Um sistema de cores de 24 bits usa todos os três bytes. O LSB usa um
pouco de cada um dos componentes das cores vermelho, verde e azul. Cada pixel pode armazenar 3 bits.
A figura mostra três pixels de uma imagem colorida de 24 bits. Uma das letras na mensagem secreta é a
letra T e a inserção do caractere T muda somente dois bits da cor. O olho humano não consegue
reconhecer as alterações efetuadas nos bits menos significativos. O resultado é um caractere oculto.
Em média, no máximo, metade dos bits de uma imagem precisará ser alterada para ocultar uma
mensagem secreta eficazmente.
Estenografia social
A estenografia social oculta informações de visão simples, criando uma mensagem que pode ser lida de
certa forma pela pessoa que receber a mensagem. As outras pessoas que visualizarem a mensagem de
modo normal não a verão. Os adolescentes nas redes sociais usam essa tática para se comunicar com
seus amigos mais próximos, evitando que as outras pessoas, como seus pais, percebam o que a
mensagem realmente significa. Por exemplo, a frase "ir ao cinema" pode significar "ir à praia".
As pessoas que vivem em países que censuram a mídia também usam a estenografia social para enviar
mensagens, digitando as palavras incorretamente de propósito ou fazendo referências imprecisas. Na
verdade, essas pessoas se comunicam com públicos diferentes simultaneamente.
Detecção
A esteganoanálise é a descoberta de que existem informações ocultas. O objetivo da esteganoanálise é

descobrir as informações ocultas.
Os padrões da estego-imagem levantam suspeita. Por exemplo, um disco pode ter áreas não utilizadas
que ocultam informações. As utilidades de análise do disco podem relatar informações ocultas em clusters
não utilizados de dispositivos de armazenamento. Os filtros podem capturar pacotes de dados que
contêm informações ocultas nos cabeçalhos dos pacotes. Esses dois métodos são usando assinaturas de
estenografia.
Ao comparar uma imagem original à estego-imagem, um analista pode buscar padrões de repetição
visual.
Ofuscação
A ofuscação de dados é o uso e a prática de técnicas de estenografia e mascaramento de dados na

profissão de segurança digital e inteligência cibernética. A ofuscação é a arte de tornar uma mensagem
confusa, ambígua ou mais difícil de entender. Um sistema pode embaralhar propositalmente as
mensagens para evitar o acesso não autorizado a informações confidenciais.
Aplicações
A marca d’água de software protege o software contra acesso não autorizado ou modificação. A marca
d’água insere uma mensagem secreta em um programa, como prova de propriedade. A mensagem
secreta é a marca d’água de software. Se alguém tentar remover a marca d’água, o resultado é um código
não funcional.
A ofuscação de software traduz o software em uma versão equivalente ao original, mas que é mais difícil
de analisar para os invasores. A tentativa de engenharia reversa do software gera resultados ininteligíveis
no software que ainda funciona.
Quais são os três processos que são exemplos de controles de acesso lógicos? (Escolha
três.)
Select one or more:
cercas para proteger o perímetro de um edifício
firewalls para monitorar o tráfego
sistema de detecção de invasão (IDS) para observar atividades suspeitas na rede
biometria para validar características físicas
cartões de acesso para permitir o acesso a uma área restrita
guardas para monitorar telas de segurança
Feedback
Controles de acesso lógico incluem, entre outros itens, o seguinte:
• Criptografia
• Cartões inteligentes
• Senhas
• Biometria
• Access Control Lists (ACLs)
• Protocolos
• Firewalls
• Sistema de detecção de invasão (IDS)
The correct answers are: firewalls para monitorar o tráfego, biometria para validar
características físicas, sistema de detecção de invasão (IDS) para observar atividades
suspeitas na rede
Question 2
Incorrect

Flag question
Question text
Quais são os três protocolos que usam algoritmos de chave assimétrica? (Escolha três.)
Select one or more:
Secure File Transfer Protocol (SFTP)
Telnet
Camada de Soquetes Segura (SSL – Secure Sockets Layer)
Secure Shell (SSH)
Pretty Good Privacy (PGP)
AES (Advanced Encryption Standard)
Feedback
Quatro protocolos usam algoritmos de chave assimétrica.
• Troca de Chaves via Internet (IKE – Internet Key Exchange).

• SSL
• Secure Shell (SSH)
• Pretty Good Privacy (PGP)
The correct answers are: Pretty Good Privacy (PGP), Camada de Soquetes Segura (SSL –
Secure Sockets Layer), Secure Shell (SSH)
Question 3
Correct
Flag question
Question text
Quais são os três dispositivos que representam exemplos de controles de acesso físico?
(Escolha três.)
Select one or more:

cartões de acesso
roteadores
cadeados
firewalls
câmeras de vídeo
servidores
Feedback
• Controles de acesso físico incluem, entre outros itens, o seguinte:
Guardas
• Cercas
• Detectores de movimento
• Cadeados de notebook
• Portas trancadas
• Cartões de acesso
• Cães de guarda
• Câmeras de vídeo
• Armadilhas
• Alarmes
The correct answers are: cadeados, cartões de acesso, câmeras de vídeo

Question 4
Incorrect
Flag question
Question text
Quais são os dois termos usados para descrever as chaves de criptografia? (Escolher
dois.)
Select one or more:
espaço da chave
keylogging
aleatoriedade de chave
comprimento da chave
Feedback
Os dois termos usados para descrever as chaves são os seguintes:
• Comprimento da chave - também chamado de chave, esta é a medida em bits.

• Espaço da chave - é o número de possibilidades que um comprimento de chave
específico pode gerar.
Com o aumento do comprimento da chave, o espaço da chave aumenta

exponencialmente.
The correct answers are: comprimento da chave, espaço da chave
Question 5
Correct
Flag question
Question text
Qual é o termo usado para descrever a ciência de criar e quebrar códigos secretos?
Select one:
congestionamento
criptologia
fatoração
representação
Spoofing
Feedback
A criptologia é a ciência de fazer e quebrar códigos para assegurar que criminosos virtuais
não consigam comprometer com facilidade informações protegidas.
The correct answer is: criptologia

Question 6
Correct
Flag question
Question text
Corresponda o tipo de autenticação multifatorial à descrição.
verificação por impressão digital Answer 1 algo que você é
segurança por chave fob algo que você tem

Answer 2
senha algo que você sabe

Answer 3
Feedback
A autenticação de vários fatores usa um mínimo de dois métodos de verificação e pode
incluir o seguinte:
• Algo que você tem

• Algo que você sabe
• Algo que você é
The correct answer is: verificação por impressão digital → algo que você é, segurança por
chave fob → algo que você tem, senha → algo que você sabe
Question 7
Correct
Flag question
Question text
Qual é o nome do método no qual as letras são reorganizadas para criar o texto
codificado?
Select one:
enigma
transposição
cifra de uso único
substituição
Feedback
O texto codificado pode ser criado com o uso das seguintes opções:
• Transposição – as letras são reorganizadas

• Substituição – as letras são substituídas
• Cifra de uso único – texto claro combinado com uma chave secreta que cria um novo
caractere, que depois se combina com o texto claro para produzir texto codificado
The correct answer is: transposição

Question 8
Correct
Flag question
Question text
Qual algoritmo assimétrico fornece um método de troca de chave eletrônica para
compartilhar a chave secreta?
Select one:
DES
WEP
Diffie-Hellman
hashing
RSA
Feedback
O Diffie-Hellman fornece um método de troca eletrônica para compartilhar uma chave
secreta e é usado por vários protocolos seguros.
The correct answer is: Diffie-Hellman
Question 9
Correct
Flag question
Question text
Qual termo é usado para descrever a ocultação de dados em outro arquivo como um
gráfico, áudio ou outro arquivo de texto?
Select one:
estenografia
oculto
ofuscação
máscara
Feedback
A estenografia oculta dados em arquivos como gráficos, áudios ou outro arquivo de texto e
é utilizada para impedir que seja dada atenção extra aos dados criptografados, porque
eles não são vistos facilmente.
The correct answer is: estenografia
Question 10
Correct
Flag question
Question text
Qual termo é usado para descrever a tecnologia que substitui informações confidenciais
por uma versão não confidencial?
Select one:
oculto
apagamento
revogação
embaçamento
máscara
Feedback
O mascaramento de dados substitui informações confidenciais por informações não
confidenciais. Após a substituição, a versão pública é parecida e tem a função da original.
The correct answer is: máscara
Question 11
Incorrect
Flag question
Question text
Qual termo descreve a tecnologia que protege o software de modificação ou acesso não
autorizado?
Select one:
marca d'água
copyright
marca comercial
controle de acesso
Feedback
O software de marca d'água insere uma mensagem secreta no programa como prova de
propriedade e protege o software de modificação ou acesso não autorizado.
The correct answer is: marca d'água

Question 12
Correct
Flag question
Question text
Um banner de aviso que lista os resultados negativos de violações da política da empresa
é exibido cada vez que um usuário do computador fizer login na máquina. Qual tipo de
controle de acesso é implementado?
Select one:
preventivo
detector
máscara
dissuasor
Feedback
Dissuasores são implementados para desencorajar ou mitigar uma ação ou o
comportamento de uma pessoa mal-intencionada.
The correct answer is: dissuasor
Question 13
Correct
Flag question
Question text
Faça a correspondência entre a descrição e termo correto. (Nem todas as opções são
usadas.)
Answer 1
estenografia
criar uma mensagem que diz uma coisa, mas significa outra para um público específico
social
Answer 2
estenografia ocultar dados em um arquivo de áudio
Answer 3
esteganoanáli
descobrir que existem informações ocultas dentro de um arquivo gráfico
se
Answer 4
ofuscação tornar uma mensagem confusa para dificultar seu entendimento
Feedback
The correct answer is: estenografia social → criar uma mensagem que diz uma coisa, mas
significa outra para um público específico, estenografia → ocultar dados em um arquivo de
áudio, esteganoanálise → descobrir que existem informações ocultas dentro de um
arquivo gráfico, ofuscação → tornar uma mensagem confusa para dificultar seu
entendimento
Question 14
Correct
Flag question
Question text
Qual algoritmo de criptografia usa a mesma chave pré-compartilhada para criptografar e
descriptografar dados?
Select one:
simétrico
cifra de uso único
hash
assimétrico
Feedback
Algoritmos de criptografia simétrica usam a mesma chave pré-compartilhada para
criptografar e descriptografar dados?
The correct answer is: simétrico
Question 15
Correct
Flag question
Question text
Quais são três exemplos de controles de acesso administrativo? (Escolha três.)
Select one or more:
práticas de contratação
sistema de detecção de invasão (IDS)
criptografia
políticas e procedimentos
cães de guarda
verificação de antecedentes
Feedback
Controles de acesso administrativos são definidos pelas empresas para implementar e
aplicar todos os aspectos do controle de acesso não autorizado e incluem o seguinte:
• Políticas
• complexas
• Práticas de contratação
• Verificação de antecedentes
• Classificação de dados
• Treinamento de segurança
• Avaliações
The correct answers are: políticas e procedimentos, verificação de antecedentes, práticas
de contratação
Question 16
Correct
Flag question
Question text
Qual algoritmo de criptografia que codifica um bloco de 128 bits o governo dos EUA usa
para proteger informações confidenciais?
Select one:
3DES
Caesar
Vignere
Skipjack
AES
Feedback
O Advanced Encryption Standard (AES) é usado para proteger as informações
confidenciais do governo dos EUA e é um forte algoritmo que usa comprimentos de chave
mais longos.
The correct answer is: AES
Question 17
Correct
Flag question
Question text
Qual algoritmo de criptografia usa uma chave para criptografar os dados e uma chave
diferente para decifrá-los?
Select one:
assimétrico
simétrico
transposição
cifra de uso único
Feedback
A criptografia assimétrica usa uma chave para criptografar os dados e uma chave diferente
para decifrá-los.
The correct answer is: assimétrico
Question 18
Correct
Flag question
Question text
Que tipo de criptografia codifica um byte de texto claro ou um bit de cada vez?
Select one:
hash
elíptica
bloquear
enigma
stream
Feedback
A criptografia de stream codifica um byte de texto claro ou um bit de cada vez e pode ser
muito mais rápida que codificações de bloco.
The correct answer is: stream

Question 19
Incorrect
Flag question
Question text
Qual tipo de criptografia é capaz de criptografar um bloco de tamanho fixo de texto claro
em um bloco de 128 bits de texto codificado, a qualquer momento?
Select one:
hash
simétrico
bloquear
transformar
stream
Feedback
Codificações de bloco transformam um bloco de tamanho fixo de texto claro em um bloco
de texto codificado. Para descriptografar o texto codificado, é usada a mesma chave
secreta para criptografar no sentido inverso.
The correct answer is: bloquear
Question 20
Correct
Flag question
Question text
Qual algoritmo de criptografia é usado pela NSA e inclui o uso de curvas elípticas para
troca de chaves e geração de assinatura digital?
Select one:
AES
IDEA
RSA
El-Gamal
ECC
Feedback
A criptografia de curva elíptica (ECC) utiliza curvas elípticas como parte do algoritmo para
troca de chaves e geração de assinatura digital.
The correct answer is: ECC
Capítulo 5: a arte de garantir a integridade
A integridade assegura que os dados não sejam alterados por alguém ou alguma coisa e que
permaneçam confiáveis ao longo de todo o ciclo de vida. A integridade de dados é um componente crítico
para a concepção, implementação e uso de qualquer sistema que armazena, processa ou transmite
dados. Este capítulo começa discutindo os tipos de controles de integridade de dados usados, como
algoritmos hash, salting e código de autenticação de mensagem de hash com chave (HMAC). O uso de
assinaturas digitais e certificados incorpora os controles de integridade de dados para oferecer aos
usuários uma maneira de verificar a autenticidade das mensagens e documentos. O capítulo conclui com
uma discussão de reforço de integridade de banco de dados. Ter um sistema de integridade de dados
bem controlado e definido aumenta a estabilidade, o desempenho e a manutenção de um sistema de
banco de dados.
O que é hash?
Os usuários precisam saber que os dados permanecem inalterados, enquanto estão inativos ou em
trânsito. Hash é uma ferramenta que assegura a integridade de dados através da captura de dados
binários (a mensagem) para produzir representação de tamanho fixo denominada valor de hash ou
message digest, como mostrado na figura.
A ferramenta de hash usa uma função criptográfica de hash para verificar e assegurar a integridade de
dados. Também pode verificar a autenticação. As funções hash substituem a senha de texto simples ou
chaves de criptografia porque as funções hash são funções unidirecionais. Isso significa que, se uma
senha for confundida com um algoritmo de hash específico, o resultado sempre será o mesmo hash
digest. É considerada unidirecional porque, com as funções hash, é computacionalmente inviável que dois
conjuntos de dados distintos apresentem o mesmo hash digest ou saída.
Cada vez que os dados são modificados ou alterados, o valor de hash também muda. Por isso, muitas
vezes os valores criptográficos de hash são chamados de impressões digitais. Podem detectar arquivos
de dados duplicados, alterações na versão do arquivo e aplicações similares. Esses valores protegem
contra alterações de dados acidentais ou intencionais e corrupção de dados acidental. O hash também é
muito eficiente. Um arquivo grande ou o conteúdo de uma unidade de disco inteira resulta em um valor de
hash com o mesmo tamanho.
Propriedades de hash
O hash é uma função matemática unidirecional relativamente fácil de calcular, mas bastante difícil de
reverter. A moagem de café é uma boa analogia de função unidirecional. É fácil moer grãos de café, mas
é quase impossível unir novamente todos os pedaços para reconstruir os grãos originais.
Uma função hash criptográfica tem as seguintes propriedades:
• A entrada pode ser de qualquer comprimento.
• A saída tem um comprimento fixo.
• A função hash é unidirecional e não é reversível.
• Dois valores de entrada distintos quase nunca resultarão em valores de hash idênticos.
Algoritmos hash
As funções hash são úteis para assegurar que um erro de comunicação ou do usuário altere os dados
acidentalmente. Por exemplo, um remetente pode querer ter certeza de que ninguém alterará uma
mensagem a caminho do destinatário. O dispositivo de envio insere a mensagem em um algoritmo de
hash e calcula o digest de tamanho fixo ou a impressão digital.
Algoritmo de hash simples (soma de verificação de 8 bits)
A soma de verificação de 8 bits é um dos primeiros algoritmos hash e corresponde à forma mais simples
de uma função hash. Uma soma de verificação de 8 bits calcula o hash, convertendo a mensagem em
números binários e, então, organiza a sequência de números binários em partes de 8 bits. O algoritmo
acrescenta os valores de 8 bits. A etapa final é converter o resultado usando um processo denominado
complemento de 2. O complemento do 2 converte um binário no valor oposto e depois adiciona um. Isso
significa que zero é convertido em um e um é convertido em zero. A etapa final é adicionar 1, resultando
em um valor de hash de 8 bits.
Clique aqui para calcular o hash de 8 bits da mensagem BOB.
1. Converter BOB em binário usando o código ASCII, como mostrado na figura 1.
2. Converter os números binários em hexadecimais, como mostrado na figura 2.
3. Digitar os números hexadecimais na calculadora (42 4F 42).
4. Clicar no botão Calculate (Calcular). O resultado é o valor de hash 2D.
Experimente os seguintes exemplos:
CONFIDENCIAL = “S”=53 “E”=45 “C”=43 “R”=52 “E”=45 “T”=54
VALOR DE HASH = 3A
MENSAGEM = “M”=4D “E”=45 “S”=53 “S”=53 “A”=41 “G”=47 “E”=45

VALOR DE HASH = FB
Algoritmos de hash modernos
Há muitos algoritmos hash modernos amplamente usados atualmente. Dois dos mais populares são MD5
e SHA.
Algoritmo Message Digest 5 (MD5)
Ron Rivest desenvolveu o algoritmo de hash MD5 que é usado por várias aplicações na Internet
atualmente. O MD5 é uma função unidirecional que facilita o cálculo de um hash a partir dos dados de
entrada determinados, mas torna muito difícil calcular os dados de entrada estabelecendo apenas um
valor de hash.
O MD5 produz um valor de hash de 128 bits. O malware Flame comprometeu a segurança do MD5 em
2012. Os autores do malware Flame usaram uma colisão de MD5 para falsificar um certificado de
assinatura de código do Windows. Clique aqui para ler uma explicação sobre o ataque de colisão do
malware Flame.
Secure Hash Algorithm (SHA)
O Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA desenvolveu o SHA, o algoritmo
especificado no padrão hash seguro (SHS). O NIST publicou o SHA-1 em 1994. O SHA-2 substituiu o
SHA-1 com quatro funções hash adicionais para formar a família de SHA:
• SHA-224 (224 bits)
• SHA-256 (256 bits)
• SHA-384 (384 bits)
• SHA-512 (512 bits)

O SHA-2 é um algoritmo mais forte e está substituindo o MD5. SHA-256, SHA-384 e SHA-512 são os
algoritmos de última geração.
Arquivos de hash e meios de comunicação digital
A integridade assegura que os dados e informações estejam completos e inalterados no momento da

aquisição. É importante saber quando um usuário baixa um arquivo da Internet ou um avaliador de
computação forense está procurando evidências nos meios de comunicação digital.
Para verificar a integridade de todas as imagens IOS, a Cisco oferece as somas de verificação MD5 e
SHA no site de download de software da Cisco. O usuário pode fazer uma comparação entre esse MD5
digest e o MD5 digest de uma imagem do IOS instalada em um dispositivo, como mostrado na figura.
Agora o usuário pode ter certeza de que ninguém violou ou modificou o arquivo de imagem do IOS.
Nota: O comando verify /md5, mostrado na figura, está fora do escopo deste curso.
O campo de computação forense digital usa o hash para verificar todas as mídias digitais que contêm
arquivos. Por exemplo, o avaliador cria um hash e uma cópia de bit a bit da mídia que contém os
arquivos, para produzir um clone digital. O avaliador compara o hash da mídia original com a cópia. Se os
dois valores forem compatíveis, as cópias são idênticas. O fato de que um conjunto de bits é idêntico ao
conjunto original de bits estabelece invariabilidade. A invariabilidade ajuda a responder várias perguntas:
• O avaliador tem os arquivos que ele esperava?
• Os dados foram corrompidos ou alterados?
• O avaliador pode comprovar que os arquivos não estão corrompidos?
Agora o perito em computação forense pode avaliar as evidências digitais da cópia, enquanto deixa o
original intacto e inalterado.
Senhas de hash
Os algoritmos hash transformam qualquer quantidade de dados em um hash digital ou impressão digital
de tamanho fixo. Um criminoso não pode reverter um hash digital para descobrir a entrada original. Se a
entrada mudar completamente, o resultado será um hash diferente. Isso funciona para proteger as
senhas. Um sistema precisa armazenar uma senha de modo a protegê-la, mas que ainda possa verificar
se a senha do usuário está correta.
A figura mostra o fluxo de trabalho para o registo e autenticação da conta do usuário usando um sistema
de hash. O sistema nunca registra a senha no disco rígido, ele apenas armazena o hash digital.
Aplicações
Use as funções hash criptográficas nas seguintes situações:
• Fornecer a comprovação da autenticidade quando usada com uma chave de autenticação secreta
simétrica, como IP Security (IPsec) ou autenticação de protocolo de roteamento
• Fornecer autenticação gerando respostas unidirecionais únicas para desafios em protocolos de

autenticação
• Fornecer a comprovação da verificação de integridade da mensagem, como as que são usadas em

contratos assinados digitalmente, e certificados de infraestrutura de chave pública (PKI), como os
que são aceitos ao acessar um site seguro com um navegador
Ao escolher um algoritmo de hash, use o SHA-256 ou superior, pois são os mais seguros atualmente.
Evite o SHA-1 e o MD5 devido à descoberta das falhas de segurança. Em redes de produção, implemente
o SHA-256 ou superior.
Embora possa detectar alterações acidentais, o hash não pode proteger contra alterações deliberadas.
Não há informações de identificação única do remetente no procedimento de hash. Isso significa que
qualquer pessoa pode processar um hash para quaisquer dados, desde que tenha a função hash correta.
Por exemplo, quando uma mensagem percorre a rede, um possível invasor poderia interceptar a
mensagem, alterá-la, recalcular o hash e anexar o hash à mensagem. O dispositivo receptor só validará
contra o hash que estiver anexado. Portanto, hash é vulnerável a ataques man in the middle e não
oferece segurança aos dados transmitidos.
Como decifrar hashes
Para decifrar um hash, um invasor deve adivinhar a senha. O ataque de dicionário e o ataque de força
bruta são os dois principais ataques usados para adivinhar senhas.
Um ataque de dicionário usa um arquivo que contém palavras, frases e senhas comuns. O arquivo tem os
hashes calculados. Um ataque de dicionário compara os hashes no arquivo com os hashes de senha. Se
um hash for compatível, o invasor descobrirá um grupo de senhas potencialmente boas.
Um ataque de força bruta tenta todas as combinações possíveis de caracteres até determinado tamanho.
Um ataque de força bruta consome muito tempo do processador, mas é só uma questão de tempo até
esse método descubra a senha. O tamanho das senhas precisa ser grande o suficiente para que o tempo
gasto para executar um ataque de força bruta valha a pena. As senhas de hash dificultam muito o
trabalho do criminoso em recuperar as senhas.
O que é salting?
O salting torna o hash de senhas mais seguro. Se dois usuários têm a mesma senha, eles também terão
os mesmos hashes de senha. Um SALT, que é uma cadeia de caracteres aleatória, é uma entrada
adicional à senha antes do hash. Isso cria um resultado de hash diferente para as duas senhas, conforme
mostrado na figura. Um banco de dados armazena o hash e o SALT.
Na figura, a mesma senha gera um hash diferente porque o salt de cada caso é diferente. O salt não
precisa ser confidencial porque é um número aleatório.
Como evitar ataques
O salting impede que um invasor use um ataque de dicionário para tentar adivinhar senhas. O salting
também torna impossível o uso de tabelas de pesquisa e rainbow tables para decifrar um hash.
Tabelas de pesquisa
Uma tabela de pesquisa armazena os hashes de senhas pré-calculados em um dicionário de senha,

juntamente com a senha correspondente. Uma tabela de pesquisa é uma estrutura de dados que
processa centenas de pesquisas de hash por segundo. Clique aqui para ver a velocidade com que uma
tabela de pesquisa pode decifrar um hash.
Tabelas de pesquisa reversa
Esse ataque permite que o criminoso virtual lance um ataque de dicionário ou um ataque de força bruta
em vários hashes, sem a tabela de pesquisa pré-calculada. O criminoso virtual cria uma tabela de
pesquisa que traça cada hash de senha a partir do banco de dados da conta violada para uma lista de
usuários. O criminoso virtual executa um hash para cada palpite de senha e usa a tabela de pesquisa
para obter uma lista de usuários cuja senha é compatível com o palpite do criminoso virtual, como
mostrado na figura. O ataque funciona perfeitamente, pois muitos usuários têm a mesma senha.
Rainbow tables
As rainbow tables sacrificam a velocidade de quebra de senha para diminuir o tamanho das tabelas de
pesquisa. Uma tabela menor significa que a tabela pode armazenar as soluções para mais hashes na
mesma quantidade de espaço.
Implementação de salting
Um Cryptographically Secure Pseudo-Random Number Generator (CSPRNG) é a melhor opção para

gerar o salt. CSPRNGs geram um número aleatório que tem um alto nível de aleatoriedade e é
completamente imprevisível, portanto, é criptograficamente confiável.
Para implementar o salt com sucesso, siga as seguintes recomendações:
• O salt deve ser exclusivo para cada senha de usuário.
• Nunca reutilize um salt.
• O tamanho do sal deve corresponder ao tamanho da saída da função hash.
• Sempre execute o hash no servidor em um aplicativo da Web.
O uso de uma técnica chamada alongamento de chave também ajudará a proteger contra ataques. O
alongamento de chave executa a função hash muito lentamente. Isso impede o hardware de ponta que
pode calcular bilhões de hashes por segundo menos eficazes.
A figura mostra as etapas usadas por um aplicativo de banco de dados para armazenar e validar uma
senha de salt.
O que é um HMAC?
O próximo passo para evitar que um criminoso virtual lance um ataque de dicionário ou um ataque de
força bruta em um hash é adicionar uma chave secreta ao hash. Somente a pessoa que tem
conhecimento do hash pode validar uma senha. Uma maneira de fazer isso é incluir a chave secreta no
hash, usando um algoritmo de hash denominado código de autenticação de mensagem de hash com
chave (HMAC ou KHMAC). HMACs usam uma chave secreta adicional como entrada à função hash. O
uso do HMAC ultrapassa a garantira de integridade ao adicionar a autenticação. Um HMAC usa um
algoritmo específico que combina uma função hash criptográfica com uma chave secreta, conforme
mostrado na figura.
Somente o remetente e o destinatário têm conhecimento da chave secreta e agora a saída da função
hash depende dos dados de entrada e da chave secreta. Apenas as partes que têm acesso a essa chave
secreta podem calcular o digest de uma função HMAC. Esta característica impede os ataques man in the
middle e fornece a autenticação da origem dos dados.
Operação do HMAC
Considere um exemplo em que o remetente deseja assegurar que uma mensagem permaneça inalterada
em trânsito e que o destinatária tenha uma forma de autenticar a origem da mensagem.
Como mostrado na figura 1, o dispositivo de envio insere os dados (como o pagamento de Terry Smith de
US$100 e a chave secreta) no algoritmo de hash e calcula o HMAC digest de tamanho fixo ou impressão
digital. O destinatário obtém a impressão digital autenticada anexada à mensagem.
Na figura 2, o dispositivo receptor remove a impressão digital da mensagem e usa a mensagem de texto
sem formatação com a chave secreta como entrada para a mesma função de hash. Se o dispositivo
receptor calcular uma impressão digital igual à impressão digital enviada, a mensagem ainda estará na
forma original. Além disso, o destinatário tem conhecimento da origem da mensagem, pois somente o
remetente possui uma cópia da chave secreta compartilhada. A função HMAC comprovou a autenticidade
da mensagem.
Aplicação do HMAC
Os HMACs também podem autenticar um usuário da Web. Muitos serviços da Web usam a autenticação
básica, que não criptografa o nome de usuário e a senha durante a transmissão. Usando o HMAC, o
usuário envia um identificador com chave privada e um HMAC. O servidor procura a chave privada do
usuário e cria um HMAC. O HMAC do usuário deve ser compatível com o calculado pelo servidor.
As VPNs que usam IPsec contam com as funções HMAC para autenticar a origem de cada pacote e
fornecer a verificação de integridade de dados.
Como mostrado na figura, os produtos da Cisco usam o hash para fins de autenticação de entidade,
integridade de dados e autenticidade de dados:
• Os roteadores Cisco IOS usam o hash com chaves secretas de maneira semelhante ao HMAC,
para adicionar informações de autenticação às atualizações do protocolo de roteamento.
• Os IPsec gateways e clientes usam os algoritmos hash, como MD5 e SHA-1 no modo de HMAC,
para proporcionar a integridade e a autenticidade do pacote.
• As imagens de software Cisco na página da Cisco.com disponibilizam uma soma de verificação de

MD5, para que os clientes possam verificar a integridade das imagens baixadas.
Nota: O termo entidade pode se referir a dispositivos ou sistemas dentro de uma empresa.
O que é uma assinatura digital?
As assinaturas de próprio punho e selos carimbados comprovam a autoria do conteúdo de um

documento. As assinaturas digitais podem oferecer a mesma funcionalidade que as assinaturas de
próprio punho.
Os documentos digitais não protegidos pode ser facilmente alterados por qualquer pessoa. Uma
assinatura digital pode determinar se alguém editou um documento após a assinatura do usuário. Uma
assinatura digital é um método matemático usado para verificar a autenticidade e a integridade de uma
mensagem, documento digital ou software.
Em muitos países, as assinaturas digitais têm a mesma importância jurídica que um documento assinado
manualmente. As assinaturas eletrônicas são vinculativas para os contratos, negociações ou qualquer
outro documento que requer uma assinatura de próprio punho. Uma trilha de auditoria rastreia o histórico
do documento eletrônico para fins de proteção legal e regulatória.
Uma assinatura digital ajuda a estabelecer a autenticidade, a integridade e o não repúdio. As assinaturas
digitais têm propriedades específicas que permitem a autenticação de entidade e a integridade de dados,
como mostrado na figura.
As assinaturas digitais são uma alternativa para o HMAC.

Não repúdio
Repudiar significa negar. O não repúdio é uma forma de assegurar que o remetente de uma mensagem
ou documento não pode negar que enviou a mensagem ou documento e que o destinatário não pode
negar que recebeu a mensagem ou documento.
Uma assinatura digital assegura que o remetente assinou eletronicamente a mensagem ou documento.
Como uma assinatura digital é exclusiva para a pessoa que a criou, essa pessoa não pode
posteriormente negar que forneceu a assinatura.
Não repúdio
Repudiar significa negar. O não repúdio é uma forma de assegurar que o remetente de uma mensagem
ou documento não pode negar que enviou a mensagem ou documento e que o destinatário não pode
negar que recebeu a mensagem ou documento.
Uma assinatura digital assegura que o remetente assinou eletronicamente a mensagem ou documento.
Como uma assinatura digital é exclusiva para a pessoa que a criou, essa pessoa não pode
posteriormente negar que forneceu a assinatura.
Uso de assinaturas digitais
Assinar um hash, em vez de todo o documento, proporciona eficiência, compatibilidade e integridade. As

empresas podem querer substituir os documentos em papel e assinaturas convencionais por uma solução
que garante que o documento eletrônico atende a todos os requisitos legais.
As duas situações a seguir dão exemplos de como usar as assinaturas digitais:

• Assinatura de código - Utilizada para verificar a integridade de arquivos executáveis baixados de
um site do fornecedor. A assinatura de código também usa certificados digitais assinados para
autenticar e verificar a identidade do site (figura 1).
• Certificados digitais - Utilizados para verificar a identidade de uma empresa ou indivíduo para
autenticar um site do fornecedor e estabelecer uma conexão criptografada para troca de dados
confidenciais (figura 2).
Comparação de algoritmos de assinatura digital
Os três algoritmos comuns de assinatura digital são Algoritmo de Assinatura Digital (DSA), Rivest-Shamir-
Adleman (RSA) e Algoritmo de Assinatura Digital Elliptic Curve (ECDSA). Todos os três geram e verificam
as assinaturas digitais. Esses algoritmos dependem das técnicas de criptografia assimétrica e chave
pública. As assinaturas digitais requerem duas operações:
1. Geração da chave
2. Verificação da chave
Ambas as operações exigem a criptografia e a decriptografia da chave.
O DSA usa a fatoração de números grandes. Os governos usam o DSA de assinatura para criar
assinaturas digitais. O DSA não ultrapassa a assinatura até a mensagem propriamente dita.
O RSA é o algoritmo de criptografia com chave pública mais comum utilizado atualmente. O termo RSA é
uma homenagem aos seus criadores em 1977: Ron Rivest, Adi Shamir e Leonard Adleman. O RSA
depende da criptografia assimétrica. O RSA contempla a assinatura e também criptografa o conteúdo da
mensagem.
O DSA é mais rápido do que o RSA como uma assinatura de serviços para um documento digital. O RSA
é o mais adequado para aplicações que requerem a assinatura e a verificação de documentos eletrônicos
e criptografia de mensagens.
Como a maioria das áreas de criptografia, o algoritmo RSA baseia-se em dois princípios matemáticos;
módulo e fatoração de números primos. Clique aqui para saber mais sobre como o RSA utiliza o módulo e
fatoração de números primos.
O ECDSA é o mais novo algoritmo de assinatura digital que está substituindo o RSA gradativamente. A
vantagem desse novo algoritmo é que pode usar chaves muito menores para a mesma segurança e
requer menos cálculo do que o RSA.
O que é um certificado digital?
Um certificado digital é equivalente a um passaporte eletrônico. Permite que usuários, hosts e empresas
troquem informações de forma segura através da Internet. Especificamente, um certificado digital
autentica e verifica se os usuários que enviam uma mensagem são quem dizem ser. Os certificados
digitais também podem proporcionar a confidencialidade para o destinatário por meio da criptografia de
uma resposta.
Os certificados digitais são semelhantes aos certificados físicos. Por exemplo, o certificado Cisco Certified
Network Associate Security (CCNA-S) em papel da figura 1 identifica o indivíduo, a autoridade de
certificação (quem autorizou o certificado) e por quanto tempo o certificado é válido. Observe como o
certificado digital na figura 2 também identifica elementos similares.
Utilização de certificados digitais
Para ajudar a entender como usar um certificado digital, consulte a figura. Nesse cenário, o Bob está
confirmando um pedido com Alice. O servidor da Web da Alice usa um certificado digital para garantir uma
operação segura.
Passo 1: Bob navega para o site da Alice. Um navegador designa uma conexão confiável, exibindo um
ícone de cadeado na barra de status de segurança.
Passo 2: O servidor da Web da Alice envia um certificado digital para o navegador de Bob.
Passo 3: O navegador de Bob verifica o certificado armazenado nas configurações do navegador.

Somente certificados confiáveis permitem que a transação prossiga.
Etapa 4: O navegador da Web de Bob cria uma chave de sessão única para ser usada somente uma vez.
Passo 5: O navegador de Bob usa a chave pública do servidor da Web no certificado para criptografar a
sessão.
Passo 6: O resultado é que somente o servidor da Web da Alice pode ler as transações enviadas pelo
navegador de Bob.
O que é autoridade de certificação?
Na Internet, a troca contínua de identificação entre todas as partes seria inviável. Portanto, as pessoas
concordam em aceitar a palavra de terceiros imparciais. Supõe-se que terceiros conduzem uma
investigação detalhada antes da emissão das credenciais. Após essa investigação detalhada, terceiros
emitem credenciais que são difíceis de falsificar. Desse ponto em diante, todas as pessoas que confiaram
em terceiros simplesmente aceitam as credenciais emitidas por terceiros.
Por exemplo, na figura, Alice se inscreve no teste para uma carteira de motorista. Nesse processo, ela
apresenta evidências de identidade, como certidão de nascimento, documento com foto e muito mais para
um departamento de trânsito do governo. O departamento valida a identidade da Alice e permite que ela
realize o teste de motorista. Após a conclusão com sucesso, o departamento de trânsito emite a carteira
de motorista da Alice. Mais tarde, Alice precisa descontar um cheque no banco. Ao apresentar o cheque
ao caixa do banco, ele solicita o RG dela. O banco verifica a identidade dela e desconta o cheque, pois
confia do departamento de trânsito do governo.
Uma autoridade de certificação (CA) atua da mesma forma que o departamento de trânsito. A CA emite
certificados digitais que autenticam a identidade de empresas e usuários. Esses certificados também
assinam mensagens para assegurar que ninguém adulterou as mensagens.
O que está incluso em um certificado digital?
Qualquer entidade pode ler e entender o certificado digital, independentemente do emissor, contanto que
o certificado digital siga uma estrutura padrão. X.509 é uma norma da infraestrutura de chave pública
(PKI), para gerenciar os certificados digitais. PKI consistem em políticas, funções e procedimentos
necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais. O norma
X.509 especifica que os certificados digitais contêm as informações padrão mostradas na figura.
O processo de validação
Os navegadores e aplicativos realizam uma verificação de validação, antes de assegurar que um

certificado seja válido. Os três processos incluem o seguinte:
• A descoberta do certificado valida o caminho de certificação, verificando cada certificado desde o

início com o certificado da CA raiz
• A validação do caminho escolhe um certificado da CA emissora para cada certificado na cadeia
• A revogação determina se o certificado foi revogado e por que
O caminho do certificado
Um indivíduo obtém um certificado de uma chave pública de uma CA comercial. O certificado pertence a
uma cadeia de certificados denominada cadeia de confiança. O número de certificados na cadeia varia de
acordo com a estrutura hierárquica da CA.
A figura mostra uma cadeia de certificados para uma CA de nível dois. Existe uma CA raiz off-line e uma
CA subordinada on-line. A razão para a estrutura de nível dois é que a assinatura X.509 facilita a
recuperação em caso de um compromisso. Se houver uma CA off-line, ela poderá assinar o novo
certificado da CA on-line. Se não houver uma CA off-line, um usuário deverá instalar um novo certificado
de CA raiz em cada máquina, telefone ou tablet do cliente.
Integridade de dados
Os bancos de dados proporcionam uma maneira eficiente de armazenar, recuperar e analisar os dados. À
medida que a coleta de dados aumenta e os dados se tornam mais confidenciais, é importante que os
profissionais de segurança cibernética protejam o número crescente de banco de dados. Pense em um
banco de dados como um sistema de arquivamento eletrônico. A integridade de dados refere-se à
precisão, consistência e confiabilidade dos dados armazenados em um banco de dados. Os projetistas,
desenvolvedores e gestores da empresa são responsáveis pela integridade de dados no banco de dados.
As quatro regras ou restrições de integridade de dados são as seguintes:

• Integridade da entidade: Todas as linhas devem ter um identificador único denominado chave
primária (figura 1).
• Integridade de domínio: Todos os dados armazenados em uma coluna devem seguir o mesmo
formato e definição (figura 2).
• Integridade de referência: A relação entre as tabelas deve permanecer coerente. Portanto, um

usuário não pode excluir um registro que está relacionado a outro (figura 3).
• Integridade definida pelo usuário: Um conjunto de regras definidas por um usuário que não
pertence a uma das outras categorias. Por exemplo, um cliente faz um novo pedido, como mostrado
na figura 4. O usuário verifica primeiro para saber se é um novo cliente. Se for, o usuário adicionará
o novo cliente à tabela de clientes.
Controles de entrada de dados
A entrada de dados envolve a introdução de dados em um sistema. Um conjunto de controles assegura

que os usuários digitem os dados corretos.
Controles suspensos de dados mestre
Tenha uma opção suspensa de tabelas mestre, em vez de pedir aos indivíduos para digitar os dados. Um
exemplo controles suspensos de dados mestre é usar a lista de localidades do sistema de endereço
postal dos E.U.A. para padronizar os endereços.
Controles de validação de campos de dados
Regras de configuração de verificações básicas, incluindo:
• A entrada obrigatória assegura que um campo obrigatório contenha dados
• As máscaras de entrada impedem que os usuários digitem dados inválidos ou ajuda a garantir que
digitem dados consistentemente (como um número de telefone, por exemplo)
• Montantes de dólares positivos
• Os intervalos de dados asseguram que um usuário digite os dados em determinado intervalo (como
uma data de nascimento inserida como 18-01-1820, por exemplo)
• Aprovação obrigatória de uma segunda pessoa (um caixa de banco que recebe um depósito ou
solicitação de retirada maior que um valor especificado aciona uma segunda ou terceira aprovação)
• Gatilho de modificação de registro máximo (o número de registros modificados excede a um número

pré-determinado num prazo específico e bloqueia um usuário até um gerente identifique se as
transações são legítimas ou não)
• Gatilho de atividade incomum (um sistema bloqueia quando reconhece a atividade incomum)
Sobre as Regras de Validação
Uma regra de validação verifica se os dados estão nos parâmetros definidos pelo designer de banco de
dados. Uma regra de validação ajuda a garantir a integridade, a precisão e a consistência dos dados. Os
critérios usados na regra de validação incluem o seguinte:
• Tamanho – verifica o número de caracteres em um item de dados

• Formato – verifica se os dados estão de acordo com um formato especificado
• Consistência – verifica a consistência dos códigos nos itens de dados relacionados
• Intervalo – verifica se os dados estão dentro de valores mínimo e máximo
• Dígito de verificação – efetua um cálculo extra para gerar um dígito de verificação para detecção de
erros
Clique em cada passo na figura para ver o resultado do cálculo do dígito de verificação.
Validação dos tipos de dados
A validação dos tipos de dados é a validação de dados mais simples e verifica se um usuário que insere
dados é coerente com o tipo de caracteres esperados. Por exemplo, um número de telefone não conteria
o caractere alfa. Os bancos de dados permitem três tipos de dados: número inteiro, sequência de
caracteres e decimal.
Validação de entrada
Um dos aspectos mais vulneráveis do gerenciamento da integridade do banco de dados é o controle do

processo de entrada de dados. Muitos ataques conhecidos são executados contra um banco de dados e
inserem dados desformatados. O ataque pode confundir, falhar ou fazer com que o aplicativo divulgue
informações demais para o invasor. Os invasores usam ataques de entrada automática.
Por exemplo, os usuários preenchem um formulário usando um aplicativo da Web para assinar um
informativo. Um aplicativo de banco de dados gera e envia confirmações de e-mail automaticamente.
Quando os usuários recebem as confirmações de e-mail com um link URL, para confirmar a assinatura,
os invasores modificam o link URL. Essas modificações incluem a alteração do nome do usuário,
endereço de e-mail ou status da assinatura. O e-mail retorna ao servidor do host do aplicativo. Se o
servidor da Web não verificar se o endereço de e-mail ou as outras informações da conta enviados são
compatíveis com as informações da assinatura, o servidor receberá falsas informações. Os hackers
podem automatizar o ataque para inundar o aplicativo da Web com milhares de assinantes inválidos no
banco de dados do informativo.
Verificação de anomalias
A detecção de anomalias se refere à identificação de padrões em dados que não seguem o

comportamento esperado. Esses padrões não conformes são anomalias, outliers, exceções,
anormalidades ou eventos inesperados em diferentes aplicações de banco de dados. A detecção e
verificação de anomalias é uma contramedida ou proteção importante na identificação de fraudes. A
detecção de anomalias de bancos de dados pode identificar uma fraude de cartão de crédito e seguro. A
detecção de anomalias de bancos de dados pode proteger os dados contra a destruição ou alteração em
massa.
A verificação de anomalias exige solicitações ou modificações de verificação de dados, quando um

sistema detecta padrões incomuns ou inesperados. Um exemplo disso é um cartão de crédito com duas
operações em locais de solicitação muito diferentes em um curto espaço de tempo. Se um pedido de
transação de New York City ocorre às 10:30 e um segundo pedido vem de Chicago às 10:35, o sistema
aciona uma verificação da segunda transação.
Um segundo exemplo ocorre quando um número incomum de modificações do endereço de e-mail

acontece em um número incomum de registros de banco de dados. Como os dados de e-mail lançam
ataques de DoS, a modificação de e-mail de centenas de registros poderia indicar que um invasor está
usando o banco de dados de uma empresa como uma ferramenta para o ataque de DoS.
Integridade da entidade
Um banco de dados é como um sistema de arquivamento eletrônico. Manter um arquivamento correto é

fundamental para preservar a confiança e a utilidade dos dados no banco de dados. Tabelas, registros,
campos e dados dentro de cada campo compõem um banco de dados. Para manter a integridade do
sistema de arquivos do banco de dados, os usuários devem seguir determinadas regras. A integridade da
entidade é uma regra de integridade, declarando que cada tabela deve ter uma chave primária e que a
coluna ou colunas escolhidas como chave primária devem ser exclusivas e não NULAS. Nula em um
banco de dados significa valores ausentes ou desconhecidos. A integridade da entidade permite a
organização adequada dos dados para esse registro, como mostrado na figura.
Integridade referencial
Outro conceito importante é a relação entre diferentes sistemas de arquivamento ou tabelas. A base da
integridade de referência consiste em chaves externas. Uma chave estrangeira em uma tabela faz
referência a uma chave primária em uma segunda tabela. A chave primária de uma tabela é um
identificador único das entidades (linhas) na tabela. A integridade referencial mantém a integridade das
chaves externas.
Integridade do domínio
A integridade de domínio garante que todos os itens de dados em uma coluna estejam dentro de um
conjunto definido de valores válidos. Cada coluna em uma tabela tem um conjunto definido de valores,
como o conjunto de todos os números de cartão de crédito, de CPFs ou de endereços de e-mail. Limitar
um valor atribuído a uma instância dessa coluna (um atributo) reforça a integridade do domínio. O reforço
de integridade do domínio pode ser tão simples quanto escolher o tipo de dados, comprimento ou formato
de uma coluna.
Quais são os três critérios de validação utilizados para uma regra de validação?
(Escolha três.)
Select one or more:
tamanho
criptografia
chave
formato
intervalo
tipo
Feedback
Os critérios utilizados em uma regra de validação incluem formato, consistência, alcance e
dígito de verificação.
The correct answers are: tamanho, intervalo, formato
Question 2
Correct
Flag question
Question text
Qual a finalidade do CSPRNG?
Select one:
impedir que um computador seja um zumbi
processar buscas de hash
gerar o salt
proteger um site
Feedback
O salting impede que alguém use um ataque de dicionário para adivinhar uma senha. O
Gerador de Número Pseudo-Aleatório Protegido por Criptografia (CSPRNG) é uma forma
(e é a melhor) de gerar o salt.
The correct answer is: gerar o salt
Question 3
Correct
Flag question
Question text
Um e-mail recente enviado para toda a empresa afirmou que haveria uma mudança na
política de segurança. O oficial de segurança que acreditava-se ter enviado a mensagem
afirmou que ela não foi enviada do departamento de segurança, e a empresa pode ter sido
vítima de um e-mail falso. O que poderia ter sido adicionado à mensagem para garantir
que ela de fato veio dessa pessoa?
Select one:
assinatura digital
não rejeição
chave assimétrica
hashing
Feedback
As assinaturas digitais garantem a não rejeição ou a capacidade de não negar que uma
pessoa específica enviou uma mensagem.
The correct answer is: assinatura digital
Question 4
Correct
Flag question
Question text
Um usuário criou um novo programa e deseja distribuí-lo para todos na empresa. O
usuário quer garantir que, quando o programa for baixado, não será alterado enquanto
estiver em trânsito. O que o usuário pode fazer para garantir que o programa não será
alterado quando for baixado?
Select one:
Instalar o programa em computadores individuais.
Desativar o antivírus em todos os computadores.
Criar um hash do arquivo do programa que pode ser usado para verificar a integridade do
arquivo depois que o download for feito.
Criptografar o programa e exigir uma senha depois que o download for feito.
Distribuir o programa em um pen drive.
Feedback
Hash é um método para assegurar a integridade e ele garante que os dados não serão
alterados.
The correct answer is: Criar um hash do arquivo do programa que pode ser usado para
verificar a integridade do arquivo depois que o download for feito.
Question 5
Incorrect
Flag question
Question text
Qual é o processo passo a passo para criar uma assinatura digital?
Select one:
Criar uma message digest; criptografar a digest com a chave privada do remetente e
empacotar a mensagem, a digest criptografada e a chave pública juntos a fim de assinar o
documento.
Criar uma mensagem, criptografar a mensagem com um hash MD5 e enviar o pacote com
uma chave pública.
Criar uma message digest; criptografar a digest com a chave pública do remetente e
empacotar a mensagem, a síntese criptografada e a chave pública juntos para assinar o
documento.
Criar um hash de SHA-1; criptografar o hash com a chave privada do remetente e

empacotar a mensagem, o hash criptografado e a chave pública juntos para o documento
assinado.
Feedback
Para criar uma assinatura digital, devem ser seguidas estas etapas:
1. A mensagem e a message digest são criadas.

2. A digest e chave privada são criptografadas.
3. A mensagem, a message digest criptografada e a chave pública são empacotadas para
criar o documento assinado.
The correct answer is: Criar uma message digest; criptografar a digest com a chave
privada do remetente e empacotar a mensagem, a digest criptografada e a chave pública
juntos a fim de assinar o documento.
Question 6
Correct
Flag question
Question text
Um usuário é o administrador do banco de dados de uma empresa. Foi solicitado que um
usuário implementasse uma regra de integridade, que declarasse que todas as tabelas
devem ter uma chave primária e que a coluna ou as colunas escolhidas como chave
primária devem ser exclusivas e não nulas. Qual requisito de integridade o usuário está
implementando?
Select one:
integridade da anomalia
integridade referencial
integridade do domínio
integridade da entidade
Feedback
Existem três requisitos principais de integridade do banco de dados: entidade, referencial e
integridade do domínio.
The correct answer is: integridade da entidade
Question 7
Incorrect
Flag question
Question text
Quais são os três tipos de ataques que podem ser evitados ao utilizar salting? (Escolha
três.)
Select one or more:
rainbow tables
tabelas de pesquisa
navegação bisbilhoteira
adivinhação
engenharia social
tabelas de pesquisa reversa
phishing
Feedback
O salting faz com que tabelas pré-calculadas não tenham efeito devido à sequência
aleatória que é usada.
The correct answers are: tabelas de pesquisa, tabelas de pesquisa reversa, rainbow tables
Question 8
Incorrect

Flag question
Question text
Identifique as três situações em que a função de criptografia pode ser aplicada. (Escolha
três)
Select one or more:
PPoE
IPsec
WPA
CHAP
DES
PKI
Feedback
Três situações em que uma função hash pode ser usada são:
• Quando o IPSec estiver sendo usado

• Quando a autenticação por roteamento estiver ativada
• Nas respostas de desafios dentro de protocolos, como PPP CHAP
• Em contratos assinados digitalmente e certificados PKI
The correct answers are: IPsec, CHAP, PKI

Question 9
Correct
Flag question
Question text
Alice e Bob usam a mesma senha para efetuar login na rede da empresa. Isto significa que
os dois têm o mesmo hash exato para suas senhas. O que poderia ser implementado para
impedir que os dois hashes das senhas sejam iguais?
Select one:
salting
granulação
gerador pseudoaleatório
RSA
Feedback
Uma senha é armazenada como uma combinação de um hash e um salt.
The correct answer is: salting
Question 10
Correct
Flag question
Question text
Um usuário está avaliando a infraestrutura de segurança de uma empresa e percebe que
alguns sistemas de autenticação não estão usando as melhores práticas relacionadas ao
armazenamento de senhas. O usuário consegue decifrar senhas muito rápido e acessar
dados confidenciais. O usuário deseja apresentar uma recomendação para a empresa
sobre a implementação adequada de salting para evitar técnicas de violação de senha.
Quais são as três melhores práticas na implementação de salting? (Escolha três.)
Select one or more:
Salts devem ser curtos.
Um salt não deve ser reutilizado.
O mesmo salt deve ser usado para cada senha.
Um salt deve ser exclusivo.
Um salt deve ser exclusivo para cada senha.
Salts não são uma prática recomendada eficiente.

Feedback
O salting deve ser exclusivo e não reutilizado. Fazer o oposto fará com que senhas sejam
quebradas facilmente.
The correct answers are: Um salt deve ser exclusivo para cada senha., Um salt não deve
ser reutilizado., Um salt deve ser exclusivo.
Question 11
Correct
Flag question
Question text
Um usuário é instruído por um chefe a encontrar um método melhor para proteger as
senhas em trânsito. O usuário pesquisou vários meios para fazer isso e escolheu o uso de
HMAC. Quais são os elementos principais necessários para implementar o HMAC?
Select one:
message digest e chave assimétrica
chave simétrica e chave assimétrica
chave secreta e message digest
IPSec e soma de verificação
Feedback
A implementação de HMAC é uma chave secreta adicionada a um hash.
The correct answer is: chave secreta e message digest
Question 12
Correct
Flag question
Question text
Foi solicitado que um usuário implementasse o IPSec para conexões externas de entrada.
O usuário planeja usar SHA-1 como parte da implementação. O usuário deseja garantir a
integridade e a autenticidade da conexão. Qual ferramenta de segurança o usuário pode
usar?
Select one:
ISAKMP
HMAC
MD5
SHA256
Feedback
O HMAC fornece uma chave secreta como recurso adicional para garantir a integridade e
a autenticação.
The correct answer is: HMAC
Question 13
Correct
Flag question
Question text
Um investigador encontra uma unidade de USB na cena do crime e quer apresentá-lo
como prova no tribunal. O investigador leva a unidade de USB, cria uma imagem forense
dela e leva um hash do dispositivo USB original e da imagem que foi criada. O que o
investigador deseja provar sobre a unidade de USB quando a prova for apresentada no
tribunal?
Select one:
Os dados estão todos lá.
O investigador encontrou uma unidade de USB e conseguiu fazer uma cópia dela.
Não pode ser feita uma cópia exata de um dispositivo.

Os dados da imagem são uma cópia exata, e nada foi alterado pelo processo.
Feedback
Uma função hash garante a integridade de um programa, arquivo ou dispositivo.
The correct answer is: Os dados da imagem são uma cópia exata, e nada foi alterado pelo
processo.
Question 14
Correct
Flag question
Question text
Um usuário está se conectando a um servidor de e-commerce para comprar alguns
widgets para uma empresa. O usuário se conecta ao site e percebe que não há um
cadeado na barra de status de segurança de navegador. O site solicita um nome de
usuário e a senha e o usuário consegue fazer login. Qual é o perigo em prosseguir essa
transação?
Select one:
Um software bloqueador de anúncios está impedindo que a barra de segurança funcione

corretamente, e, portanto, não há perigo com a transação.
O usuário está usando o navegador errado para realizar a transação.
O site não está usando um certificado digital para proteger a transação, o que significa
que tudo fica não codificado.
O certificado do site expirou, mas ele ainda é seguro.
Feedback
O cadeado na janela do navegador garante que uma conexão segura foi estabelecida e
não foi bloqueada por um complemento do navegador.
The correct answer is: O site não está usando um certificado digital para proteger a
transação, o que significa que tudo fica não codificado.
Question 15
Correct

Flag question
Question text
Uma violação recente em uma empresa foi atribuída à capacidade de um hacker de
acessar o banco de dados corporativo por meio do site da empresa, com o uso de dados
malformados em um formulário de login. Qual é o problema com o site da empresa?
Select one:
criptografia fraca
falta de patches de sistema operacional
validação de entrada pobre
nomes de usuário ruins
Feedback
A capacidade de transmitir dados malformados através de um site é uma forma de
validação de entrada pobre.
The correct answer is: validação de entrada pobre
Question 16
Correct
Flag question
Question text
Quais são os três algoritmos de assinatura digital aprovados pelo NIST? (Escolha três.)
Select one or more:
MD5
ECDSA
RSA
SHA256
SHA1
DSA
Feedback
O NIST escolhe algoritmos aprovados com base em técnicas de chave públicas e ECC. Os
algoritmos de assinatura digital aprovados são DSA, RSA e ECDSA.
The correct answers are: DSA, RSA, ECDSA
Question 17
Correct
Flag question
Question text
Qual é o padrão para uma infraestrutura de chave pública gerenciar certificados digitais?
Select one:
NIST-SP800
x.503
PKI
x.509
Feedback
O padrão x.509 é para uma infraestrutura PKI e x.500 é para estruturas de diretório.
The correct answer is: x.509
Question 18
Correct

Flag question
Question text
Qual método tenta todas as senhas possíveis até que uma correspondência seja
encontrada?
Select one:
rainbow tables
força bruta
dicionário
nuvem
criptográfico
data de nascimento
Feedback
Dois métodos comuns para decifrar hashes são o dicionário e a força bruta. Depois de um
tempo, o método de força bruta sempre decifrará uma senha.
The correct answer is: força bruta
Question 19
Correct
Flag question
Question text
Um usuário baixa de um site um driver atualizado para uma placa de vídeo. Uma
mensagem de aviso aparece na tela dizendo que o driver não é aprovado. O que está
faltando nesta parte do software?
Select one:
reconhecimento de código
ID válida
código fonte
assinatura digital
Feedback
A assinatura de código é um método de verificação de integridade do código
The correct answer is: assinatura digital
Question 20
Correct
Flag question
Question text
Qual das opções é um ponto forte do uso de uma função de hash?
Select one:
Pode levar apenas uma mensagem de tamanho fixo.
É uma função unidirecional e não reversível.
Não é usado comumente na segurança.
Tem uma saída de tamanho variável.
Dois arquivos diferentes podem ser criados com a mesma saída.
Feedback
Compreender as propriedades de uma função hash mostra sua aplicabilidade como função
unidirecional, tamanho de entrada arbitrária e saída fixa.
The correct answer is: É uma função unidirecional e não reversível.
Capítulo 6: o conceito de cinco noves
As empresas que desejam maximizar a disponibilidade dos seus sistemas e dados podem tomar medidas
extraordinárias para minimizar ou eliminar a perda de dados. O objetivo é minimizar o tempo de
inatividade de processos de missão crítica. Se os funcionários não puderem exercer as suas funções
regulares, a empresa está em risco de perder receita.
As empresas medem a disponibilidade pela porcentagem de tempo de atividade. Este capítulo começa
explicando o conceito de cinco noves. Muitas indústrias devem manter os mais altos padrões
disponibilidade, pois o tempo de inatividade pode, literalmente, significar a diferença entre vida e morte.
Este capítulo discute diferentes abordagens que as empresas podem tomar para ajudar a atingir seus
objetivos de disponibilidade. A redundância oferece backup e inclui componentes extras para
computadores ou sistemas de rede, para garantir que os sistemas permaneçam disponíveis.
Componentes redundantes podem incluir hardware, como unidades de disco, servidores, switches e
roteadores ou software, como sistemas operacionais, aplicativos e bancos de dados. O capítulo também
discute a resiliência, a capacidade de um servidor, rede ou data center para recuperar-se rapidamente e
continuar a operação.
As empresas devem estar preparadas para responder a um incidente com o estabelecimento de

procedimentos que seguem, depois da ocorrência de um evento. O capítulo conclui com uma discussão
de recuperação de desastres e de planejamento de continuidade dos negócios que são vitais para a
manutenção da disponibilidade dos recursos de uma empresa.
O que significam os Cinco Noves?
Os cinco noves significam que sistemas e serviços estão disponíveis 99,999% do tempo. Também
significam que o período de inatividade não planejado e o período de inatividade planejado são menos de
5,26 minutos por ano. O gráfico na figura fornece uma comparação entre o período de inatividade para
várias porcentagens de disponibilidade.
Alta disponibilidade se refere a um sistema ou componente que fica em operação continuamente, por um
determinado período de tempo. Para ajudar a garantir a alta disponibilidade, é importante:
• Eliminar pontos únicos de falha
• Design para confiabilidade
• Detectar falhas, à medida que elas ocorrem
Sustentar a alta disponibilidade com o padrão de cinco noves pode aumentar os custos e utilizar muitos
recursos. O aumento dos custos ocorre devido a compra de hardware adicional, como servidores e
componentes. À medida que uma empresa adiciona componentes, o resultado é um aumento na
complexidade da configuração. Infelizmente, a maior complexidade na configuração aumenta os fatores
de risco. Quanto mais peças móveis envolvidas, maior a probabilidade de componentes com falhas.
Ameaças à disponibilidade
As seguintes ameaças representam um risco elevado para a disponibilidade dos dados e das
informações:
• Um usuário não autorizado entra e compromete o banco de dados principal de uma empresa
• Um ataque DoS bem-sucedido afeta significativamente as operações
• Uma empresa sofre uma perda significativa de dados confidenciais
• Um aplicativo de missão crítica cai
• Ocorre um comprometimento do usuário Admin ou root

• A detecção de um script entre sites ou de compartilhamento de servidor de arquivos ilegais
• A desfiguração do site de uma empresa tem impacto nas relações públicas
• Uma tempestade grave, como um furacão ou um tornado
• Um evento catastrófico, como um ataque terrorista, bombardeio de edifício ou prédio em chamas
• Utilitário de longo prazo ou interrupção do provedor de serviço
• Danos causados pela água como resultado de inundações ou de extintores de incêndios
Categorizar o nível de impacto para cada ameaça ajuda uma empresa a perceber o impacto em dólares
de uma ameaça. Clique nas categorias de ameaça na figura para ver um exemplo de cada uma.
Projetar um sistema de alta disponibilidade
A alta disponibilidade incorpora três grandes princípios para atingir a meta de acesso ininterrupto aos
dados e serviços:
1. Eliminação ou redução de pontos únicos de falha
2. Resiliência do sistema
3. Tolerância a falhas
Clique em cada princípio da figura para obter uma breve descrição.
É importante compreender as maneiras de abordar um ponto único de falha. Um ponto único de falha
pode incluir roteadores centrais ou switches, serviços de rede e, até mesmo, uma equipe de TI altamente
qualificada. É importante saber que uma perda do sistema, de processo ou de pessoa pode ter um
impacto muito significativo em todo o sistema. A chave é ter processos, recursos e componentes que
reduzam os pontos únicos de falha. Clusters de alta disponibilidade é uma maneira de proporcionar
redundância. Esses clusters consistem em um grupo de computadores que têm acesso ao mesmo
armazenamento compartilhado e têm configurações de rede idênticas. Todos os servidores participam no
processamento de um serviço simultaneamente. Do lado de fora, o grupo de servidores se parece com
um único dispositivo. Se um servidor dentro do cluster falhar, os outros servidores continuarão a
processar o mesmo serviço que o dispositivo com falha.
Resiliência de sistemas refere-se à capacidade de manter a disponibilidade de dados e de processamento

operacional, apesar de ataques ou de eventos de interrupção. Geralmente, isso requer sistemas
redundantes, em termos de energia e de processamento, para que, se um sistema falhar, o outro possa
assumir as operações, sem nenhuma interrupção no serviço. Resiliência do sistema é mais do que a
blindagem de dispositivos. Requer que os dados e serviços estejam disponíveis, mesmo quando sob
ataque.
Tolerância a falhas permite que um sistema continue funcionando, se um ou mais componentes falharem.
Espelhamento de dados é um exemplo de tolerância a falhas. Se ocorrer uma "falha", causando
interrupção de um dispositivo, como um controlador de disco, o sistema espelhado proporcionará os
dados solicitados sem interrupção aparente no serviço para o usuário.
Identificação do ativo
Uma empresa precisa saber qual hardware e software estão presentes, como pré-requisito para conhecer
como os parâmetros de configuração precisam ser. O gerenciamento de ativos inclui um inventário
completo de hardware e software.
Isso significa que a empresa precisa saber todos os componentes que podem estar sujeitos a riscos de
segurança, incluindo:
• Cada sistema de hardware

• Cada sistema operacional
• Cada dispositivo de rede de hardware
• Cada sistema operacional do dispositivo de rede
• Cada aplicativo
• Todos os firmwares
• Todos os ambientes de tempo de execução da linguagem
• Todas as bibliotecas individuais
Uma empresa pode escolher uma solução automatizada para controlar os ativos. Um administrador deve
investigar qualquer configuração alterada, pois pode significar que a configuração não está atualizada.
Também pode significar que estão acontecendo alterações não autorizadas.
Classificação de ativos
A classificação de ativos atribui todos os recursos de uma empresa a um grupo, com base em
características comuns. Uma empresa deve aplicar um sistema de classificação de ativos para
documentos, registros de dados, arquivos de dados e discos. As informações mais importantes precisam
receber o nível mais alto de proteção e ainda podem exigir um tratamento especial.
Uma empresa pode adotar um sistema de rotulagem, de acordo com o valor, a confidencialidade e a
importância das informações. Conclua as etapas a seguir para identificar e classificar os ativos de uma
empresa:
1. Determine a categoria de identificação de ativos adequada.

2. Estabeleça a responsabilização, identificando o proprietário de todos os ativos de informações e de
softwares de aplicativos.
3. Determine os critérios de classificação.
4. Implemente um esquema de classificação.
A figura fornece mais detalhes para essas etapas.
Por exemplo, o governo dos EUA usa a confidencialidade para classificar os dados como segue: top
secret; secretos; confidenciais; confiança pública; e não classificado.
Padronização de ativos
O gerenciamento de ativos gerencia o ciclo de vida e o inventário de ativos de tecnologia, incluindo

software e dispositivos. Como parte de um sistema de gerenciamento de ativos TI, uma empresa
especifica os ativos de TI aceitáveis que atendem a seus objetivos. Essa prática reduz, de forma eficaz,
os diferentes tipos de ativos. Por exemplo, uma empresa só vai instalar aplicativos que atendam a suas
diretrizes. Quando os administradores eliminam aplicativos que não atendem às diretrizes, eles estão
aumentando a segurança de forma eficaz.
Os padrões do ativo identificam produtos de hardware e software específicos usados e suportados pela
empresa. Quando há uma falha, a ação imediata ajuda a manter o acesso e a segurança. Se uma
empresa não padronizar sua seleção de hardware, provavelmente será difícil o pessoal encontrar um
componente de reposição. Além de exigirem mais conhecimento para serem gerenciados, ambientes não
padronizados aumentam o custo com contratos de manutenção e inventário. Clique aqui para ler sobre
como os militares mudaram para ter hardware padronizado em suas comunicações militares.
Identificação de ameaça
A United States Computer Emergency Readiness Team (US-CERT) e o U.S. Department of Homeland
Security patrocinam um dicionário de Common Vulnerabilities and Exposures (CVE, dicionário de
Vulnerabilidades e Exposições Comuns). O CVE contém um número de identificadores padrão com uma
breve descrição e referências para avisos e relatórios de vulnerabilidade relacionados. A MITRE
Corporation mantém a lista de CVE e seu site público.
A identificação de ameaças começa com o processo de criação de um identificador CVE para

vulnerabilidades publicamente conhecidas de segurança cibernética. Cada identificador CVE inclui o
seguinte:
• O número de identificador CVE
• Uma breve descrição da vulnerabilidade da segurança
• Todas as referências importantes
Clique aqui para saber mais sobre o identificador CVE.
Análise de risco
Análise de risco é o processo de analisar os perigos representados por eventos naturais e provocados por
humanos aos ativos de uma empresa.
Um usuário realiza uma identificação de ativo para ajudar a determinar quais ativos serão protegidos.
Uma análise de risco tem quatro objetivos:
• Identificar ativos e seu valor
• Identificar vulnerabilidades e ameaças
• Quantificar a probabilidade e o impacto das ameaças identificadas
• Equilibrar o impacto da ameaça com relação ao custo da contramedida
Existem duas abordagens para a análise de risco.
Análise de risco quantitativa
Uma análise quantitativa atribui números para o processo de análise de risco (Figura 1). O valor do ativo é
o custo de reposição do ativo. O valor de um ativo pode ser medido também pela receita adquirida com o
uso do ativo. O EF (Exposure Factor, Fator de exposição) é um valor subjetivo, expressado como uma
porcentagem que um ativo perde devido a uma ameaça específica. Se ocorrer uma perda total, o EF é
igual a 1.0 (100%). No exemplo quantitativo, o servidor tem um valor de ativo de US $15.000. Quando o
servidor falhar, uma perda total ocorre (o EF é igual a 1.0). O valor patrimonial de US$15.000, multiplicado
pelo fator de exposição de 1 resulta em uma expectativa de perda única de US $15.000.
A ARO (annualized rate of occurrence, Taxa anualizada de ocorrência) é a probabilidade de uma perda
ocorrer durante o ano (também expressada como uma porcentagem). Uma ARO pode ser maior que
100%, se uma perda puder ocorrer mais de uma vez por ano.
O cálculo da ALE (annual loss expectancy, expectativa de perda anual) dá à gerência uma noção de
quanto deverá gastar para proteger o ativo.
Análise de risco qualitativa
A análise de risco qualitativa usa opiniões e cenários. A Figura 2 mostra um exemplo de tabela usado na
análise de risco qualitativa, que plota a probabilidade de uma ameaça com relação ao seu impacto. Por
exemplo, a ameaça de uma falha no servidor pode ser provável, mas seu impacto pode ser apenas
marginal.
Uma equipe avalia cada ameaça a um ativo e a plota na tabela. A equipe classifica os resultados e os usa
como guia. Eles podem determinar medidas apenas para ameaças que caírem dentro da zona vermelha.
Os números usados na tabela não está diretamente relacionado com qualquer aspecto da análise. Por
exemplo, um impacto catastrófico de 4 não é duas vezes pior que um impacto marginal de 2. Esse
método é de natureza subjetiva.
Atenuação
A mitigação envolve reduzir a gravidade da perda ou a probabilidade de que a perda ocorra. Muitos
controles técnicos mitigam riscos, incluindo os sistemas de autenticação, permissões de arquivos e
firewalls. A empresa e os profissionais de segurança devem entender que a mitigação de riscos pode ter
impacto positivo e negativo na empresa. A boa mitigação de riscos encontra um equilíbrio entre o impacto
negativo das contramedidas e dos controles e o benefício da redução do risco. Existem quatro maneiras
comuns de reduzir o risco:
• Aceitar o risco e reavaliar periodicamente
• Reduzir o risco com a implementação de controles
• Evitar o risco alterando totalmente a abordagem
• Transferir o risco para terceiros
Uma estratégia de curto prazo é aceitar o risco, o que implica na criação de planos de contingência para
esse risco. Pessoas e empresas têm que aceitar o risco diariamente. Metodologias modernas reduzem o
risco com o desenvolvimento de software de forma incremental e proporcionando atualizações e patches
regulares para enfrentar vulnerabilidades e configurações incorretas.
A terceirização de serviços, a compra de seguros ou a compra de contratos de manutenção são todos

exemplos de transferência de risco. Contratação de especialistas para realizar tarefas críticas para reduzir
o risco pode ser uma boa decisão e produzir melhores resultados com menos investimento no longo
prazo. Um bom plano de mitigação de risco pode incluir duas ou mais estratégias.
Sobreposição
A defesa em profundidade não fornecerá um escudo cibernético impenetrável, mas ajudará a empresa a
minimizar riscos, mantendo-se um passo à frente dos criminosos virtuais.
Se houver apenas uma única defesa para proteger dados e informações, os criminosos virtuais precisam
apenas passar por essa única defesa. Para garantir que as informações e os dados permaneçam
disponíveis, uma empresa precisa criar diferentes camadas de proteção.
Uma abordagem em camadas proporciona a proteção mais abrangente. Se criminosos virtuais

penetrarem uma camada, eles ainda têm que lidar com várias camadas a mais, com cada camada sendo
mais complicada que a anterior.
A disposição em camadas é criar uma barreira de várias defesas que, juntas, se coordenam para prevenir
ataques. Por exemplo, uma empresa pode armazenar seus documentos top secret em um servidor em um
edifício rodeado por uma cerca elétrica.
Limitação
Limitar o acesso aos dados e às informações reduz a possibilidade de uma ameaça. Uma empresa deve
restringir o acesso para que os usuários tenham apenas o nível de acesso necessário para fazer o seu
trabalho. Por exemplo, as pessoas no departamento de marketing não precisam de acesso aos registros
da folha de pagamentos para realizar seus trabalhos.
Soluções baseadas em tecnologia, como o uso de permissões de arquivos, são uma maneira de limitar o
acesso. Uma empresa deve também implementar medidas procedimentais. Deve existir um procedimento
que proíba um funcionário de remover documentos confidenciais das instalações.
Diversidade
Se todas as camadas protegidas fossem as mesmas, não seria muito difícil, para os criminosos virtuais,
realizar um ataque bem-sucedido. Portanto, as camadas devem ser diferentes. Se criminosos virtuais
penetrarem em uma camada, a mesma técnica não funcionará em todas as outras camadas. Quebrar
uma camada de segurança não compromete todo o sistema. Uma empresa pode usar diferentes
algoritmos de criptografia ou sistemas de autenticação para proteger os dados em diferentes estados.
Para atingir a meta da diversidade, as empresas podem usar os produtos de segurança fabricados por
empresas diferentes para autenticação multifatorial. Por exemplo, o servidor que contém os documentos
top secret está em uma sala trancada que requer um cartão magnético de uma empresa e autenticação
de biometria fornecida por outra empresa.
Ofuscação
A ofuscação de informações também pode proteger dados e informações. Uma empresa não deve revelar
informações que os criminosos virtuais podem usar para descobrir a versão do sistema operacional em
execução em um servidor ou o tipo de equipamento que ele usa. Por exemplo, as mensagens de erro não
devem conter nenhum detalhe que os criminosos virtuais possam usar para determinar as
vulnerabilidades que estão presentes. Ocultar certos tipos de informação dificulta ataques de criminosos
virtuais a um sistema.
Simplicidade
A complexidade não garante, necessariamente, a segurança. Se uma empresa implementar sistemas

complexos que são difíceis de entender e de solucionar problemas, o “tiro pode sair pela culatra”. Se os
funcionários não entenderem como configurar uma solução complexa corretamente, pode ser tão fácil
quando em uma solução mais simples para os criminosos virtuais comprometerem esses sistemas. Para
manter a disponibilidade, uma solução de segurança deve ser simples, do ponto de vista de dentro da
empresa, mas complexa do ponto de vista exteno.
Ponto único de falha
Um ponto único de falha é uma operação crítica dentro da empresa. Outras operações podem confiar nele
e uma falha interrompe essa operação crítica. Um ponto único de falha pode ser uma peça especial de
hardware, um processo, uma parte específica de dados ou até mesmo um utilitário essencial. Únicos
pontos de falha são links fracos na cadeia que podem provocar interrupção das operações da empresa.
Geralmente, a solução para um ponto único de falha é modificar a operação crítica, de modo que esta não
confie em um único elemento. A empresa também pode criar componentes redundantes na operação
crítica, com o objetivo de assumir o processo, caso algum desses pontos falhem.
RAID
Uma RAID (Redundant array of independent disks, Matriz redundante de discos independentes) combina
vários discos rígidos físicos em uma única unidade lógica para proporcionar redundância de dados e
melhorar o desempenho. O RAID obtém os dados normalmente armazenados em um único disco e os
espalha entre várias unidades. Se qualquer disco único for perdido, o usuário poderá recuperar os dados
de outros discos que também hospedam os dados.
O RAID também pode aumentar a velocidade da recuperação de dados. Usando várias unidades, será
mais rápido recuperar os dados solicitados, em vez de depender apenas de um disco para fazer o
trabalho.
Uma solução RAID pode ser baseada em software ou hardware. Uma solução baseada em hardware
requer um controlador de hardware especializado, no sistema que contenha as unidades RAID. Os termos
a seguir descrevem como a RAID armazena dados nos vários discos:
• Paridade - Detecta erros de dados.
• Distribuição - Grava dados em várias unidades.
• Espelhamento - Armazena dados duplicados em uma segunda unidade.
Existem vários níveis de RAID disponíveis, como mostrado na figura.
Clique aqui para visualizar um tutorial sobre os níveis de RAID que explica a tecnologia RAID.
Spanning Tree
A redundância aumenta a disponibilidade da infraestrutura da rede, protegendo-a de um ponto único de

falha, como um cabo ou um switch com falha na rede. Quando os designers projetam a redundância física
em uma rede, pode haver loops e quadros duplicados. Os loops e quadros duplicados têm consequências
graves para uma rede comutada.
O Spanning Tree Protocol (STP) soluciona esses problemas. A função básica do STP é prevenir loops em
uma rede, quando os switches se interconectarem por vários caminhos. O STP garante que os links
físicos redundantes estejam sem loop. Ele garante que haja somente um caminho lógico entre todos os
destinos na rede. O STP bloqueia intencionalmente os caminhos redundantes que poderiam provocar um
loop.
Bloquear os caminhos redundantes é fundamental para evitar loops na rede. Os caminhos físicos ainda
existirão para fornecer redundância, mas o STP desativa esses caminhos para evitar que ocorram loops.
Se um cabo ou switch da rede falhar, o STP recalculará os caminhos e desbloqueará as portas
necessárias, para permitir que o caminho redundante se torne ativo.
Clique em Play na figura para visualizar a ação do STP quando ocorre uma falha:
• O PC1 envia uma transmissão para a rede.
• O trunk link entre S2 e S1 falha, resultando em interrupção do caminho original.
• O S2 desbloqueia a porta anteriormente bloqueada para Tronco2 e permite que o tráfego de

broadcast siga o caminho alternativo na rede, permitindo que a comunicação continue.
• Se o link entre S2 e S1 voltar a funcionar, o STP bloqueará novamente o link entre S2 e S3.
Opções de redundância do roteador

A lista a seguir define as opções disponíveis para redundância do roteador, com base no protocolo que
define a comunicação entre dispositivos de rede:
• O HSRP (Hot Standby Router Protocol, protocolo de roteador em espera ativo) - O HSRP
proporciona alta disponibilidade da rede, proporcionando redundância de roteamento de primeiro
salto. Um grupo de roteadores usa HSRP para selecionar um dispositivo ativo e um dispositivo
standby. Em um grupo de interfaces de dispositivos, o dispositivo ativo é o dispositivo que
encaminha pacotes e o dispositivo standby é o dispositivo que assume quando o dispositivo ativo
falha. A função de roteador em espera do HSRP é monitorar o status operacional do grupo de
HSRP e para assumir rapidamente a responsabilidade de encaminhamento de pacotes se o
roteador ativo falhar.
• Virtual Router Redundancy Protocol (VRRP, Protocolo de redundância de roteador virtual) -

Um roteador VRRP executa o protocolo VRRP em conjunto com um ou mais outros roteadores
conectados a uma LAN. Em uma configuração de VRRP, o roteador eleito é o roteador virtual
mestre, e os outros roteadores atuam como backup, se o roteador virtual mestre falhar.
• Gateway Load Balancing Protocol (GLBP, Protocolo de balanceamento de carga do

gateway) – O GLPB protege o tráfego de dados de um roteador ou circuito com falha, como HSRP
e VRRP, permitindo, também, balanceamento de carga (também chamado de compartilhamento de
carga) entre um grupo de roteadores redundantes.
Uma empresa pode precisar pensar em redundância de local, dependendo de suas necessidades. A
seguir, há uma descrição de três formas de redundância de local.
Síncrono
• Sincroniza os dois locais em tempo real
• Requer alta largura de banda
• Os locais devem ser próximos um do outro, para reduzir a latência
Replicação assíncrona
• Não sincronizados em tempo real, mas muito próximo disso
• Requer menos largura de banda
• Os sites podem estar mais distantes, pois a latência é o menor dos problemas
Point-in-time-Replication (Replicação de um ponto no tempo)
• Atualiza periodicamente a localização dos dados de backup
• Mais conservador em termos de largura de banda, pois não exige uma conexão constante
O equilíbrio correto entre custo e disponibilidade determinará a escolha correta para uma empresa.
Design resiliente
Resiliência representa os métodos e configurações usados para tornarem um sistema ou rede tolerante a
falhas. Por exemplo, uma rede pode ter links redundantes entre switches que executam o STP. Embora o
STP proporcione um caminho alternativo pela rede se o link falhar, a transição pode não ser imediata, se
a configuração não for ideal.
Os protocolos de roteamento também proporcionam resiliência, mas o ajuste fino pode melhorar a
transição, para que os usuários da rede não percebam. Os administradores devem investigar as
configurações não padrão em uma rede de testes, para ver se podem melhorar os tempos de
recuperação em uma rede.
O design resiliente é mais do que simplesmente adicionar redundância. É fundamental entender as

necessidades comerciais da empresa e, em seguida, incorporar a redundância para criar uma rede
resiliente.
Resiliência de aplicativo
Resiliência de aplicativo é a capacidade do aplicativo reagir a problemas em um de seus componentes

sem parar de funcionar. O período de inatividade é devido a falhas causadas por erros de aplicativos ou
por falhas de infraestrutura. Um administrador precisará, eventualmente, desativar aplicativos para
aplicações de patches, atualizações de versão ou para implantar novas funcionalidades. Período de
inatividade pode também ser o resultado de corrupção de dados, falhas de equipamentos, erros humanos
e erros de aplicativos.
Muitas empresas tentam reequilibrar o custo da resiliência da infraestrutura para aplicativos com o custo
que teriam ao perder clientes ou negócios devido a uma falha de aplicativo. Alta disponibilidade de
aplicativos é complexa e cara. A figura mostra três soluções de disponibilidade para abordar a resiliência
de aplicativos. À medida que o fator de disponibilidade de cada solução aumenta, a complexidade e os
custos também aumentam.
Resiliência do IOS
O IOS (Interwork Operating System, Sistema operacional Interwork) para roteadores e switches Cisco
incluem um atributo de configuração. Permite recuperação mais rápida se alguém, intencionalmente ou
não, reformatar a memória flash ou apagar o arquivo de configuração de inicialização. Este atributo
mantém uma cópia de trabalho segura do arquivo de imagem do IOS do roteador e uma cópia do arquivo
de configuração de execução. O usuário não pode remover esses arquivos seguros, também conhecidos
como o bootset primário.
Os comandos mostrados na figura protegem o arquivo de imagem IOS e o arquivo de configuração em

execução.
Preparação
Resposta a incidente são procedimentos que uma empresa segue, depois da ocorrência de um evento
fora dos limites de normalidade. Uma violação de dados libera informações para um ambiente não
confiável. Uma violação de dados pode ocorrer como resultado de um ato intencional ou acidental. Uma
violação de dados ocorre sempre que uma pessoa não autorizada copia, transmite, visualiza, rouba ou
acessa informações confidenciais.
Quando ocorre um incidente, a empresa deve saber como responder. Uma empresa precisa desenvolver
um plano de resposta a incidente e monta uma CSIRT (Computer Security Incident Response Team,
Equipe de resposta a incidente de segurança em computadores) para gerenciar a resposta. A equipe
desempenha as seguintes funções:
• Mantém o plano de resposta a incidente
• Assegura que seus membros sejam conhecedores do plano
• Testa o plano
• Obtém a aprovação do plano com a gerência
A CSIRT pode ser um grupo estabelecido dentro da empresa para essa finalidade. A equipe segue um
conjunto de etapas predeterminadas para garantir que sua abordagem seja uniforme e que não pulem
nenhuma etapa. As CSIRTs nacionais supervisionam o tratamento de incidente em um país.
Detecção e análise
A detecção começa quando alguém descobre o incidente. As empresas podem comprar os mais
sofisticados sistemas de detecção, mas, no entanto, se os administradores não examinarem os logs e não
monitorarem alertas, esses sistemas são inúteis. A detecção adequada inclui como o incidente ocorreu,
quais dados estavam envolvidos e quais sistemas estavam envolvidos. A notificação da violação vai para
a gerência sênior e para os gerentes responsáveis pelos dados e sistemas, para envolvê-los na solução e
no reparo. A detecção e a análise incluem o seguinte:
• Alertas e notificações
• Monitoramento e acompanhamento
A análise de incidente ajuda a identificar a origem, extensão, impacto e detalhes de uma violação de
dados. A empresa pode precisar decidir se deve chamar uma equipe de especialistas para realizar a
investigação de computação forense.
Contenção, erradicação e recuperação
Os esforços de contenção incluem ações imediatas realizadas, como desconectar um sistema da rede
para parar o vazamento de informações.
Depois de identificar a violação, a empresa precisa contê-la e erradicá-la. Isso pode exigir período de
inatividade adicional para os sistemas. A fase de recuperação inclui as medidas que a empresa precisa
tomar para resolver a violação e restaurar os sistemas envolvidos. Depois da solução, a empresa precisa
restaurar todos os sistemas ao seu estado original, antes da violação.
Acompanhamento pós-incidente
Depois de restaurar todas as operações a um estado normal, a empresa deve examinar a causa do
incidente e fazer as seguintes perguntas:
• Quais ações impedirão que o incidente ocorra novamente?
• Quais medidas preventivas precisam ser fortalecidas?
• Como seria possível melhorar o sistema de monitoramento?
• Como seria possível minimizar o período de inatividade durante as fases de contenção, de

erradicação e de recuperação?
• Como o gerenciamento pode minimizar o impacto para o negócio?
Um exame das lições aprendidas pode ajudar a empresa a se preparar melhor, melhorando o plano de
resposta a incidente.
Network Admission Control
A finalidade do Network Admission Control (NAC) é permitir que usuários, autorizados em sistemas em
conformidade, acessem a rede. Um sistema em conformidade atende a todos os requisitos de política da
empresa. Por exemplo, um notebook que faz parte de uma rede sem fio doméstica pode não conseguir se
conectar remotamente à rede corporativa. O NAC avalia um dispositivo de entrada com relação às
políticas da rede. O NAC também coloca em quarentena os sistemas que não estão em conformidade e
gerencia a solução para sistemas fora de conformidade.
Uma estrutura NAC pode usar a infraestrutura de rede existente e software de terceiros para aplicar a
conformidade com as políticas de segurança para todos os dispositivos finais. Alternativamente, um
dispositivo NAC controla o acesso à rede, avalia a conformidade e aplica a política de segurança.
Verificações de sistemas NAC comuns incluem:
1. Detecção de vírus atualizada
2. Patches e atualizações do sistema operacional
3. Aplicação de senhas complexas

Sistema de detecção de invasão
Os IDSs (Intrusion Detection System, Sistemas de detecção de invasão) monitoram passivamente o

tráfego em uma rede. A Figura mostra que um dispositivo ativado para IDS copia o stream de tráfego e
analisa a cópia do tráfego, no lugar dos pacotes reais encaminhados. Trabalhando off-line, ele compara o
fluxo de tráfego capturado com assinaturas reconhecidamente mal-intencionadas, como um software que
verifica a existência de vírus. Trabalhar off-line significa várias coisas:
• O IDS trabalha passivamente
• O dispositivo de IDS está posicionado fisicamente na rede e, portanto, o tráfego deve ser espelhado
para atingi-lo
• O tráfego de rede não passa pelo IDS, a menos que seja espelhado
Passivo significa que o IDS monitora e gera relatórios sobre o tráfego. Ele não executa nenhuma ação.
Essa é a definição de funcionamento em modo promíscuo.
A vantagem de operar com uma cópia do tráfego é que o IDS não afeta negativamente o fluxo de pacotes
do tráfego encaminhado. A desvantagem de operar com uma cópia do tráfego é que o IDS não pode
evitar que os ataques mal-intencionados de pacote único atinjam o alvo, antes de responder ao ataque.
Um IDS muitas vezes requer a assistência de outros dispositivos de rede, como roteadores e firewalls,
para responder a um ataque.
Uma solução melhor é usar um dispositivo que pode detectar e parar imediatamente um ataque. Um IPS
(Intrusion Prevention System, Sistema de prevenção de invasão) executa essa função.
Sistemas de prevenção de invasão
Um IPS se baseia na tecnologia IDS. Entretanto, um dispositivo IPS é implementado no modo InLine. Isso
significa que todo o tráfego de entrada e de saída deve fluir através dele para ser processado. Como
mostrado na figura, um IPS não permite que os pacotes ingressem no lado confiável da rede sem primeiro
terem sido analisados. Ele consegue detectar e resolver imediatamente um problema de rede.
Um IPS monitora o tráfego da rede. Ele analisa o conteúdo e o payload dos pacotes com relação aos
ataques mais sofisticados integrados que possam incluir dados mal-intencionados. Alguns sistemas usam
uma mistura de tecnologias de detecção, inclusive com base em assinatura, com base em perfil e
detecção de invasão baseada em análise de protocolo. Essa análise mais profunda permite que o IPS
identifique, pare e bloqueie os ataques que passariam por um dispositivo de firewall tradicional. Quando
um pacote entra por uma interface em um IPS, a interface de saída ou confiável não recebe o pacote até
o IPS analisá-lo.
A vantagem de operar em modo inline é que o IPS pode impedir que ataques de pacote único alcancem o
sistema de destino. A desvantagem é que um IPS mal configurado pode afetar negativamente o fluxo de
pacotes do tráfego encaminhado.
A maior diferença entre o IDS e o IPS é que um IPS responde imediatamente e não permite que nenhum
tráfego malicioso passe, enquanto um IDS permite que tráfego malicioso passe, antes de abordar o
problema.
NetFlow e IPFIX
NetFlow é uma tecnologia CISCO IOS que fornece estatísticas em pacotes que passam por meio de um
switch multicamadas ou de um roteador da Cisco. NetFlow é o padrão para a coleta de dados
operacionais de redes. A Força-tarefa de engenharia da Internet (IETF, Internet Engineering Task Force)
usou o NetFlow da Cisco, versão 9, como base para a exportação de informações de fluxo de IP (IPFIX).
IPFIX é um formato padrão para exportar informações baseadas em roteador sobre os fluxos de tráfego
de rede para dispositivos de coleta de dados. O IPFIX funciona em roteadores e aplicativos de gestão que
suportam o protocolo. Os gerentes de rede podem exportar informações de tráfego de rede de um
roteador e usar essas informações para otimizar o desempenho da rede.
Aplicativos que suportam IPFIX podem exibir as estatísticas de qualquer roteador que suporta o padrão.
Coletar, armazenar e analisar as informações agregadas fornecidas por dispositivos suportados por IPFIX
proporciona os seguintes benefícios:
• Protege a rede contra ameaças internas e externas
• Soluciona os problemas de falhas de rede de forma rápida e precisa
• Analisa os fluxos de rede para o planejamento de capacidade
Clique aqui para assistir o vídeo sobre como o NetFlow da Cisco pode ajudar com a detecção de
ameaças à segurança.
Threat Intelligence avançado
O Threat Intelligence avançado pode ajudar as empresas a detectar ataques durante uma das etapas do
ataque cibernético e, às vezes, antes, com as informações certas.
As organizações podem conseguir detectar indicadores de ataque em seus logs e relatórios do sistema
para os alertas de segurança a seguir:
• Bloqueios de conta
• Todos os eventos de banco de dados
• Exclusão e criação de ativos
• Modificação da configuração de sistemas
O Threat Intelligence avançado é um tipo de evento ou de perfil de dados que pode contribuir para o
monitoramento da segurança e da resposta. Como os criminosos virtuais se tornaram mais sofisticados, é
importante entender as manobras de malware. Com visibilidade melhorada em metodologias de ataque,
uma empresa pode responder mais rapidamente a incidentes.
É fundamental para manter uma empresa em funcionamento quando ocorre um desastre. Um desastre
inclui qualquer evento natural ou causado pelo homem que danifica bens ou propriedades e prejudica a
capacidade da empresa de continuar funcionando.
Desastres naturais
Desastres naturais diferem, dependendo do local. Alguns desses eventos são difíceis de prever.
Desastres naturais se enquadram nas seguintes categorias:
• Desastres geológicos incluem terremotos, deslizamentos de terra, vulcões e tsunamis
• Desastres meteorológicos incluem furacões, tornados, tempestades de neve, raios e granizo
• Desastres de saúde incluem doenças disseminadas, quarentenas e pandemias
• Desastres diversos incluem incêndios, inundações, tempestades solares e avalanches
Desastres provocados por seres humanos
Desastres provocados por seres humanos envolvem pessoas ou organizações e se enquadram nas
seguintes categorias:
• Eventos trabalhistas incluindo greves, passeatas e “operações tartaruga”
• Eventos sócio-políticos incluindo vandalismo, bloqueios, protestos, sabotagem, terrorismo e guerra
• Eventos materiais incluindo incêndios e derramamentos perigosos
• Interrupções de serviços essenciais incluido falhas de energia, falhas de comunicação, escassez de

combustível e precipitação radioativa
Clique aqui para ver fotos de satélite do Japão antes e depois do terremoto e do Tsunami de 2011.
Plano de recuperação de desastres
Uma empresa coloca seu DRP (Disaster recovery plan, Plano de recuperação de desastres) em ação
enquanto o desastre está em curso e os funcionários estão lutando para garantir que sistemas essenciais
estejam on-line. O DRP inclui as atividades que a empresa realiza para avaliar, recuperar, reparar e
restaurar instalações ou ativos danificados.
Para criar o DRP, responda às seguintes perguntas:
• Quem é responsável por esse processo?
• O que o indivíduo precisa para realizar o processo?
• Onde o indivíduo realiza esse processo?
• Qual é o processo?
• Por que o processo é essencial?
Um DRP precisa identificar quais processos da empresa são os mais essenciais. Durante o processo de
recuperação, a empresa restaura seus sistemas de missão crítica, primeiro.
Implementação de controles de recuperação de desastres
Controles de recuperação de desastre minimizam os efeitos de um desastre, para garantir que os

recursos e processos comerciais possam retomar a operação.
Existem três tipos de controles de recuperação de desastres em TI:
• Medidas preventivas incluem controles que evitam a ocorrência de um desastre. Essas medidas
visam a identificar os riscos.
• Medidas de detecção incluem controles que descobrem eventos indesejados. Essas medidas
descobrem novas possíveis ameaças.
• Medidas corretivas incluem controles que restauram o sistema depois de um desastre ou um

evento.
Clique nos controles na figura para ver um exemplo de cada um.

Necessidade de continuidade dos negócios
A continuidade dos negócios é um dos mais importantes conceitos em segurança de computador. Mesmo
que as empresas façam tudo o que podem para evitar desastres e perda de dados, é impossível prever
todas as possibilidades. É importante que as empresas tenham planos implementados para garantir a
continuidade dos negócios, independentemente do que possa ocorrer. Um plano de continuidade dos
negócios é um plano mais amplo que um DRP, pois inclui levar sistemas essenciais para outro local,
enquanto o reparo da instalação original está em andamento. O pessoal continua a executar todos os
processos comerciais de forma alternada, até retomar as operações normais.
A disponibilidade garante que os recursos necessários para manter a empresa continuarão a estar
disponíveis para o pessoal e os sistemas que dependem deles.
Considerações sobre continuidade dos negócios
Os controles de continuidade dos negócios são mais do que apenas backup de dados e fornecimento de
hardware redundante. As empresas precisam de funcionários para configurar e operar corretamente os
sistemas. Os dados podem ser inúteis, até que forneçam informações. Uma empresa deve procurar o
seguinte:
• Posicionamento das pessoas certas nos lugares certos
• Documentação de configurações
• Estabelecimento de canais de comunicação diferentes para voz e dados
• Fornecimento de energia
• Identificação de todas as dependências para aplicativos e processos para que eles sejam
adequadamente entendidos
• Compreensão de como realizar essas tarefas automatização manualmente
Melhores práticas de continuidade dos negócios
Como mostrado na figura, o Instituto Nacional de Padrões e Tecnologia (NIST) desenvolveu as seguintes
melhores práticas:
1. Escreva uma política que proporcione orientação para desenvolver o plano de continuidade de
negócios e atribua funções para realização das tarefas.
2. Identifique processos e sistemas essenciais e priorizá-los conforme a necessidade.
3. Identifique vulnerabilidades, ameaças e calcule os riscos.
4. Identifique e implemente controles e contramedidas para reduzir o risco.
5. Planeje métodos para recuperar rapidamente os sistemas essenciais.
6. Escreva os procedimentos para manter a empresa funcionando em uma condição de caos.
7. Teste o plano.
8. Atualize o plano regularmente.
É solicitado que um usuário execute uma análise de risco de uma empresa. O usuário
solicita o banco de dados de ativos da empresa que contém uma lista de todos os
equipamentos. O usuário usa essas informações como parte de uma análise de risco. Qual
tipo de análise de risco pode ser realizada?
Select one:
quantitativa
hardware
qualitativa
fator de exposição
Feedback
Para itens físicos podem ser atribuídos valores para análise quantitativa.
The correct answer is: quantitativa
Question 2
Correct
Flag question
Question text
Um usuário é um consultor contratado para preparar um relatório para o Congresso sobre
quais setores devem manter disponibilidade cinco noves obrigatoriamente. Quais são os
três setores que o usuário deve incluir no relatório? (Escolha três.)
Select one or more:
serviços de saúde
varejo
serviços de alimentação
finanças
segurança pública
educação
Feedback
Setores importantes para a vida cotidiana como segurança pública, serviços de saúde e
finanças deveriam ter sistemas disponíveis 99,999% do tempo (o princípio dos cinco
noves).
The correct answers are: finanças, serviços de saúde, segurança pública
Question 3
Incorrect
Flag question
Question text
É solicitado que um usuário avalie o data center para melhorar a disponibilidade para os
clientes. O usuário percebe que há apenas uma conexão ISP, parte do equipamento está
fora da garantia, há peças sobressalentes e ninguém estava monitorando o UPS que foi
acionado duas vezes em um mês. Quais são as três deficiências de alta disponibilidade
identificadas pelo usuário? (Escolha três.)
Select one or more:
pontos únicos de falha
falha do design para confiabilidade
falha na detecção de erros à medida em que ocorrem
falha ao identificar problemas de gestão
falha ao proteger contra a manutenção ruim
falha ao evitar incidentes de segurança
Feedback
Um data center precisa ser projetado desde o início para a alta disponibilidade sem pontos
únicos de falha.
The correct answers are: pontos únicos de falha, falha na detecção de erros à medida em
que ocorrem, falha do design para confiabilidade
Question 4
Correct

Flag question
Question text
O CEO de uma empresa está preocupado com a possibilidade de, no caso de ocorrer uma
violação de dados e dados de cliente serem expostos, a empresa ser processada. O CEO
toma a decisão de contratar um seguro para a empresa. Que tipo de mitigação de risco o
CEO está implementando?
Select one:
mitigação
avoidance (prevenção de congestionamento)
de transferência
redução
Feedback
Contratar seguro transfere o risco para terceiros.
The correct answer is: de transferência
Question 5
Correct
Flag question
Question text
Um usuário está reprojetando uma rede para uma pequena empresa e quer garantir
segurança a um preço razoável. O usuário implanta um novo firewall com reconhecimento
de aplicativos com recursos de detecção de intrusão na conexão com o ISP. O usuário
instala um segundo firewall para separar a rede da empresa da rede pública. Além disso, o
usuário instala um IPS na rede interna da empresa. Qual abordagem o usuário está
implementando?
Select one:
baseada em risco
estruturada
baseada em ataque
sobreposta
Feedback
Usar diferentes defesas em vários pontos da rede cria uma abordagem sobreposta.
The correct answer is: sobreposta
Question 6
Correct
Flag question
Question text
É solicitado que um usuário crie um plano de recuperação de desastres para uma
empresa. O usuário precisa de algumas respostas da gestão antes de prosseguir. Quais
são as três perguntas que o usuário deve fazer à gestão como parte do processo de
criação do plano? (Escolha três.)
Select one or more:
O indivíduo consegue executar o processo?
Qual é o processo?
Quem é o responsável pelo processo
Quanto tempo o processo demora?
Onde o indivíduo realiza o processo?
O processo precisa de aprovação?
Feedback
Planos de recuperação de desastres são feitos com base na importância de um serviço ou
processo. As respostas às perguntas quem, o quê, onde e por quê são necessárias para
um plano ser bem-sucedido.
The correct answers are: Qual é o processo?, Quem é o responsável pelo processo, Onde
o indivíduo realiza o processo?
Question 7
Correct
Flag question
Question text
É solicitado a um usuário que avalie a postura de segurança da empresa. O usuário
analisa as tentativas anteriores de invasão na empresa e avalia as ameaças e os riscos
para criar um relatório. Qual tipo de análise de risco o usuário pode realizar?
Select one:
objetiva
subjetiva
optativa
qualitativa
Feedback
Duas abordagens para a análise de risco são a quantitativa e a qualitativa. A análise
qualitativa se baseia em opiniões e cenários.
The correct answer is: qualitativa
Question 8
Correct
Flag question
Question text
Um usuário foi contratado por uma empresa para fornecer uma infraestrutura de rede
altamente disponível. O usuário quer implementar redundância de rede em caso de falha
de switch, mas quer evitar loop de camada 2. O que o usuário poderia implementar na
rede?
Select one:
GLBP
VRRP
Spanning Tree Protocol
HSRP
Feedback
Os loops e quadros duplicados lavam ao desempenho ruim de uma rede com switches. O
Spanning Tree Protocol (STP) fornece um caminho sem loop através da rede baseada em
switch.
The correct answer is: Spanning Tree Protocol
Question 9
Incorrect
Flag question
Question text
Uma empresa está preocupada com o tráfego que flui através da rede. Há uma
preocupação de que possa haver malware que não está sendo bloqueado ou erradicado
pelo antivírus. Qual tecnologia pode ser implantada para detectar possível tráfego de
malware na rede?
Select one:
IPS
IDS
firewall
NAC
Feedback
Um sistema passivo que possa analisar o tráfego é necessário para detectar malware na
rede e enviar alertas.
The correct answer is: IDS
Question 10
Correct
Flag question
Question text
Um usuário precisa adicionar redundância aos roteadores em uma empresa. Quais são as
três opções que ele pode usar? (Escolha três.)
Select one or more:
RAID
GLBP
STP
VRRP
IPFIX
HSRP
Feedback
Os três protocolos que fornecem redundância de gateway padrão incluem VRRP, HSRP e
GLBP.
The correct answers are: HSRP, VRRP, GLBP
Question 11
Correct

Flag question
Question text
Um usuário está avaliando a infraestrutura de rede de uma empresa. O usuário nota
muitos sistemas redundantes e dispositivos em vigor, mas nenhuma avaliação geral da
rede. Em um relatório, o usuário enfatizou os métodos e as configurações necessários
como um todo para tornar a rede tolerante a falhas. Qual é o tipo de projeto que o usuário
está enfatizando?
Select one:
spanning tree
resiliente
abrangente
disponibilidade
Feedback
Para implantar um projeto resiliente, é fundamental compreender as necessidades de uma
empresa e depois incorporar a redundância para tratar dessas necessidades.
The correct answer is: resiliente
Question 12
Correct
Flag question
Question text
Um usuário está executando uma auditoria de rotina do hardware do servidor no data
center da empresa. Vários servidores estão usando unidades únicas para hospedar
sistemas operacionais e vários tipos de soluções de conexão de armazenamento para
armazenar dados. O usuário quer oferecer uma solução melhor para fornecer tolerância a
falhas durante uma falha no disco. Qual é a melhor solução?
Select one:
UPS
backup externo
RAID
backup em fita
Feedback
A tolerância a falhas aborda um ponto único de falha, que neste caso são os discos
rígidos.
The correct answer is: RAID
Question 13
Incorrect
Flag question
Question text
Um usuário foi contratado como o novo chefe da segurança. Um dos primeiros projetos foi
fazer o inventário dos recursos da empresa e criar um banco de dados abrangente. Quais
são três elementos de informação que o usuário desejaria obter para este banco de dados
de ativos? (Escolha três.)
Select one or more:
usuários
dispositivos de rede de hardware
grupos
estações de trabalho
senhas
sistemas operacionais
Feedback
Os recursos incluem todos os dispositivos de hardware e seus sistemas operacionais.
The correct answers are: sistemas operacionais, dispositivos de rede de hardware,
estações de trabalho
Question 14
Incorrect
Flag question
Question text
Ocorreu uma violação de segurança em uma grande corporação. A equipe de incidentes
respondeu e executou seu plano de resposta a incidentes. Durante qual fase são aplicadas
as lições aprendidas?
Select one:
detecção
contenção
preparação
recuperação
análise
pós-incidente
Feedback
Um dos aspectos principais de um plano de resposta a incidentes é olhar como o
monitoramento pode ser melhorado e a gestão pode ajudar a minimizar o impacto nas
atividades. Isso geralmente ocorre após o incidente ser tratado.
The correct answer is: pós-incidente
Question 15
Incorrect

Flag question
Question text
Um usuário concluiu um projeto de seis meses para identificar a localização de dados e
catalogá-las. O próximo passo é classificar os dados e produzir alguns critérios sobre a
confidencialidade dos dados. Quais são os dois passos que o usuário pode seguir para
classificar os dados? (Escolher dois.)
Select one or more:
Tratar todos os dados da mesma forma.
Identificar a confidencialidade dos dados.
Determinar com que frequência é feito o backup dos dados.
Estabelecer o proprietário dos dados.
Determinar o usuário dos dados.
Determinar as permissões para os dados.
Feedback
A categorização de dados é um processo para determinar primeiro o proprietário dos
dados e depois sua confidencialidade.
The correct answers are: Estabelecer o proprietário dos dados., Identificar a

confidencialidade dos dados.
Question 16
Correct
Flag question
Question text
Um usuário está comprando um novo servidor para o data center da empresa. O usuário
quer que haja striping de disco com paridade em três discos. Qual o nível de RAID o
usuário deve implementar?
Select one:
1+0
Feedback
A distribuição de RAID 5 com paridade seria a melhor escolha.
The correct answer is: 5
Question 17
Incorrect
Flag question
Question text
Uma equipe foi convidada a criar um plano de resposta a incidentes para incidentes de
segurança. Em qual fase de um plano de resposta a incidentes a equipe precisa que a
administração aprove o plano?
Select one:
análise
recuperação
pós-incidente
contenção
preparação
detecção
Feedback
Ao criar um plano de incidentes para uma empresa, a equipe vai precisar conquistar a
gestão em relação ao plano durante a fase de planejamento inicial.
The correct answer is: preparação
Capítulo 7: Proteção de um domínio de segurança cibernética
A proteção do seu domínio é um processo contínuo para proteger a infraestrutura da rede da

organização. Requer que os indivíduos permaneçam constantemente vigilantes com relação a ameaças e
tomem medidas para evitar qualquer exposição ao risco. Este capítulo discute as tecnologias, processos e
procedimentos que os profissionais de segurança cibernética usam para defender sistemas, dispositivos e
dados que compõem a infraestrutura da rede.
Uma rede segura é tão forte quanto o seu elo mais fraco. É importante proteger os dispositivos finais que
residem na rede. A segurança de endpoints inclui proteção dos dispositivos de infraestrutura da rede na
LAN (Local Area Network, rede de área local) e sistemas finais, como estações de trabalho, servidores,
telefones IP e access points.
A codificação dos dispositivos é uma tarefa crítica para a proteção da rede. Envolve a implementação de
métodos comprovados para proteger, fisicamente, os dispositivos de rede. Alguns desses métodos
envolvem a proteção do acesso administrativo, a manutenção de senhas e a implementação de
comunicações seguras.
Software de sistema operacional
O sistema operacional desempenha um papel crítico na operação de um computador e é alvo de muitos

ataques. A segurança do sistema operacional tem um efeito em cascata sobre a segurança geral de um
computador.
Um administrador codifica um sistema operacional ao modificar a configuração padrão para torná-lo mais
seguro em relação a ameaças externas. Esse processo inclui a remoção de programas e serviços
desnecessários. Outro requisito crítico de codificação de sistemas operacionais é a aplicação de patches
e atualizações de segurança. Patches e atualizações de segurança são correções que as empresas
liberam, em uma tentativa de reduzir a vulnerabilidade e corrigir falhas em seus produtos.
Uma organização deve ter uma abordagem sistemática para endereçamento de atualizações do sistema:
• Estabelecendo procedimentos de monitoramento de informações relacionadas à segurança
• Avaliando as atualizações para aplicabilidade
• Planejamento da instalação de atualizações e patches de aplicativos
• Instalação de atualizações usando um plano documentado
Outro requisito fundamental de proteção dos sistemas operacionais é identificar possíveis

vulnerabilidades. Isso pode ser feito por meio do estabelecimento de uma linha de base. Estabelecer uma
linha de base permite que o administrador faça uma comparação de como um sistema está sendo
executado versus suas expectativas geradas pela de linha de base.
O MBSA (Microsoft Baseline Security Analyzer, Analisador de segurança de parâmetro Microsoft) avalia
as atualizações de segurança ausentes e problemas de configuração de segurança no Microsoft
Windows. O MBSA verifica senhas em branco, simples ou inexistentes, configurações de firewall, status
de conta de convidado, detalhes da conta de administrador, a auditoria de eventos de segurança, serviços
desnecessários, compartilhamentos de rede e configurações do registro. Depois da codificação do
sistema operacional, o administrador cria as políticas e procedimentos para manter um alto nível de
segurança.
Antimalware
Malware inclui vírus, worms, cavalos de Troia, keyloggers, spyware, e adware. Todos eles invadem a
privacidade, roubam informações, danificam o sistema ou excluem e corrompem os dados.
É importante proteger os computadores e dispositivos móveis com software antimalware de qualidade.

Estão disponíveis os seguintes tipos de programas antimalware:
• Proteção antivírus - Programa que monitora, continuamente, por vírus. Quando detecta um vírus, o
programa avisa o usuário e ele tenta colocar em quarentena ou excluir o vírus, como mostrado na
Figura 1.
• Proteção contra adware – O programa procura continuamente por programas que exibem
publicidade em um computador.
• Proteção contra phishing – O programa bloqueia endereços IP de sites de phishing conhecidos na

web e avisa o usuário sobre sites suspeitos.
• Proteção contra spyware – Programa que varre o computador em busca de keyloggers e ouros
tipos de spyware.
• Fontes confiáveis / não confiáveis – O programa avisa o usuário sobre programas ou sites não
seguros que tentam se instalar, antes de um usuário visitá-los.
Pode ser necessário usar vários programas diferentes e fazer várias varreduras para remover
completamente todos os softwares mal-intencionados. Execute apenas um programa de proteção contra
malware por vez.
Várias empresas de segurança confiáveis, como McAfee, Symantec e Kaspersky, oferecem proteção
completa contra malware para computadores e dispositivos móveis.
Desconfie de produtos antivírus falsos mal-intencionados que podem aparecer durante a navegação na
Internet. A maioria desses produtos antivírus falso exibe um anúncio ou um pop-up que parece como uma
janela de aviso real do Windows, como mostra a Figura 2. Geralmente, elas afirmam que o malware está
infectando o computador e solicita ao usuário que o limpe. Clicar em qualquer lugar na janela pode iniciar
o download e a instalação do malware.
Software não aprovado ou não compatível não é apenas um software que é instalado de forma não
intencional em um computador. Também pode vir de usuários que queriam instalá-lo. Pode não ser mal-
intencionado, mas ainda pode violar a política de segurança. Esse tipo de sistema não compatível pode
interferir no software da empresa ou nos serviços de rede. Os usuários devem remover software não
aprovado imediatamente.
Gerenciamento de patches
Os patches são atualizações de código que os fabricantes fornecem para evitar que um vírus ou um worm
recém-descoberto façam um ataque bem-sucedido. De tempos em tempos, os fabricantes combinam
patches e atualizações em uma aplicação completa de atualização chamada de service pack. Muitos
ataques devastadores de vírus poderiam ter sido muito menos graves, se mais usuários tivessem baixado
e instalado o service pack mais recente.
O Windows verifica, regularmente, o site Windows Update, por atualizações de alta prioridade e que
podem ajudar a proteger o computador contra as mais recentes ameaças de segurança. Essas
atualizações incluem atualizações de segurança, atualizações críticas e service packs. Dependendo da
configuração escolhida, o Windows baixa e instala, automaticamente, todas as atualizações de alta
prioridade que o computador precisa ou notifica o usuário conforme essas atualizações estiverem
disponíveis.
Algumas organizações podem querer testar um patch antes de implantá-lo em toda a organização. A
organização usaria um serviço para gerenciar patches localmente, em vez de usar o serviço de
atualização on-line do fornecedor. Os benefícios de usar um serviço de atualização automática de patch
incluem o seguinte:
• Os administradores podem aprovar ou recusar atualizações
• Os administradores podem forçar a atualização de sistemas para uma data específica
• Os administradores podem obter relatórios sobre a atualização necessária para cada sistema
• Cada computador não tem que se conectar ao serviço do fornecedor para baixar os patches. Um
sistema obtém a atualização de um servidor local
• Os usuários não podem desativar ou contornar as atualizações
Um serviço de patches automáticos fornece aos administradores um ambiente mais controlado.
Firewalls baseados em host e sistemas de detecção de invasão
Uma solução baseada em host é uma aplicação de software que é executada em um computador local
para protegê-lo. O software funciona com o sistema operacional para ajudar a evitar ataques.
Firewalls baseados em host
Um firewall de software é um programa que é executado em um computador para permitir ou negar

tráfego entre o computador e outros computadores conectados. O firewall por software aplica um conjunto
de regras a transmissões de dados por meio da inspeção e filtragem de pacotes de dados. O Firewall do
Windows é um exemplo de firewall de software. O sistema operacional Windows o instala por padrão
durante a instalação.
O usuário pode controlar o tipo de dados enviados de e para o computador abrindo ou bloqueando as
portas selecionadas. Os firewalls bloqueiam conexões de rede de entrada e de saída, a menos que sejam
definidas exceções para abrir e fechar as portas necessárias para um programa.
Na Figura 1, o usuário seleciona regras de entrada para configurar os tipos de tráfego permitido no
sistema. Configurar regras de entrada ajudará a proteger o sistema contra tráfego indesejado.
Sistemas de detecção de invasão do host
Um sistema de detecção de invasão do host (HIDS) é um software que é executado em um computador

que monitora atividades suspeitas. Cada sistema de servidor ou de desktop que exibe proteção precisará
ter o software instalado, conforme mostrado na Figura 2. O HIDS monitora chamadas do sistema e o
acesso ao sistema de arquivos para garantir que as solicitações não sejam o resultado de uma atividade
maliciosa. Ele também pode monitorar as configurações do registro do sistema. O registro mantém
informações de configuração sobre o computador.
O HIDS armazena todos os dados de registro localmente. Ele também pode afetar o desempenho do
sistema, pois é intensivo em recursos. Um sistema de detecção de invasão do host (HIDS) não pode
monitorar nenhum tráfego de rede que não chegue ao sistema do host, mas monitora o sistema
operacional e processos críticos do sistema específicos desse host.
Comunicações seguras
Ao se conectar à rede local e compartilhar arquivos, a comunicação entre computadores permanece

dentro dessa rede. Os dados permanecem seguros porque são mantidos fora de outras redes e fora da
Internet. Para comunicar e compartilhar recursos por uma rede que não seja segura, os usuários
empregam uma rede privada virtual (VPN).
A VPN é uma rede privada que conecta usuários ou sites remotos por uma rede pública, como a Internet.
O tipo mais comum de VPN acessa uma rede privada corporativa. A VPN usa conexões seguras
dedicadas, roteadas pela Internet, da rede corporativa privada para o usuário remoto. Quando conectados
à rede privada corporativa, os usuários se tornam parte dela e têm acesso a todos os serviços e recursos,
como se estivessem fisicamente conectados à LAN corporativa.
Os usuários de acesso remoto devem ter o cliente VPN instalado em seus computadores para formar uma
conexão segura com a rede privada corporativa. O software do cliente VPN criptografa os dados antes de
enviá-los pela Internet para o gateway VPN na rede privada corporativa. Os gateways VPN estabelecem,
gerenciam e controlam conexões VPN, também conhecidas como túneis VPN.
Os sistemas operacionais incluem um cliente VPN que o usuário configura para uma conexão VPN.
WEP
Um dos componentes mais importantes da computação moderna são os dispositivos móveis. A maioria
dos dispositivos encontrados nas redes atuais são laptops, tablets, smartphones e outros dispositivos sem
fio. Dispositivos móveis transmitem dados usando sinais de rádio que qualquer dispositivo com antena
compatível pode receber. Por esse motivo, o setor de computadores desenvolveu um conjunto de
padrões, produtos e dispositivos de segurança sem fio ou móveis. Esses padrões criptografam as
informações transmitidas via ondas aéreas pelos dispositivos móveis.
WEP (Wired Equivalent Privacy, Privacidade equivalente por cabo) é um dos primeiros padrões de
segurança Wi-Fi amplamente usado. O padrão WEP fornece autenticação e proteções por criptografia. Os
padrões WEP são obsoletos, mas muitos dispositivos ainda suportam WEP para compatibilidade com
versões anteriores. O padrão WEP se tornou um padrão de segurança Wi-Fi em 1999, quando a
comunicação sem fio estava apenas engatinhando. Apesar de revisões no padrão e de um tamanho de
chave maior, o WEP tinha inúmeras falhas de segurança. Os criminosos virtuais podem quebrar senhas
WEP em minutos, usando software gratuito disponível. Apesar das melhorias, o WEP permanece
altamente vulnerável e os usuários devem atualizar os sistemas que dependem do WEP.
WPA/WPA2
A próxima grande melhoria na segurança sem fio foi a introdução de WPA e WPA2. O WPA (Wi-Fi
Protected Access, Acesso protegido por WiFi) foi a resposta do setor de computadores para a fraqueza do
padrão WEP. A configuração mais comum de WPA é WPA-PSK (Pre-Shared Key, Chave pré-
compartilhada). As chaves usadas pelo WPA são 256 bits, um aumento significativo sobre as chaves de
64 bits e 128 bits usadas no sistema WEP.
O padrão WPA forneceu várias melhorias de segurança. Primeiro, o WPA fornecia verificações de
integridade da mensagem (Message Integrity Checks - MIC) que poderiam detectar se um invasor tinha
capturado e alterado os dados transmitidos entre o ponto de acesso sem fio e um cliente sem fio. Outra
melhoria importante de segurança foi o protocolo TKIP (Temporal Key Integrity Protocol, Protocolo de
integridade da chave temporal). O padrão TKIP proporcionou a capacidade de tratar, proteger e alterar
melhor as chaves de criptografia. O AES (Advanced Encryption Standard, Padrão de criptografia
avançada) substituiu o TKIP por um melhor gerenciamento de chaves e proteção de criptografia..
O WPA, assim como seu antecessor, o WEP, incluiu várias vulnerabilidades amplamente reconhecidas.
Como resultado, o lançamento do padrão WPA2 (Wi-Fi Protected Access II, Acesso protegido por Wi-Fi II)
aconteceu em 2006. Uma das melhorias de segurança mais significativas do WPA para o WPA2 foi o uso
obrigatório de algoritmos AES e a introdução do Modo de cifra do contador com protocolo de código de
autenticação de mensagem de encadeamento de bloco (CCM) como um substituto para TKIP.
Autenticação mútua
Uma das grandes vulnerabilidades das redes sem fio é o uso de access points não autorizados. Access
points são os dispositivos que se comunicam com os dispositivos sem fio e os conectam de volta à rede
cabeada. Qualquer dispositivo que tenha uma interface transmissora sem fio e cabeada ligada a uma rede
pode, possivelmente, agir como access point não autorizado. O access point não autorizado pode imitar
um access point autorizado. O resultado é que os dispositivos sem fio na rede sem fio estabelecem
comunicação com o access point não autorizado, em vez de com o access point autorizado.
O impostor pode receber solicitações de conexão, copiar os dados na solicitação e encaminhar os dados
para o access point autorizado da rede. Esse tipo de ataque man in the middle é muito difícil de detectar e
pode resultar em credenciais de logon roubadas e dados transmitidos. Para evitar access points não
autorizados, o setor de computadores desenvolveu a autenticação mútua. A autenticação mútua, também
chamada de autenticação bidirecional, é um processo ou tecnologia em que as duas entidades de um link
de comunicação se autenticam. Em um ambiente de rede sem fio, o cliente faz a autenticação no access
point e o access point autentica o cliente. Essa melhoria permitiu aos clientes detectar access points não
autorizados, antes de se conectarem a esse dispositivo.
Controle de acesso de arquivos
As permissões são regras que você configura para limitar o acesso de um indivíduo ou de um grupo de
usuários a uma pasta ou a um arquivo. A figura lista as permissões disponíveis para arquivos e pastas.
Princípio de Menos Privilégio
Os usuários devem ser limitados apenas aos recursos que precisam em um sistema computacional ou em
uma rede. Por exemplo, não devem poder acessar todos os arquivos de um servidor se só precisarem
acessar uma única pasta. Pode ser mais fácil fornecer acesso de usuários à unidade inteira, mas é mais
seguro limitar o acesso somente à pasta que o usuário precisa para realizar seu trabalho. Esse é o
princípio de menos privilégio. Limitar o acesso aos recursos também evita que os programas mal-
intencionados acessem esses recursos, se o computador do usuário ficar infectado.
Restringindo Permissões de Usuário
Se um administrador negar permissões a um indivíduo ou a um grupo para um compartilhamento de rede,

essa negação substituirá todas as outras configurações de permissões. Por exemplo, se o administrador
negar a alguém permissão para um compartilhamento de rede, o usuário não poderá acessar esse
compartilhamento, mesmo se o usuário for o administrador ou fizer parte do grupo administrador. A
política de segurança local deve descrever quais recursos e o tipo de acesso são permitidos para cada
usuário e grupo.
Quando um usuário altera as permissões de uma pasta, tem a opção de aplicar as mesmas permissões
para todas as subpastas. Isso se chama propagação de permissões. A propagação de permissões é uma
maneira fácil de aplicar permissões rapidamente a vários arquivos e pastas. Depois que as permissões da
pasta pai tiverem sido definidas, as pastas e os arquivos criados dentro da pasta pai herdam as
permissões da pasta pai.
Além disso, o local dos dados e a ação realizada nos dados determinam a propagação das permissões:
• Os dados movidos para o mesmo volume manterão as permissões originais
• Os dados copiados para o mesmo volume herdarão novas permissões
• Os dados movidos para um volume diferente herdarão novas permissões
• Os dados copiados para um volume diferente herdarão novas permissões
Criptografia de arquivo
A criptografia é uma ferramenta usada para proteger os dados. A criptografia transforma os dados usando
um algoritmo complicado para torná-los ilegíveis. Uma chave especial transforma as informações ilegíveis
novamente em dados legíveis. Programas são usados para criptografar arquivos, pastas e, até mesmo,
unidades inteiras.
O EFS (Encrypting File System, Sistema de Criptografia de Arquivos) é uma característica do Windows
que pode criptografar dados. A implementação do Windows EFS leva-o diretamente para uma conta de
usuário específica. Apenas o usuário que criptografou os dados poderá acessar os arquivos ou pastas
criptografados.
Um usuário também pode escolher criptografar um disco rígido inteiro no Windows, usando um recurso
chamado BitLocker. Para usar BitLocker, pelo menos dois volumes devem estar presentes em um disco
rígido.
Antes de usar o BitLocker, o usuário precisa ativar o TPM (Trusted Platform Module, Módulo de
plataforma confiável) na BIOS. O TPM é um chip especializado instalado na placa-mãe. O TPM armazena
informações específicas do sistema host, como chaves de criptografia, certificados digitais e senhas. Os
aplicativos, como o BitLocker, que usam criptografia, podem usar o chip de TPM. Clique em
Administração do TPM para visualizar os detalhes do TPM, como mostrado na Figura.
O BitLocker To Go criptografa unidades removíveis. O BitLocker To Go não usa um chip de TPM, mas
ainda fornece criptografia dos dados e exige uma senha.
Sistema e backups de dados
Uma organização pode perder dados se criminosos virtuais roubá-los, se houver falha do equipamento ou
ocorrer um desastre. Por isso, é importante realizar, regularmente, um backup dos dados.
Um backup dos dados armazena uma cópia das informações de um computador na mídia de backup
removível. O operador armazena a mídia de backup em um local seguro. Fazer backup de dados é uma
das formas mais eficazes de proteção contra perda de dados. Se houver falha no hardware do
computador, o usuário pode restaurar os dados do backup, depois que o sistema estiver funcional.
A política de segurança da organização deve incluir backups dos dados. Os usuários devem realizar
backups dos dados regularmente. Os backups de dados são, normalmente, armazenados em outro local,
para proteger a mídia de backup, se algo acontecer com a instalação principal.
Estas são algumas considerações para backup de dados:
• Frequência - Os backups podem levar muito tempo. Às vezes é mais fácil fazer um backup
completo mensal ou semanal, e depois backups parciais frequentes de todos os dados que tiverem
mudado, desde o último backup completo. No entanto, ter muitos backup parciais aumenta o tempo
necessário para restaurar os dados.
• Armazenamento - Para segurança adicional, os backups devem ser transportados para um local de
armazenamento externo aprovado em uma rotação diária, semanal ou mensal, conforme estipulado
pela política de segurança.
• Segurança-Proteja os backups com senhas. Em seguida, o operador digita a senha, antes de

restaurar os dados na mídia de backup.
• Validação - Valide sempre os backups para garantir a integridade dos dados.
Triagem e bloqueio de conteúdo
O software de controle de conteúdo restringe o conteúdo que um usuário pode acessar usando um
navegador da Web na Internet. O software de controle de conteúdo pode bloquear sites que contenham
certos tipos de material, como pornografia ou conteúdo controverso político ou religioso. Um pai pode
implementar o software de controle de conteúdo no computador usado pelo filho. Escolas e bibliotecas
também implementam o software para impedir o acesso a conteúdos considerados inadequados.
Um administrador pode implementar os seguintes tipos de filtros:
• Filtros baseados em navegador por meio de uma extensão de navegador de terceiros
• Filtros de e-mail por meio de um filtro baseado em cliente ou servidor
• Filtros de cliente instalados em um computador específico

• Filtros de conteúdo baseados no roteador que bloqueiam a entrada do tráfego na rede
• Filtros de conteúdo baseados em dispositivo semelhante ao baseado em roteador
• Filtragem de conteúdo baseado na nuvem
Os mecanismo de pesquisa, como o Google, oferecem a opção de ligar um filtro de segurança para
excluir links inapropriados nos resultados da pesquisa.
Clique aqui para ver uma comparação dos fornecedores de software de controle de conteúdo.
Clonagem de disco e Deep Freeze
Muitos aplicativos de terceiros estão disponíveis para restaurar um sistema para um estado padrão. Isso
permite que o administrador proteja o sistema operacional e os arquivos de configuração para um
sistema.
A clonagem de disco copia o conteúdo do disco rígido do computador em um arquivo de imagem. Por
exemplo, um administrador cria as partições necessárias em um sistema, formata a partição e, em
seguida, instala o sistema operacional. Ele instala todos os softwares de aplicativo necessários e
configura todo o hardware. Em seguida, o administrador usa um software de clonagem de disco para criar
o arquivo de imagem O administrador pode usar a imagem clonada da seguinte forma:
• Para limpar automaticamente um sistema e restaurar uma imagem principal limpa
• Para implantar novos computadores dentro da organização
• Para fornecer um backup completo do sistema
Clique aqui para ver uma comparação de softwares de clonagem de disco.
Deep Freeze "congela" a partição do disco rígido. Quando um usuário reinicia o sistema, o sistema é
revertido para sua configuração congelada. O sistema não salva as alterações que o usuário faz,
portanto, todos os aplicativos instalados ou arquivos salvos são perdidos quando o sistema é reiniciado.
Se o administrador precisar alterar a configuração do sistema, deverá, primeiro, "descongelar" a partição

protegida, desativando o Deep Freeze. Depois de fazer as alterações, deverá reativar o programa. O
administrador pode configurar o Deep Freeze para reiniciar depois que um usuário fizer logoff, desligar
depois de um período de inatividade ou desligar em um horário agendado.
Esses produtos não oferecem proteção em tempo real. Um sistema permanece vulnerável, até que o
usuário ou um evento agendado reinicie o sistema. Um sistema infectado com código malicioso fica como
novo, assim que o sistema é reiniciado.
Cabos e bloqueios de segurança
Existem vários métodos de proteger fisicamente o hardware:
• Use bloqueios de cabos nos equipamentos, como mostra a Figura 1.
• Mantenha as salas de telecomunicações trancadas.
• Use gaiolas de segurança ao redor do equipamento.
Muitos dispositivos portáteis e monitores de computadores caros têm um slot de segurança de suporte
especial em aço construído para usar em conjunto com fechaduras de cabo de aço.
O tipo mais comum de trava da porta é uma trava de entrada com uma chave padrão. Ele não trava
automaticamente quando a porta se fecha. Além disso, um indivíduo pode colocar um cartão de plástico
fino, como um cartão de crédito, entre a fechadura e a porta, para forçar a porta a abrir. Fechaduras em
edifícios comerciais são diferentes das fechaduras residenciais. Para segurança adicional, uma trava
deadbolt oferece segurança extra. Qualquer fechadura que requeira uma chave, porém, apresenta uma
vulnerabilidade, se as chaves forem perdidas, roubadas ou duplicadas.
Uma trava de cifra, mostrada na Figura 2, usa botões que um usuário pressiona em uma determinada
sequência, para abrir a porta. É possível programar uma trava de cifra. Isso significa que o código de um
usuário só pode funcionar durante certos dias ou em determinados momentos. Por exemplo, uma trava de
cifra só pode permitir o acesso de Bob à sala do servidor entre as 7 horas e as 18 horas de segunda à
sexta. Travas de cifra também podem manter um registro de quando a porta se abriu e do código usado
para abri-la.
Temporizadores de logoff
Um funcionário se levanta e deixa o seu computador para fazer uma pausa. Se o funcionário não tomar
nenhuma medida para proteger sua estação de trabalho, qualquer informação nesse sistema estará
vulnerável a um usuário não autorizado. Uma organização pode tomar as seguintes medidas para impedir
o acesso não autorizado:
Limite de Tempo de inatividade e Bloqueio de Tela
Os funcionários podem ou não podem fazer logoff do computador quando saem do local de trabalho.
Portanto, é uma prática recomendada de segurança configurar um temporizador de inatividade que fará,
automaticamente, o logoff do usuário e bloqueará a tela, depois de um período especificado. O usuário
deve fazer login novamente para desbloquear a tela.
Horário de Login
Em algumas situações, uma organização pode querer que os funcionários façam logon durante horas
específicas, como das 7 horas às 18 horas. O sistema bloqueia logons durante as horas que estão fora do
horário de logon permitido.
Rastreamento de GPS
O GPS (Global Positioning System, Sistema de posicionamento Global) usa satélites e computadores
para determinar a localização de um dispositivo. A tecnologia GPS é um recurso padrão em smartphones
que fornece o rastreamento da posição em tempo real. O rastreamento por GPS pode identificar um local
em até 100 metros. Essa tecnologia está disponível para rastrear as crianças, idosos, animais de
estimação e veículos. Usar o GPS para localizar um telefone celular sem a permissão do usuário, porém,
é uma invasão de privacidade e é ilegal.
Muitos aplicativos de celular usam rastreamento por GPS para rastrear a localização do telefone. Por
exemplo, o Facebook permite aos usuários fazer check-in em um local, que, em seguida, fica visível para
as pessoas em suas redes.
Inventário e etiquetas RFID
A RFID (Radio Frequency Identification, Identificação por radiofrequência) usa ondas de rádio para
identificar e rastrear objetos. Os sistemas de inventário de RFID usam tags fixadas em todos os itens que
uma empresa quer rastrear. Os identificadores contêm um circuito integrado que se conecta a uma
antena. As etiquetas RFID são pequenas e exigem muito pouca energia e, portanto, não precisam de uma
bateria para armazenar informações a serem trocadas com um leitor. A RFID pode ajudar a automatizar o
rastreio de ativos ou o bloqueio/desbloqueio sem fio ou, ainda, a configurar dispositivos eletrônicos.
Os sistemas RFID operam em frequências diferentes. Sistemas de baixa frequência têm um intervalo de
leitura mais curto e taxas de leitura de dados mais lentas, mas não são tão sensíveis à interferência de
ondas de rádio causadas por líquidos e metais presentes. Frequências mais altas têm uma taxa de
transferência de dados mais rápida e intervalos de leitura mais longos, mas são mais sensíveis à
interferência de ondas de rádio.
Gerenciamento de acesso remoto
Acesso remoto refere-se a qualquer combinação de hardware e software que permite aos usuários
acessar remotamente uma rede local interna.
Com o sistema operacional Windows, os técnicos podem usar o desktop remoto e a assistência remota
para reparar e atualizar computadores. O desktop remoto, como mostrado na figura , permite que os
técnicos visualizem e controlem um computador de um local remoto. A Assistência Remota permite que
os técnicos ajudem os clientes com problemas de um local remoto. A assistência remota também permite
que o cliente visualize o reparo ou atualização em tempo real na tela.
O processo de instalação do Windows não ativa o desktop remoto por padrão. Ativar esse recurso abre a
porta 3389 e pode resultar em uma vulnerabilidade, se um usuário não precisar desse serviço.
Telnet, SSH e SCP
O Secure Shell (SSH) é um protocolo que fornece uma conexão de gerenciamento seguro (criptografado)
a um dispositivo remoto. O SSH deve substituir o Telnet nas conexões de gerenciamento. O Telnet é um
protocolo mais antigo que usa transmissão de texto não criptografado, não protegido, tanto para
autenticação de logon (nome de usuário e senha) quanto para dados transmitidos entre os dispositivos de
comunicação. O SSH fornece segurança para conexões remotas, proporcionando criptografia forte
quando um dispositivo é autenticado (nome de usuário e senha) e também para a transmissão dos dados
entre os dispositivos de comunicação. O SSH usa a porta TCP 22. Já o Telnet usa a porta 23.
Na Figura 1, os criminosos virtuais monitoram pacotes usando o Wireshark. Na Figura 2, os criminosos

virtuais capturam o nome de usuário e a senha do administrador a partir da sessão Telnet de texto
simples.
A figura 3 mostra a visão do Wireshark de uma sessão de SSH. Os criminosos virtuais rastreiam a sessão
usando o endereço IP do dispositivo do administrador, mas na Figura 4, a sessão criptografa o nome de
usuário e a senha.
A SCP (Secure Copy, cópia segura), transfere, com segurança, arquivos de computador entre dois
sistemas remotos. O SCP usa o SSH para a transferência de dados (incluindo o elemento de
autenticação), para que o SCP garanta a autenticidade e a confidencialidade dos dados em trânsito.
Proteção de portas e serviços
Os criminosos virtuais exploram os serviços em execução em um sistema, porque eles sabem que a
maioria dos dispositivos executam mais serviços ou programas do que precisam. Um administrador deve
olhar para cada serviço para verificar a sua necessidade e avaliar o risco. Remova todos os serviços
desnecessários.
Um método simples aplicado por muitos administradores para proteger a rede contra acesso não
autorizado consiste em desativar todas as portas não utilizadas em um switch. Por exemplo, se um switch
tem 24 portas e há três conexões Fast Ethernet em uso, é boa prática desativar as 21 portas não
utilizadas.
O processo de ativação e desativação de portas pode consumir muito tempo, mas aumenta a segurança
na rede e compensa o esforço.
Contas privilegiadas
Os criminosos virtuais exploram as contas com privilégios, pois são as contas mais poderosas da
organização. Contas com privilégios têm as credenciais para acessar sistemas e fornecem acesso
elevado e irrestrito. Os administradores usam essas contas para implantar e gerenciar sistemas
operacionais, aplicativos e dispositivos de rede. A figura resume os tipos de contas com privilégios.
A organização deve adotar as seguintes melhores práticas para proteger as contas com privilégios:
• Identificar e reduzir o número de contas com privilégios
• Aplicar o princípio de menor privilégio
• Estabelecer um processo de extinção dos direitos, quando os funcionários saem ou mudam de

emprego
• Eliminar contas compartilhadas com senhas que não expiram
• Armazenar a senha de forma segura
• Eliminar as credenciais compartilhadas por vários administradores
• Alterar automaticamente as senhas de contas com privilégio a cada 30 ou 60 dias

• Registro de sessões com privilégios
• Implementar um processo para alterar senhas incorporadas para scripts e contas de serviço
• Registrar todas as atividades do usuário
• Gerar alertas para comportamento incomum
• Desativar contas inativas com privilégios
• Use a autenticação de vários fatores para todos os acessos administrativos
• Implementar um gateway entre o usuário final e os recursos ativos sensíveis para limitar a
exposição da rede ao malware
Bloquear contas com privilégios é fundamental para a segurança da organização. Proteger essas contas
deve ser um processo contínuo. Uma organização deve avaliar esse processo para realizar os ajustes
necessários para melhorar a segurança.
Políticas de grupo
Na maioria das redes que usam computadores Windows, um administrador configura o Active Directory
com domínios em um Windows Server. Computadores Windows são membros de um domínio. O
administrador configura uma política de segurança de domínio que se aplica a todos os computadores
que participam do domínio. As diretivas de contas são configuradas automaticamente, quando um usuário
faz login no Windows.
Quando um computador não faz parte de um domínio do Active Directory, o usuário configura políticas por
meio da Política de Segurança Local do Windows Em todas as versões do Windows exceto na Home
Edition, digite secpol. msc no comando Executar para abrir a ferramenta de Política de Segurança Local.
Um administrador configura políticas de conta de usuário, como políticas de senha e políticas de bloqueio,
expandindo o menu Políticas de conta > Política de senha. Com as configurações mostradas na Figura 1,
os usuários devem alterar suas senhas a cada 90 dias e usar essa nova senha por pelo menos um (1)
dia. As senhas devem conter oito (8) caracteres e três das quatro categorias a seguir: letras maiúsculas,
letras minúsculas, números e símbolos. Por último, o usuário pode reutilizar uma senha somente depois
de 24 senhas exclusivas.
Uma política de bloqueio de conta bloqueia um computador por uma período configurado quando ocorrem
muitas tentativas de logon incorretas. Por exemplo, a política mostrada na Figura 2 permite que o usuário
digite o nome de usuário e/ou senha errados cinco vezes. Depois de cinco tentativas, a conta é bloqueada
por 30 minutos. Depois de 30 minutos, o número de tentativas é redefinido para zero e o usuário pode
tentar entrar novamente.
Mais configurações de segurança estão disponíveis ao expandir a pasta Políticas locais. Uma política de
auditoria cria um arquivo de log de segurança usado para rastrear os eventos listados na Figura 3.
Ativar logs e alertas
Um log registra todos os eventos que ocorrem. Entradas de log compõem um arquivo de log e uma
entrada de log contém todas as informações relacionadas a um evento específico. Registros relacionados
à segurança de computador têm tido cada vez mais importância.
Por exemplo, um log de auditoria rastreia as tentativas de autenticação do usuário e um log de acesso
fornece todos os detalhes sobre as solicitações para arquivos específicos de um sistema. O
monitoramento dos logs do sistema pode determinar como um ataque ocorreu e se as defesas
implantadas foram bem-sucedidas.
Com o aumento do número de arquivos de log gerados para fins de segurança do computador, a empresa
deve considerar um processo de gerenciamento de logs. O gerenciamento de logs determina o processo
para gerar, transmitir, armazenar, analisar e eliminar dados do log de segurança do computador.
Logs do sistema operacional
Os logs do sistema operacional registram eventos que ocorrem por causa de ações operacionais
executadas pelo sistema operacional. Eventos do sistema incluem o seguinte:
• Solicitações do cliente e respostas do servidor, como autenticações de usuário bem-sucedidas
• Informações de uso que contêm o número e o tamanho das transações em um determinado período
de tempo
Logs de aplicativos de segurança
As empresas usam software de segurança pela rede ou pelo sistema para detectar atividade mal-
intencionada. Esse software gera um log de segurança para fornecer dados de segurança do computador.
Os logs são úteis para a realização de análise de auditoria e para a identificação de tendências e de
problemas no longo prazo. Os logs também permitem que uma empresa forneça documentação que
mostre que está em conformidade com as leis e os requisitos regulatórios.
Alimentação
Uma questão crítica na proteção de sistemas de informação são os sistemas de energia elétrica e as
considerações sobre energia. Um fornecimento contínuo de energia elétrica é fundamental nas enormes
instalações de armazenamento de dados e de servidores atuais. Aqui estão algumas regras gerais na
construção de sistemas eficazes de alimentação elétrica:
• Data centers devem estar em uma fonte de alimentação diferente do resto do edifício
• Fontes de alimentação redundantes: dois ou mais feeds (fontes de alimentação) provenientes de

duas ou mais subestações elétricas
• Condições de alimentação
• Backup de sistemas de energia são, muitas vezes, necessários
• Uma UPS deve estar disponível para sistemas de desligamento normais
Uma organização deve proteger-se de vários problemas, ao projetar seus sistemas de fornecimento de
energia elétrica.
Excesso de energia
• Pico: alta tensão momentânea
• Sobrecarga: alta tensão prolongada
Perda de energia
• Falha: perda momentânea de energia
• Blackout - Perda completa de energia
Degradação de energia
• Sag/dip: baixa tensão momentânea
• Queda de energia: baixa tensão prolongada
• Corrente de Inrush (Pico de Corrente): sobrecarga inicial de energia
Aquecimento, ventilação e ar-condicionado (HVAC)
Sistemas HVAC são críticos para a segurança de pessoas e sistemas de informação nas instalações da
empresa. Ao projetar instalações modernas de TI, esses sistemas desempenham um papel muito
importante na segurança geral. Sistemas HVAC controlam o meio ambiente (temperatura, umidade, fluxo
de ar e filtragem do ar) e devem ser planejados e operados juntamente com outros componentes do data
center, como hardware de computação, cabeamento, armazenamento de dados, proteção contra
incêndio, sistemas de segurança física e energia. Quase todos os dispositivos de hardware de
computador físicos vêm com requisitos ambientais que incluem temperatura aceitável e faixas de
umidade. Os requisitos ambientais estão em um documento de especificações do produto ou em um guia
de planejamento físico. É fundamental manter esses requisitos ambientais para evitar falhas de sistema e
prolongar a vida dos sistemas de TI. Sistemas HVAC comerciais e outros sistemas de gerenciamento de
edifício agora se conectam à Internet para monitoramento e controle remotos. Eventos recentes
mostraram que esses sistemas (geralmente chamados “sistemas inteligentes”) também criam grandes
implicações de segurança.
Um dos riscos associados a sistemas inteligentes é que os indivíduos que acessam e gerenciam o
sistema trabalham para um empreiteiro ou um fornecedor terceirizado. Como os técnicos de HVAC
precisam conseguir encontrar informações rapidamente, dados vitais tendem ser armazenados em
diferentes lugares, tornando-os acessíveis para um número ainda maior de pessoas. Essa situação
permite que uma ampla gama de indivíduos, inclusive associados de empreiteiros, obtenham acesso às
credenciais de um sistema HVAC. A interrupção desses sistemas pode representar um risco considerável
para a segurança da informação da empresa.
Monitoramento de hardware
O monitoramento de hardware geralmente é encontrado em grandes parques de servidores (Server farm).

Um parque de servidores (server farm) é uma instalação que abriga centenas ou milhares de servidores
para empresas. A Google tem vários parques de servidores em todo o mundo para fornecer ótimos
serviços. Mesmo as menores empresas estão construindo parques de servidores locais para abrigar o
número crescente de servidores necessários para a realização de seus negócios. Sistemas de
monitoramento de hardware são usados para monitorar a saúde desses sistemas e para minimizar o
tempo de inatividade do servidor e do aplicativo. Sistemas de monitoramento de hardware modernos
usam portas USB e portas de rede para transmitir a condição de temperatura da CPU, status da fonte de
alimentação, velocidade e temperatura do ventilador, status da memória, espaço em disco e status da
placa de rede. Sistemas de monitoramento de hardware permitem que um técnico monitore centenas ou
milhares de sistemas em um único terminal. Como o número de parques de servidores continua a crescer,
os sistemas de monitoramento de hardware se tornaram uma contramedida de segurança essencial.
Centros de operação
O NOC (Network Operation Center, Centro de operação de rede) é um ou mais locais que contêm as
ferramentas que fornecem aos administradores um status detalhado da rede da empresa. O NOC é a
base da solução de problemas de rede, monitoramento de desempenho, distribuição e atualizações de
software e gerenciamento de dispositivo.
O SOC (Security Operation Center, Centro de operação de segurança) é um site dedicado que monitora,
avalia e defende os sistemas de informação da empresa, como sites, aplicações, bancos de dados, data
centers, redes, servidores e sistemas de usuários. Um SOC é uma equipe de analistas de segurança que
detecta, analisa, responde, relata e previne incidentes de segurança cibernética.
Essas duas entidades usam uma estrutura de camadas hierárquicas para processar eventos. A primeira
camada trata todos os eventos e escalona qualquer evento que não puder processar para a segunda
camada. A equipe da camada 2 analisa o evento em detalhes para tentar resolvê-lo. Se não conseguirem,
eles escalonam o evento para a Camada 3, os especialistas no assunto.
Para medir a eficácia geral de um centro de operação, uma empresa irá realizar exercícios e treinos
realistas. Um exercício de simulação tabletop é um procedimento estruturado por uma equipe para
simular um evento e avalia a eficácia do centro de operação. Uma medida mais eficaz é simular uma
invasão completa, sem nenhum aviso. Isso envolve o uso de uma equipe vermelha (Red Team), um grupo
de indivíduos independentes que desafia os processos dentro de uma empresa, para avaliar a eficácia da
empresa. Por exemplo, a equipe vermelha deve atacar um sistema de missão crítica e incluir o
reconhecimento e ataque, escalonamento de privilégios e acesso remoto.
Dispositivos móveis e sem fio
Dispositivos móveis e sem fio se tornaram o tipo predominante de dispositivos na maioria das redes
modernas. Eles fornecem mobilidade e conveniência, mas também representam uma série de
vulnerabilidades. Essas vulnerabilidades incluem roubo, invasão e acesso remoto não autorizado, sniffing,
ataques man in the middle e ataques contra o desempenho e a disponibilidade. A melhor forma de
proteger uma rede sem fio é usar autenticação e criptografia. O padrão sem fio original, 801.11, introduziu
dois tipos de autenticação, como mostrado na figura:
• Autenticação de sistema aberto – Qualquer dispositivo sem fio pode se conectar à rede sem fio. Use
esse método em situações em que a segurança não seja uma preocupação.
• Autenticação de chave compartilhada – Fornece mecanismos para autenticar e criptografar dados

entre um cliente sem fio e um AP ou um roteador sem fio.
Estas são as três técnicas de autenticação de chave compartilhada para WLANs:
• WEP (Wired Equivalent Privacy - Privacidade Equivalente à de Redes com Fios) – Era a
especificação 802.11 original que protegia as WLANs. Entretanto, como a chave de criptografia
nunca muda durante a troca de pacotes, é fácil de invadir.
• WPA (Wi-Fi Protected Access - Acesso Protegido a Wi-FI) – Este padrão usa WEP, mas protege os
dados com um algoritmo de criptografia muito mais forte: o TKIP (Temporal Key Integrity Protocol -
Protocolo de Integridade de Chave Temporal). O TKIP muda a chave para cada pacote, dificultando
o trabalho dos hackers.
• IEEE 802.11i/WPA2 – O IEEE 802.11i é o padrão do setor em vigor para proteger WLANs. O
802.11i e o WPA2 usam o AES (Advanced Encryption Standard, Padrão de criptografia avançada)
para criptografia, que atualmente é o protocolo de criptografia mais forte.
Desde 2006, qualquer dispositivo que utiliza o logo Wi-Fi Certified é um WPA2 certificado. Portanto, as
WLANs modernas devem usar sempre o padrão 802.11i/WPA2. Outras contramedidas incluem melhoria
na segurança física e atualizações e aplicações de patches do sistema regularmente nos dispositivos.
Serviços de rede e de roteamento
Os criminosos usam serviços de rede vulneráveis para atacar um dispositivo ou usá-lo como parte do
ataque. Para verificar os serviços de rede não protegidos, verifique se um dispositivo tem portas abertas
usando um scanner de porta. Um scanner de porta é um aplicativo que verifica se um dispositivo tem
portas abertas, enviando uma mensagem para cada porta e esperando uma resposta. A resposta indica
como a porta é usada. Os criminosos virtuais também irão usar scanners de porta pelo mesmo motivo.
Proteger os serviços de rede garante que somente as portas necessárias estejam expostas e disponíveis.
Protocolo de Controle Dinâmico de Host (DHCP)
O DHCP usa um servidor para atribuir um endereço IP e outras informações de configuração

automaticamente aos dispositivos de rede. Na realidade, o dispositivo está obtendo uma permissão do
servidor DHCP para usar a rede. Os invasores podem direcionar os servidores DHCP para negar o
acesso a dispositivos na rede. A Figura 1 fornece uma lista de verificação de segurança para DHCP.
Sistema de Nomes de Domínio (DNS)
O DNS resolve um endereço de URL (Uniform Resource Locator, Localizador de recursos uniformes) ou
de site (http://www.cisco.com) para o endereço IP do site. Quando os usuários digitam um endereço da
Web na barra de endereços eles dependem de servidores DNS para resolver o endereço IP real desse
destino. Os invasores podem direcionar os servidores DNS para negar o acesso aos recursos da rede ou
redirecionar o tráfego para sites falsos. Clique na Figura 2 para visualizar uma lista de verificação de
segurança para o DNS. Use serviço e autenticação seguros entre servidores DNS para protegê-los contra
esses ataques.
protocolo ICMP
Dispositivos de rede usam ICMP para enviar mensagens de erro como quando um serviço solicitado não
está disponível ou se o host não pode acessar o roteador. O comando ping é um utilitário de rede que usa
o ICMP para testar a acessibilidade de um host em uma rede. O ping envia mensagens ICMP para o host
e aguarda uma resposta. Os criminosos virtuais podem alterar o uso de ICMP para as finalidades erradas
listadas na Figura 3. Ataques de negação de serviço usam ICMP e, por isso, tantas redes filtram
determinadas solicitações ICMP para impedir esses ataques.
Protocolo de Informação de Roteamento (RIP)
O RIP limita o número de saltos permitidos em um caminho em uma rede do dispositivo de origem para o
destino. O número máximo de saltos permitidos para o RIP é 15. O RIP é um protocolo de roteamento
usado para trocar informações de roteamento sobre quais redes cada roteador pode acessar e a que
distância estão essas redes. O RIP calcula a melhor rota, com base na contagem de saltos. A Figura 4
lista as vulnerabilidades do RIP e as defesas contra ataques ao RIP. Os hackers podem direcionar
roteadores e o protocolo RIP. Ataques em serviços de roteamento podem afetar o desempenho e a
disponibilidade. Alguns ataques podem resultar, até mesmo, em redirecionamento de tráfego. Use os
serviços seguros com autenticação e implemente patches e atualizações de sistema para proteger
serviços de roteamento como o RIP.
Network Time Protocol (NTP)
É importante ter o horário correto nas redes. Carimbos de data e hora corretos são necessários para
rastrear com precisão os eventos da rede, como as violações de segurança. Além disso, a sincronização
do relógio é fundamental para a interpretação correta dos eventos nos arquivos de dados syslog, bem
como para os certificados digitais.
O NTP (Network Time Protocol, Protocolo de tempo de rede) é um protocolo que sincroniza os relógios de
sistemas de computadores em redes de dados. O NTP permite que os dispositivos de rede sincronizem
as configurações de hora com um servidor NTP. A Figura 5 lista os vários métodos usados para fornecer
horário seguro para a rede. Os criminosos virtuais atacam servidores de tempo para interromper a
comunicação segura que depende de certificados digitais e esconder informações do ataque, como
carimbos de data e hora.
• e de hardware entre um telefone tradicional, analógico e uma linha digital VoIP)
• Um telefone ativado para VoIP
• Software VoIP instalado em um computador
A maioria dos serviços de VoIP do consumidor usam a Internet para chamadas de telefone. Muitas
organizações, no entanto, usam suas redes privadas porque elas fornecem mais segurança e melhor
qualidade de serviço. A segurança de VoIP só é confiável se houver uma segurança de rede subjacente.
Os criminosos virtuais direcionam esses sistemas para obter acesso a serviços de telefone gratuitos,
espionar telefonemas, ou para afetar o desempenho e a disponibilidade.
Implemente as seguintes contramedidas para proteger o VoIP:
• Criptografe os pacotes de mensagens de voz para proteger contra espionagem.
• Use o SSH para proteger gateways e switches.

• Altere todas as senhas padrão.
• Use um sistema de detecção de invasão para detectar ataques, como envenenamento ARP.
• Use autenticação forte para mitigar o spoofing de registro (os criminosos virtuais roteiam todas as
chamadas recebidas da vítima para eles), representação de proxy (engana a vítima para se
comunicar com um proxy falso configurado pelos criminosos virtuais) e sequestro de chamadas (a
chamada é interceptada e reencaminhada para um caminho diferente, antes de chegar ao destino).
• Implemente firewalls que reconhecem VoIP para monitorar os streams e filtrar sinais anormais.
Quando a rede cair, as comunicações de voz também cairão.
Câmeras
Uma câmera de Internet envia e recebe dados por uma LAN e/ou Internet. Um usuário pode visualizar
remotamente um vídeo em tempo real usando um navegador da Web em uma ampla variedade de
dispositivos, incluindo sistemas de computador, laptops, tablets e smartphones.
As câmeras têm várias formas, incluindo a câmera de segurança tradicional. Outras opções incluem
câmeras de Internet discretamente escondidas em rádios-relógio, livros ou leitores de DVD.
Câmeras de Internet transmitem vídeo digital em uma conexão de dados. A câmera se conecta
diretamente à rede e tem tudo o que é necessário para transferir as imagens pela rede. A figura lista as
melhores práticas para sistemas de câmera.
Rede e sensores de IoT

Um dos setores mais rápidos da tecnologia da informação é o uso de sensores e dispositivos inteligentes.
O setor de informática identifica esse setor como a Internet das Coisas (IoT). Empresas e consumidores
usam dispositivos de IoT para automação de processos, monitoramento de condições ambientais e
sistema de alerta ao usuário sobre condições adversas. A maioria dos dispositivos IoT se conectam a
uma rede via tecnologia sem fio e incluem câmeras, fechaduras, sensores de proximidade, luzes e outros
tipos de sensores usados para coletar informações sobre o ambiente ou o status de um dispositivo. Vários
fabricantes de dispositivos usam IoT para informar os usuários que precisam substituir peças, que
componentes estão falhando ou que suprimentos estão acabando.
As empresas usam esses dispositivos para controlar inventário, veículos e pessoal. Os dispositivos IoT
contêm sensores geoespaciais. Um usuário pode localizar, monitorar e controlar globalmente as variáveis
ambientais, como temperatura, umidade e iluminação. O setor de IoT constitui um enorme desafio para
profissionais de segurança da informação, pois muitos dispositivos IoT capturam e transmitem
informações confidenciais. Os criminosos virtuais têm como alvo esses sistemas para interceptar dados
ou para afetar o desempenho e a disponibilidade.
Proteções e barricadas
Barreiras físicas são a primeira coisa que vem à mente quando se pensa em segurança física. A camada
mais externa de segurança e essas soluções são as mais visíveis publicamente. Um sistema de
segurança de perímetro normalmente consiste nos seguintes componentes:
• Sistema de cerca de perímetro
• Sistema de portão de segurança
• Bollards (um poste curto usado para proteger contra invasões de veículo, conforme mostrado na
Figura 2)
• Barreiras de entrada de veículo
• Abrigos de proteção
Uma cerca é uma barreira que protege áreas seguras e designa os limites da propriedade. Todas as
barreiras devem atender a requisitos específicos do projeto e a especificações da fábrica. Áreas de alta
segurança geralmente requerem uma “proteção superior”, como arame farpado ou fio de arame farpado.
Ao projetar o perímetro, os sistemas de cerca usam as seguintes regras:
• Um metro (3 a 4 pés) só irá deter invasores casuais

• Dois metros (6 a 7 pés) é muito alto para invasores casuais subirem
• Dois metros e meio (8 pés) oferecerá atraso limitado para um invasor determinado
As proteções superiores fornecem um impedimento adicional e podem atrasar o invasor cortando-o

gravemente. No entanto, os invasores podem usar um cobertor ou um colchão para aliviar essa ameaça.
Regulamentos locais podem restringir o tipo de sistema de cerca que uma empresa pode usar.
Cercas exigem uma manutenção regular. Animais podem fazer tocas sob a cerca ou a terra pode ser
levada pela água, deixando a cerca instável, proporcionando fácil acesso para um invasor. Inspecione os
sistemas de cerca regularmente. Não estacione nenhum veículo perto de cercas. Um veículo estacionado
perto da cerca pode ajudar o invasor a pular ou danificar a cerca. Clique aqui para obter recomendações
adicionais de cerca.
Biometria
A biometria descreve os métodos automatizados de reconhecimento de um indivíduo com base em uma

característica fisiológica ou comportamental. Sistemas de autenticação de biometria incluem medições da
face, impressão digital, geometria da mão, íris, retina, assinatura e voz. Tecnologias de biometria podem
ser a base da identificação altamente segura e de soluções de verificação pessoal. A popularidade e o
uso de sistemas de biometria aumentou devido ao aumento do número de falhas de segurança e de
fraudes nas transações. A biometria oferece transações financeiras confidenciais e privacidade de dados
pessoais. Por exemplo, a Apple usa a tecnologia de impressão digital em seus smartphones. A impressão
digital do usuário desbloqueia o dispositivo e acessa vários aplicativos, como aplicativos de bancos ou de
pagamentos on-line.
Ao comparar sistemas de biometria, há vários fatores importantes a considerar, incluindo a precisão, a

velocidade ou a taxa de transferência, a aceitabilidade pelos usuários, a singularidade do órgão
biométrico e ação, resistência à falsificação, confiabilidade, requisitos de armazenamento de dados,
tempo de inscrição e invasão da varredura. O fator mais importante é a precisão. A precisão é expressa
em taxas e tipos de erro.
A primeira taxa de erro é erros de tipo I ou rejeições falsas. Um erro de tipo I rejeita uma pessoa que se
registra e é um usuário autorizado. Em controle de acesso, se o requisito é manter os bandidos afastados,
rejeição falsa é o erro menos importante. No entanto, em muitas aplicações biométricas, rejeições falsas
podem ter um impacto muito negativo no negócio. Por exemplo, um banco ou uma loja de varejo precisa
autenticar o saldo da conta e a identidade do cliente. Rejeição falsa significa que a transação ou a venda
está perdida e o cliente fica chateado. A maioria dos banqueiros e varejistas estão dispostos a permitir
algumas aceitações falsas, desde que haja um mínimo de rejeições falsas.
A taxa de aceitação é indicada como uma percentagem e é a taxa na qual um sistema aceita indivíduos
que cancelaram a inscrição ou impostores como usuários autênticos. Aceitação falsa é um erro de tipo II.
Erros de tipo II permitem a entrada de invasores e, portanto, são considerados o erro mais importante em
um sistema de controle de acesso de biometria.
O método mais utilizado para medir a precisão da autenticação de biometria é a CER (Crossover Error
Rate, Taxa de erro de Crossover). A CER é a taxa em que a taxa de rejeições falsas e a taxa de
aceitações falsas são iguais, como mostrado na figura.
Guardas e escoltas
Todos os controles de acesso físicos, incluindo sistemas de impedimento e de detecção dependem, em

última análise, de pessoal para intervir e parar o ataque ou a invasão real. Nas instalações com sistema
de informação altamente seguro, guardas controlam o acesso a áreas confidenciais da empresa. O
benefício do uso de guardas é que eles podem se adaptar mais do que sistemas automatizados. Guardas
podem aprender e distinguir muitas condições e situações diferentes e tomar decisões imediatamente.
Guardas de segurança são a melhor solução para controle de acesso quando a situação exige uma
resposta instantânea e apropriada. No entanto, guardas não são sempre a melhor solução. Há inúmeras
desvantagens ao uso de guardas de segurança, incluindo o custo e a capacidade de monitorar e registrar
alto volume de tráfego. O uso de guardas também introduz o erro humano à essa mistura.
Vigilância eletrônica e por vídeo
A vigilância eletrônica e por vídeo complementam ou, em alguns casos, substituem, os guardas de
segurança. A vantagem da vigilância por vídeo e eletrônica é a capacidade de monitorar áreas mesmo
que nenhum guarda ou pessoal esteja presente, a capacidade de gravar e registrar vídeos e dados de
vigilância por longos períodos e a capacidade de incorporar a detecção e notificação de movimento.
A vigilância eletrônica e por vídeo também pode ser mais precisa na captura de eventos, mesmo depois
que eles tiverem ocorrido. Outra grande vantagem é que a vigilância eletrônica e por vídeo fornece pontos
de vista não facilmente visualizados com guardas. Também pode ser muito mais econômico usar câmeras
para monitorar todo o perímetro de uma instalação. Em um ambiente altamente seguro, uma empresa
deve colocar vigilância eletrônica e por vídeo em todas as entradas, saídas, locais de carregamento,
escadas e áreas de coleta de refugo. Na maioria dos casos, a vigilância eletrônica e por vídeo
complementa os guardas de segurança.
Vigilância sem fio e RFID
O gerenciamento e a localização de ativos de sistemas de informação importantes são um desafio

importante para a maioria das empresas. O crescimento do número de dispositivos móveis e de
dispositivos IoT tem tornado esse trabalho ainda mais difícil. O tempo gasto à procura de equipamento
crítico pode levar a atrasos ou tempo de inatividade caros. O uso de tags do recurso RFID (Radio
Frequency Identification, Identificação por radiofrequência) pode ser de grande valor para o pessoal da
segurança. Uma organização pode colocar os leitores de RFID nos batentes das portas de áreas seguras
para que não fiquem visíveis.
O benefício de tags do recurso RFID é que elas podem rastrear qualquer ativo que fisicamente deixa uma
área segura. Os novos sistemas de tags do recurso RFID podem ler várias tags ao mesmo tempo.
Sistemas RFID não precisam estar na linha de visão para ler as tags. Outra vantagem do RFID é a
capacidade de ler as tags que não estão visíveis. Ao contrário de códigos de barras e tags legíveis
humanas que devem ser fisicamente localizados e visíveis para ler, etiquetas RFID não precisam estar
visíveis para serem lidas. Por exemplo, colocar a tag em um PC embaixo de uma mesa exigiria que o
pessoal rastejasse debaixo da mesa para localizar e visualizar fisicamente ao usar um processo manual
ou de código de barras. Usar uma etiqueta RFID permitiria que o pessoal lesse a etiqueta sem nem
mesmo precisar vê-la.
Um usuário propõe a compra de uma solução de gerenciamento de patches para uma

empresa. O usuário quer fornecer motivos pelos quais a empresa deveria gastar dinheiro
nessa solução. Quais benefícios o gerenciamento de patches oferece? (Escolha três.)
Select one or more:
Os patches podem ser escolhidos pelo usuário.
Os computadores exigem uma conexão à Internet para receber patches.

As atualizações não podem ser contornadas pelo usuário.
Os administradores podem aprovar ou negar patches.
As atualizações podem ser forçadas imediatamente nos sistemas.
Os patches podem ser gravados rapidamente.
Feedback
Um sistema de gerenciamento de patches centralizado pode acelerar a implantação de
patches e automatizar o processo. Outras boas razões para usar um serviço de
atualização automática de patch incluem o seguinte:
• Os administradores controlam o processo de atualização.

• São gerados relatórios.
• As atualizações são fornecidas de um servidor local.
• Os usuários não podem contornar o processo de atualização.
The correct answers are: Os administradores podem aprovar ou negar patches., As

atualizações podem ser forçadas imediatamente nos sistemas., As atualizações não
podem ser contornadas pelo usuário.
Question 2
Incorrect
Flag question
Question text
Após uma auditoria de segurança de uma empresa, foi descoberto que várias contas
tinham acesso privilegiado a sistemas e dispositivos. Quais são as três melhores práticas
para proteger as contas privilegiadas que devem ser incluídas no relatório de auditoria?
(Escolha três.)
Select one or more:
Aplicação do princípio do privilégio mínimo.
Apenas o CIO deve ter acesso privilegiado.
Reduzir o número de contas privilegiadas.
Proteger o armazenamento de senha.

Somente os gerentes devem ter acesso privilegiado.
Ninguém deve ter acesso privilegiado.
Feedback
As melhores práticas implicam dar ao usuário apenas o que é necessário para fazer o
trabalho. Todos os privilégios adicionais devem ser acompanhados e auditados.
The correct answers are: Reduzir o número de contas privilegiadas., Proteger o

armazenamento de senha., Aplicação do princípio do privilégio mínimo.
Question 3
Incorrect
Flag question
Question text
O gerente de um departamento suspeita que alguém está tentando invadir os
computadores à noite. É solicitado que você descubra se isso está mesmo acontecendo.
Qual tipo de registro você ativaria?
Select one:
Windows
syslog
sistema operacional
auditoria
Feedback
Registros de auditoria podem rastrear as tentativas de autenticação de usuário em
estações de trabalho e podem revelar se alguma tentativa de invasão foi feita.
The correct answer is: auditoria
Question 4
Correct

Flag question
Question text
Por que WPA2 é melhor que WPA?
Select one:
suporte ao TKIP
uso obrigatório de algoritmos AES
espaço da chave reduzido
tempo de processamento reduzido
Feedback
Uma boa maneira de lembrar os padrões de segurança sem fio é considerar como eles
evoluíram de WEP para WPA e depois para WPA2. Cada evolução aumentou as medidas
de segurança.
The correct answer is: uso obrigatório de algoritmos AES
Question 5
Correct
Flag question
Question text
A empresa tem muitos usuários remotos. Uma solução precisa ser encontrada para que
um canal de comunicação seguro seja estabelecido entre a empresa e o local remoto dos
usuários. Qual das opções é uma boa solução para essa situação?
Select one:
T1
fibra
modem
VPN
PPP
Feedback
Quando uma VPN é usada, um usuário pode estar em qualquer local remoto, como em
casa ou em um hotel. A solução VPN é flexível no sentido de que linhas públicas podem
ser usadas para se conectar com segurança a uma empresa.
The correct answer is: VPN
Question 6
Incorrect
Flag question
Question text
Um usuário faz uma solicitação para implementar um serviço de gerenciamento de
patches para uma empresa. Como parte da requisição, o usuário precisa fornecer uma
justificativa para a solicitação. Quais são as três razões pelas quais o usuário pode
justificar o pedido? (Escolha três.)
Select one or more:
a capacidade de controlar quando ocorrem as atualizações
a capacidade de obter relatórios sobre sistemas
a capacidade dos usuários selecionarem atualizações
não oferta de oportunidade aos usuários de contornarem as atualizações
a probabilidade de economia em armazenamento
a necessidade de sistemas serem conectados diretamente à Internet
Feedback
Um serviço de gerenciamento de patches pode fornecer um controle maior sobre o
processo de atualização por um administrador. Ele elimina a necessidade da intervenção
do usuário.
The correct answers are: a capacidade de obter relatórios sobre sistemas, a capacidade
de controlar quando ocorrem as atualizações, não oferta de oportunidade aos usuários de
contornarem as atualizações
Question 7
Correct
Flag question
Question text
Qual serviço resolve um endereço da Web específico em um endereço IP do servidor da
Web de destino?
Select one:
DNS
ICMP
DHCP
NTP
Feedback
O DNS resolve um endereço de site para o endereço IP real desse destino.
The correct answer is: DNS
Question 8
Correct
Flag question
Question text
Um usuário liga para o suporte técnico e reclama que um aplicativo foi instalado no
computador e o aplicativo não consegue se conectar à Internet. Não há alertas de antivírus
e o usuário consegue navegar na Internet. Qual é a causa mais provável do problema?
Select one:
permissões
aplicação corrompida
firewall do computador
necessidade de uma reinicialização do sistema
Feedback
Ao solucionar um problema do usuário, busque alguns problemas comuns que impediriam
que um usuário executasse uma função.
The correct answer is: firewall do computador
Question 9
Correct
Flag question
Question text
O gerente do suporte de desktop quer minimizar o período de inatividade para estações de
trabalho que falham ou têm outros problemas relacionados ao software. Quais são as três
vantagens do uso da clonagem de disco? (Escolha três.)
Select one or more:
cria maior diversidade
garante a compatibilidade do sistema
garante uma máquina com imagem limpa
pode fornecer um backup completo do sistema
facilidade de implantar novos computadores na empresa
corte no número de funcionários necessários

Feedback
A clonagem de disco pode ser uma maneira eficaz de manter um parâmetro para
servidores e estações de trabalho. Não é um método de corte de gastos.
The correct answers are: facilidade de implantar novos computadores na empresa, pode
fornecer um backup completo do sistema, garante uma máquina com imagem limpa
Question 10
Correct
Flag question
Question text
Um usuário liga para o suporte técnico reclamando que a senha para acessar a rede sem
fio foi alterada sem aviso prévio. O usuário tem permissão para alterar a senha, mas, uma
hora depois, a mesma coisa ocorre. O que pode estar acontecendo nessa situação?
Select one:
notebook do usuário
senha fraca
erro do usuário
política de senhas
access point invasor
Feedback
Ataques man in the middle são uma ameaça que resulta em dados e credenciais perdidas.
Esse tipo de ataque pode ocorrer por motivos diferentes, inclusive sniffing de tráfego.
The correct answer is: access point invasor
Question 11
Correct

Flag question
Question text
Quais são os três tipos de problemas de energia com os quais um técnico deve se
preocupar? (Escolha três.)
Select one or more:
blecaute
Pico
blecaute parcial
spark
flicker
fuzzing
Feedback
Problemas de energia podem incluir aumento, diminuição ou alteração repentinos na
energia e incluem o seguinte:
• Pico
• Surto de tensão
• Falha
• Blecaute
• Sag/dip
• Queda de energia
• Corrente de fluxo contrário
The correct answers are: Pico, blecaute parcial, blecaute

Question 12
Incorrect
Flag question
Question text
Pede-se para um usuário analisar o estado atual de um sistema operacional do
computador. A que o usuário deve comparar o estado atual do sistema a im de identificar
possíveis vulnerabilidades?
Select one:
um teste de intrusão
uma baseline
uma lista de permissão
uma varredura de vulnerabilidade
uma lista negra
Feedback
Uma baseline permite que um usuário execute uma comparação sobre o desempenho de
um sistema. O usuário pode, em seguida, comparar o resultado com a baseline
esperada. Esse processo permite que o usuário identifique possíveis vulnerabilidades.
The correct answer is: uma baseline
Question 13
Correct
Flag question
Question text
Qual é a diferença entre um HIDS e um firewall?
Select one:
Um firewall permite e nega o tráfego com base em regras e um HIDS monitora o tráfego
de rede.
Um HIDS bloqueia intrusões, enquanto um firewall as filtra.
Um firewall executa a filtragem de pacotes e, portanto, tem eficácia limitada, enquanto um

HIDS bloqueia intrusões.
Um HIDS monitora sistemas operacionais em computadores host e processa a atividade
do sistema de arquivos. Os firewalls permitem ou negam o tráfego entre o computador e
outros sistemas.
Um HIDS funciona como um IPS, enquanto um firewall só monitora o tráfego.
Feedback
Para monitorar a atividade local, um HIDS deve ser implementado. Monitores de atividade
de rede estão preocupados com a atividade de tráfego e não com o sistema operacional.
The correct answer is: Um HIDS monitora sistemas operacionais em computadores host e
processa a atividade do sistema de arquivos. Os firewalls permitem ou negam o tráfego
entre o computador e outros sistemas.
Question 14
Correct
Flag question
Question text
As empresas podem ter centros de operação diferentes que lidam com problemas
diferentes das operações de TI. Se um problema estiver relacionado à infraestrutura de
rede, qual centro de operação seria o responsável?
Select one:
NOC
RH
HVAC
SOC
Feedback
Centros de operação oferecem suporte a diferentes áreas de operação, inclusive de rede e
segurança. Cada um se concentra em partes específicas da estrutura de TI. O centro que
oferece suporte à segurança seria o SOC.
The correct answer is: NOC

Question 15
Incorrect
Flag question
Question text
Um estagiário começou a trabalhar no grupo de suporte. Um de seus deveres é definir a
política local para senhas nas estações de trabalho. Qual ferramenta seria melhor usar?
Select one:
grpol.msc
administração de sistemas
secpol.msc
política de senhas
controle de contas
Feedback
Políticas locais não são políticas de grupo e só funcionam na máquina local. As políticas
locais podem, no entanto, ser sobrescritas se a máquina fizer parte de um domínio do
Windows.
The correct answer is: secpol.msc
Question 16
Incorrect
Flag question
Question text
Uma empresa deseja implementar o acesso biométrico em seu data center. A empresa
está preocupada com as pessoas conseguirem contornar o sistema ao serem aceitas de
forma incorreta como usuários legítimos. Que tipo de erro é a falsa aceitação?
Select one:
CER
Tipo II
Tipo I
rejeição falsa
Feedback
Existem dois tipos de erros que a biometria pode ter: falsa aceitação e falsa rejeição.
Aceitação falsa é um erro Tipo II. Os dois tipos podem se cruzar em um ponto chamado
Crossover Error Rate.
The correct answer is: Tipo II
Question 17
Correct
Flag question
Question text
O CIO quer proteger os dados nos notebooks da empresa com a implementação de
criptografia de arquivo. O técnico determina que o melhor método é criptografar todos os
discos rígidos usando o Windows BitLocker. Quais são as duas coisas necessárias para
implementar essa solução? (Escolher dois.)
Select one or more:
TPM
gerenciamento de senha
pen drive USB
pelo menos dois volumes
backup
EFS
Feedback
O Windows fornece um método para criptografar arquivos, pastas ou unidades de disco
rígido inteiras, dependendo da necessidade. No entanto, certas configurações e
configurações da BIOS são necessárias para implementar a criptografia em um disco
rígido inteiro.
The correct answers are: pelo menos dois volumes, TPM
Question 18
Incorrect
Flag question
Question text
Um PC novo é retirado da caixa, inicializado e conectado à Internet. Os patches foram
baixados e instalados. O antivírus foi atualizado Para fortalecer mais o sistema
operacional, o que pode ser feito?
Select one:
Remover a conta administrativa.
Dar um endereço não roteável ao computador.
Instalar um firewall de hardware.
Remover serviços e programas desnecessários.
Desativar o firewall.
Desconectar o computador da rede.
Feedback
Ao blindar um sistema operacional, patches e antivírus fazem parte do processo. Muitos
componentes extras são adicionados pelo fabricante que não são necessariamente
obrigatórios.
The correct answer is: Remover serviços e programas desnecessários.
Question 19
Incorrect

Flag question
Question text
Por qual motivo WEP não deve ser usado em redes sem fio hoje em dia?
Select one:
sua falta de compatibilidade
sua falta de criptografia
seu uso de senhas de texto sem criptografia
seu envelhecimento
pode ser facilmente decifrado
Feedback
Apesar das melhorias, o WEP ainda é vulnerável a vários problemas de segurança,
inclusive à capacidade de ser decifrada.
The correct answer is: pode ser facilmente decifrado
Question 20
Correct
Flag question
Question text
Quais dos três itens são malware? (Escolha três.)
Select one or more:
e-mail
anexos
Apt
keylogger
cavalo de troia
vírus
Feedback
O e-mail pode ser usado para entregar malware, mas ele sozinho não é o malware. O Apt
é usado para instalar ou remover o software em um sistema operacional Linux. Anexos
podem conter malware, mas nem sempre.
The correct answers are: cavalo de troia, vírus, keylogger
Question 21
Correct
Flag question
Question text
Um administrador de um data center pequeno quer um método flexível e seguro de
conectar-se remotamente aos servidores. Qual protocolo seria melhor usar?
Select one:
Secure Shell
Telnet
Cópia segura
Área de Trabalho Remota
Feedback
Como hackers fazer sniffing de tráfego e conseguem ler senhas de texto sem criptografia,
todas as conexões precisam ser criptografadas. Além disso, uma solução não deve
depender do sistema operacional.
The correct answer is: Secure Shell

Capítulo 8: como se tornar um especialista em segurança
O avanço da tecnologia levou ao uso de vários dispositivos na sociedade diariamente, interconectando o

mundo. Essa maior conectividade, porém, resulta em aumento do risco de roubo, fraude e abuso em toda
a infraestrutura de tecnologia. Este capítulo categoriza a infraestrutura de tecnologia da informação em
sete domínios. Cada domínio requer os controles de segurança adequados para atender aos requisitos da
tríade CIA.
O capítulo discute as leis que afetam os requisitos de tecnologia e segurança cibernética. Muitas dessas
leis têm como foco diferentes tipos de dados encontrados em várias indústrias e contêm conceitos de
segurança da informação e de privacidade. Várias agências do governo dos EUA regulam a conformidade
de uma empresa com esses tipos de leis. O especialista em segurança cibernética precisa compreender
como a lei e os interesses da empresa ajudam a orientar as decisões éticas. A ética cibernética examina o
efeito do uso de computadores e da tecnologia nos indivíduos e na sociedade.
As empresas contratam especialistas em segurança cibernética em vários cargos diferentes, como

consultores, analistas de segurança e outros profissionais de segurança de rede. Os especialistas em
segurança cibernética ajudam a proteger os dados pessoais e a capacidade de usar serviços de rede. O
capítulo discute o caminho para se tornar um especialista em segurança cibernética. Por fim, este capítulo
também discute várias ferramentas disponíveis aos especialistas em segurança cibernética.
Ameaças e vulnerabilidades do usuário comum
O domínio do usuário inclui usuários que acessam o sistema de informações da empresa. Os usuários
podem ser funcionários, clientes, prestadores de serviços e outros indivíduos que precisam acessar os
dados. Os usuários são frequentemente o elo mais fraco nos sistemas de segurança de informações e
representam uma ameaça significativa à confidencialidade, integridade e disponibilidade dos dados da
empresa.
As práticas arriscadas ou ruins do usuário normalmente prejudicam, até mesmo, o melhor sistema de
segurança. Abaixo, alguns exemplos de ameaças comuns encontradas em muitas empresas:
• Nenhuma conscientização sobre segurança – os usuários devem ter consciência dos dados
confidenciais, políticas e procedimentos de segurança, das tecnologias e das contramedidas
oferecidas para proteger as informações e os sistemas de informação.
• Políticas de segurança mal aplicadas – todos os usuários devem conhecer as políticas de

segurança e as consequências da não conformidade com as políticas da empresa.
• Roubo de dados – o roubo de dados por usuários pode custar às empresas financeiramente,
resultando em danos à reputação de uma empresa, ou levar a uma responsabilidade jurídica
associada à divulgação de informações confidenciais.
• Downloads não autorizados – muitas infecções e ataques de redes e de estações de trabalho

estão relacionados a usuários que fazem downloads não autorizados de e-mails, fotos, músicas,
jogos, aplicativos, programas e vídeos para estações de trabalho, redes ou dispositivos de
armazenamento.
• Mídia não autorizada – o uso de mídia não autorizada, como CDs, unidades de USB e dispositivos
de armazenamento de rede, pode resultar em infecções e ataques por malware.
• VPNs não autorizadas – VPNs podem esconder o roubo de informações. A criptografia

normalmente usada para proteger a confidencialidade cega o pessoal de TI para a transmissão de
dados sem a autorização adequada.
• Sites não autorizados – acessar sites não autorizados pode representar um risco para os dados,
dispositivos e para a empresa do usuário. Muitos sites alertam os visitantes quanto a fazer
download de scripts ou plugins que contêm código malicioso ou adware. Alguns desses sites podem
infectar dispositivos como câmeras e aplicativos.
• Destruição de sistemas, aplicativos ou dados – a destruição acidental ou deliberada ou
sabotagem de sistemas, aplicativos e dados representa um grande risco para todas as empresas.
Ativistas, funcionários descontentes e concorrentes do setor podem excluir dados, destruir
dispositivos ou tornar dados e sistemas de informação indisponíveis.
Nenhuma solução técnica, controle ou contramedida torna os sistemas de informação mais seguros do
que os comportamentos e processos das pessoas que usam esses sistemas.
Controle de ameaças do usuário
As empresas podem implementar várias medidas para gerenciar ameaças de usuários:
• Realizar treinamento exibindo cartazes de conscientização da segurança, inserindo lembretes em

saudações de banners e enviando lembretes de e-mail aos funcionários.
• Treinar os usuários anualmente em atualizações de políticas, manuais de funcionários e de outros

manuais necessários.
• Vincular a conscientização sobre a segurança aos objetivos da análise de desempenho.
• Ativar a filtragem de conteúdo e a varredura antivírus para anexos de e-mail.
• Usar filtros de conteúdo para permitir ou negar nomes de domínio específicos, em conformidade
com AUP (Acceptable Use Policies, Políticas de uso aceitáveis).
• Desativar unidades de CD internas e portas USB
• Ativar varreduras antivírus automáticas para unidades de mídia inseridas, arquivos e anexos de e-
mail.
• Restringir o acesso de usuários apenas aos sistemas, aplicativos e dados necessários para realizar
o trabalho.
• Minimizar as permissões de gravação/exclusão apenas para o proprietário dos dados.
• Rastrear e monitorar comportamento anormal do funcionário, desempenho inconstante no trabalho

e uso da infraestrutura de TI fora do horário comercial.
• Implementar procedimentos de bloqueio de controle de acesso com base no monitoramento e na

conformidade com AUP.
• Ativar o monitoramento do sistema de detecção de invasão/prevenção contra invasão (IDS/IPS)

para cargos e acesso de funcionários sensíveis.
A tabela mostrada na figura corresponde as ameaças ao domínio do usuário às contramedidas usadas

para controlá-las.
Ameaças comuns aos dispositivos
Um dispositivo é qualquer computador, notebook, tablet ou smartphone que se conecta à rede.
A seguir temos exemplos de ameaças aos dispositivos:
• Estações de trabalho sem supervisão – estações de trabalho deixadas ligadas e sem supervisão
representam um risco de acesso não autorizado aos recursos da rede
• Downloads do usuário – arquivos, fotos, músicas ou vídeos baixados podem ser um veículo de
código malicioso
• Software sem instalação de patches – vulnerabilidades de segurança do software fornecem

fraquezas que os cyber criminosos podem explorar
• Malware – novos vírus, worms e outros códigos maliciosos aparecem diariamente

• Mídia não autorizada – os usuários que inserem unidades de USB, CDs ou DVDs podem introduzir
malware ou correr o risco de comprometer os dados armazenados na estação de trabalho
• Violação da política de uso aceitável – as políticas existem para proteger a infraestrutura de TI da

empresa
Controle de ameaças do dispositivo
As empresas podem implementar várias medidas para gerenciar ameaças a dispositivos:
• Estabelecer políticas para proteção por senha e limites de bloqueio em todos os dispositivos.
• Ativar o bloqueio de tela durante períodos de inatividade.
• Desativar os direitos de administrador dos usuários.
• Definir políticas, padrões, procedimentos e diretrizes de controle de acesso.
• Atualizar e aplicar patches em todos os sistemas operacionais e softwares.
• Implementar soluções de antivírus automatizadas que varram o sistema e atualizar o software

antivírus para proporcionar a proteção adequada.
• Desativar todas as portas USB, de DVD e de CD.
• Ativar varreduras antivírus automáticas para todas as unidades de CD, DVD ou USB inseridas.
• Usar filtros de conteúdo.
• Autorizar treinamento anual ou implementar campanhas e programas de conscientização da

segurança que são executados durante todo o ano.
A tabela mostrada na figura corresponde as ameaças de domínio de dispositivo às contramedidas usadas

para controlá-las.
Ameaças comuns à LAN
A rede de área local (LAN) é um conjunto de dispositivos interconectados usando cabos ou ondas
eletromagnéticas. O domínio da LAN requer fortes controles de acesso e segurança, pois os usuários
podem acessar os sistemas, aplicativos e dados da empresa no domínio da LAN.
A seguir temos exemplos de ameaças à LAN:
• Acesso LAN não autorizado – armários de fiação, data centers e salas de computadores devem
permanecer seguros
• Acesso não autorizado a sistemas, aplicações e dados
• Vulnerabilidades de software do sistema operacional de rede
• Atualizações do sistema operacional de rede
• Acesso não autorizado por usuários falsos em redes sem fio
• Explorações de dados em trânsito
• Servidores de LAN com hardware ou sistemas operacionais diferentes – O gerenciamento e a

solução de problemas de servidores fica mais difícil com configurações variadas
• Detecção de rede não autorizada e varredura de porta
• Firewall configurado incorretamente
Gerenciamento de ameaças à LAN
As empresas podem implementar várias medidas para controlar ameaças à rede local:
• Proteger armários de fiação, data centers e salas de computadores. Negar acesso a qualquer
pessoa sem as credenciais apropriadas.
• Definir políticas, padrões, procedimentos e diretrizes rígidos de controle de acesso.
• Restringir os privilégios de acesso a pastas e arquivos de acordo com a necessidade.
• Exigir senhas ou autenticação para redes sem fio.
• Implementar a criptografia entre dispositivos e redes sem fio para manter a confidencialidade.
• Implementar padrões de configuração do servidor de LAN.
• Realizar testes de penetração de pós-configuração.
• Desativar o ping e a varredura de porta.
A tabela mostrada na figura corresponde as ameaças ao domínio da LAN às contramedidas usadas para
controlá-las.
Ameaças comuns à nuvem privada
O domínio de nuvem privada inclui os servidores privados, os recursos e a infraestrutura disponíveis para
os membros de uma empresa via Internet.
A seguir temos exemplos de ameaças à nuvem privada:
• Detecção de rede não autorizada e varredura de porta
• Acesso não autorizado a recursos
• Vulnerabilidade de software de sistema operacional de dispositivo de rede, de firewall ou de

roteador
• Erro de configuração do roteador, firewall ou dispositivo de rede
• Usuários remotos que acessam a infraestrutura da empresa e fazem download de dados

confidenciais
Controle de ameaças à nuvem privada
As empresas podem implementar várias medidas para controlar ameaças à nuvem privada:
• Desativar ping, detecção e varredura de porta.
• Implementar sistemas de detecção e de prevenção contra invasão.
• Monitorar anomalias de tráfego IP de entrada.
• Atualizar dispositivos com correções e patches de segurança.

• Conduzir testes de penetração pós-configuração.
• Testar tráfego de entrada e de saída.
• Implementar um padrão de classificação de dados.
• Implementar o monitoramento e a varredura da transferência de arquivos para tipo de arquivo

desconhecido.
A tabela mostrada na figura corresponde as ameaças ao domínio da nuvem privada às contramedidas

usadas para controlá-las.
Ameaças comuns à nuvem pública
O domínio da nuvem pública inclui serviços hospedados por um provedor de nuvem, provedor de serviço
ou provedor de Internet. Provedores de nuvem implementam controles de segurança para proteger o
ambiente de nuvem, mas as empresas são responsáveis por proteger seus recursos na nuvem. Há três
modelos de serviço diferentes dentre os quais uma empresa pode escolher:
• SaaS (Software as a Service, Software como serviço) – um modelo de assinatura que

proporciona acesso ao software que é centralmente hospedado e acessado por usuários por um
navegador da Web.
• PaaS (Platform as a service, Plataforma como serviço) – proporciona uma plataforma que
permite a uma empresa desenvolver, executar e gerenciar seus aplicativos em hardware de serviço
usando ferramentas que o serviço fornece.
• IaaS (Infrastructure as a service Infraestrutura como serviço) – fornece recursos de

computação virtualizados, como hardware, software, servidores, armazenamento e outros
componentes de infraestrutura pela Internet.
A seguir temos exemplos de ameaças à nuvem pública:
• Violação de dados
• Perda ou roubo de propriedade intelectual
• Credenciais comprometidas
• Os repositórios de identidade federada são um alvo de alto valor
• Sequestro de conta
• Falta de compreensão da parte da empresa
• Ataques de engenharia social que enganam a vítima
• Violação de conformidade
Controle de ameaças à nuvem pública
As empresas podem implementar várias medidas para controlar ameaças a instalações físicas:
• Autenticação multifatorial
• Uso de criptografia
• Implementar senhas únicas, autenticações baseadas em telefone e cartões inteligentes
• Distribuir dados e aplicativos em várias zonas
• Procedimentos de backup de dados
• Diligência prévia
• Programas de conscientização da segurança
• Políticas
A tabela mostrada na figura corresponde as ameaças ao domínio da nuvem pública às contramedidas

Ameaças comuns a instalações físicas
O domínio de instalações físicas inclui todos os serviços usados por uma empresa, incluindo HVAC, água
e detecção de incêndio. Esse domínio inclui também medidas de segurança física, usadas para proteger
as instalações.
A seguir temos exemplos de ameaças às instalações de uma empresa:
• Ameaças naturais, incluindo problemas climáticos e riscos geológicos
• Acesso não autorizado às instalações
• Interrupções de energia
• Engenharia social para aprender sobre procedimentos e políticas de segurança do escritório
• Violação de defesas do perímetro eletrônico
• Roubo
• Um lobby aberto que permite que um visitante entre direto nas instalações
• Um data center destrancado
• Ausência de vigilância
Controle de ameaças a instalações físicas
As empresas podem implementar várias medidas para controlar ameaças a instalações físicas:
• Implementar controle de acesso e cobertura de circuito fechado de TV (CCTV) em todas as
entradas.
• Estabelecer políticas e procedimentos para os convidados que visitam as instalações.
• Testar a segurança do edifício usando meios virtuais e físicos para obter acesso de forma secreta.
• Implementar a criptografia de crachá para acesso de entrada.
• Desenvolver um plano de recuperação de desastres.
• Desenvolver um plano de continuidade de negócios.
• Realizar treinamento regularmente.
• Implementar um sistema de identificação de ativo.
A tabela mostrada na figura corresponde as ameaças ao domínio da instalações físicas às contramedidas

Ameaças comuns aos aplicativos
O domínio de aplicação inclui todos os sistemas, aplicativos e dados essenciais. Além disso, inclui o
hardware e qualquer design lógico necessário. As empresas estão transferindo aplicativos como e-mail,
monitoramento de segurança e gerenciamento de banco de dados para a nuvem pública.
A seguir temos exemplos de ameaças a aplicativos:
• Acesso não autorizado a data centers, salas de computador e armário de fiação

• Período de inatividade do servidor para manutenção
• Vulnerabilidade de software do sistema operacional de rede
• Acesso não autorizado a sistemas
• Perda de dados
• Período de inatividade de sistemas de TI por um tempo prolongado
• Vulnerabilidades de desenvolvimento de aplicativos cliente/servidor ou Web
Controle de ameaças a aplicativos
As empresas podem implementar várias medidas para controlar ameaças ao domínio do aplicativo:
• Implementar políticas, padrões e procedimentos para os funcionários e para os visitantes, para

garantir que as instalações sejam seguras.
• Realizar testes antes do lançamento do software.
• Implementar padrões de classificação de dados.
• Desenvolver uma política para lidar com atualizações de software de aplicativo e do sistema
operacional.
• Implementar procedimentos de backup.
• Desenvolver um plano de continuidade de negócios para aplicativos essenciais para manter a

disponibilidade das operações.
• Desenvolver um plano de recuperação de desastres para aplicativos e dados essenciais.
• Implementar o registro.
A tabela mostrada na figura corresponde as ameaças ao domínio de aplicação às contramedidas usadas

para controlá-las.
Ética de um especialista em segurança cibernética
A ética é um sussuro que orienta um especialista em segurança cibernética sobre o que ele deve ou não
fazer, independentemente de ser lícito. A empresa confia ao especialista em segurança os dados e
recursos mais confidenciais. O especialista em segurança cibernética precisa compreender como a lei e
os interesses da empresa ajudam a orientar as decisões éticas.
Os criminosos virtuais que invadem um sistema, roubam números de cartão de crédito e liberam um worm
estão realizando ações antiéticas. Como uma empresa visualiza as ações de um especialista em
segurança cibernética se eles são semelhantes? Por exemplo, um especialista em segurança cibernética
pode ter a oportunidade de parar a propagação de um worm preventivamente, instalando um patch. Na
realidade, o especialista em segurança cibernética está liberando um worm. Esse worm não é mal-
intencionado, no entanto, então, nesse pode passar?
Os seguintes sistemas éticos examinam a ética de várias perspectivas.
Ética utilitarista
Durante o século XIX, Jeremy Benthan e John Stuart Mill criaram a ética utilitarista. O princípio orientador
é que todas as ações que proporcionam a maior quantidade de bem sobre o mal são escolhas éticas.
A abordagem dos direitos
O princípio orientador para a abordagem de direitos é que os indivíduos têm o direito de fazer suas
próprias escolhas. Essa perspectiva analisa como uma ação afeta os direitos dos outros para julgar se
uma ação é certa ou errada. Esses direitos incluem o direito à verdade, privacidade, segurança, e que a
sociedade aplica leis de forma justa a todos os seus membros.
A abordagem do bem comum
A abordagem do bem comum propõe que o bem comum é tudo o que beneficia a comunidade. Nesse
caso, um especialista em segurança cibernética analisa como uma ação afeta o bem comum da
sociedade ou da comunidade.
Nenhuma resposta rápida proporciona soluções óbvias para as questões éticas que os especialistas em
segurança cibernética enfrentam. A resposta sobre o que é certo ou errado pode mudar, dependendo da
situação e da perspectiva ética.
Computer Ethics Institute
O Computer Ethics Institute é um recurso para identificar, avaliar e responder aos problemas éticos em
todo o setor de tecnologia da informação. O CEI foi uma das primeiras empresas a reconhecer os
problemas de políticas éticas e públicas provenientes do crescimento rápido da área de tecnologia da
informação. A figura lista os dez mandamentos de ética em informática criados pelo Computer Ethics
Institute.
Crime digital
As leis proíbem comportamentos indesejados. Infelizmente, os avanços nas tecnologias de sistemas de

informação são muito maiores do que o sistema jurídico e legislação. Várias leis e regulamentações
afetam o espaço cibernético. Várias leis específicas orientam as políticas e procedimentos desenvolvidos
por uma organização para garantir que estejam em conformidade.
Crime digital
Um computador pode estar envolvido em um crime digital de várias formas diferentes. Há crime assistido
por computador, crime direcionado ao computador e crime incidental de computador. Pornografia infantil é
um exemplo de crime incidental de computador — o computador é um dispositivo de armazenamento e
não é a ferramenta real usada para cometer o crime.
O crescimento do crime digital é devido a uma série de motivos diferentes. Existem muitas ferramentas
amplamente disponíveis na Internet agora e os possíveis usuários não precisam de uma grande
quantidade de conhecimentos necessários para usar essas ferramentas.
Empresas criadas para combater o crime digital
Há várias agências e empresas que ajudam no combate ao crime digital. Clique em cada um dos links na
figura para visitar os sites dessas empresas para ajudar a manter-se a par dos problemas importantes.
Leis civis, criminais e regulatórias
Nos Estados Unidos, há três fontes primárias de leis e regulamentações: leis estatutárias, lei
administrativa e lei comum. Todas as três fontes envolvem segurança do computador. O Congresso norte-
americano estabeleceu agências administrativas federais e uma estrutura regulatória que inclui
penalidades civis e criminais para o não cumprimento das regras.
As leis penais aplicam um código moral comumente aceito, apoiado pela autoridade do governo.
Regulamentos estabelecem regras concebidas para abordar consequências em uma sociedade que muda
rapidamente, aplicando penalidades pela violação dessas regras. Por exemplo, a Computer Fraud and
Abuse Act é uma lei estatutória. Administrativamente, a FCC e a Federal Trade Commission têm se
preocupado com problemas como fraude e roubo de propriedade intelectual. Finalmente, casos jurídicos
comuns passam pelo sistema judiciário com o fornecimento de precedentes e bases constitucionais para
as leis.
A Federal Information Security Management Act (FISMA)

O congresso criou a FISMA em 2002 para alterar a abordagem do governo dos EUA com relação à
segurança da informação. Como o maior criador e usuário da informação, sistemas de TI federais são
alvos de alto valor para os crimenosos cibernéticos. A FISMA aplica-se a sistemas de TI de agências
federais e estipula que as agências criem um programa de segurança da informação que inclua o
seguinte:
• Avaliações de risco
• Inventário anual dos sistemas de TI
• Políticas e procedimentos para reduzir o risco
• Programas de treinamento
• Teste e avaliação de todos os controles dos sistemas de TI
• Procedimento de resposta a incidente
• Continuidade do plano de operações
Leis específicas do setor
Muitas leis específicas do setor têm um componente de segurança e/ou de privacidade. O governo dos
EUA exige conformidade de empresas dentro desses setores. Especialistas em segurança cibernética
devem conseguir traduzir os requisitos legais em práticas e políticas de segurança.
Gramm-Leach-Bliley Act (GLBA)
A Lei Gramm-Leach-Bliley é uma legislação que afeta, principalmente, o setor financeiro. Uma parte
dessa legislação, no entanto, inclui provisões de privacidade para os indivíduos. Esta provisão
proporciona os indivíduos poder controlar o uso de informações fornecidas em uma transação empresarial
com uma empresa que faz parte de uma instituição financeira. A GLBA restringe o compartilhamento de
informações com empresas terceirizadas.
Sarbanes-Oxley Act (SOX)
Depois de vários escândalos de contabilidade nos EUA, o congresso aprovou a Lei Sarbanes-Oxley
(SOX). A finalidade da SOX foi para reformular os padrões de contabilidade financeira e empresarial e foi
direcionada especificamente aos padrões das empresas de capital aberto nos Estados Unidos.
Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS)
A indústria privada também reconhece como é importante ter padrões uniformes e aplicáveis. Um
Conselho de padrões de segurança composto pelas principais empresas do setor de cartões de crédito
projetou uma iniciativa do setor privado para melhorar a confidencialidade das comunicações de rede.
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto de regras
contratuais que regem como proteger dados de cartão de crédito, à medida que comerciantes e bancos
fazem a transação. O PCI DSS é um padrão voluntário (em teoria) e comerciantes/fornecedores podem
escolher se desejam cumprir o padrão. No entanto, a não conformidade do fornecedor pode resultar em
taxas de transações significativamente maiores, multas de até US $500.000 e, possivelmente, até mesmo
na perda da capacidade de processar cartões de crédito.
Importação/exportação de restrições de criptografia
Desde a Segunda Guerra Mundial, os Estados Unidos regulou a exportação de criptografia, devido a
considerações de segurança nacional. A Agência de indústria e segurança do Departamento de Comércio
agora controla as exportações de criptografias não militares. Existem ainda as restrições de exportação e
organizações terroristas.
Os países podem decidir restringir a importação de tecnologias de criptografia, pelos seguintes motivos:
• A tecnologia pode conter uma vulnerabilidade da segurança ou de backdoor.
• Os cidadãos podem se comunicar anonimamente, e evitar qualquer monitoramento.
• A criptografia pode aumentar os níveis de privacidade acima de um nível aceitável.
Leis de notificação de violação de segurança
As empresas estão coletando quantidades crescentes de informações pessoais sobre seus clientes, de
senhas de contas e endereços de e-mail a informações médicas e financeiras altamente confidenciais.
Empresas grandes e pequenas reconhecem o valor de big data e da análise de dados. Isso incentiva as
empresas a coletar e armazenar informações. Os criminosos virtuais estão sempre à procura de maneiras
de obter essas informações ou buscando acessar e explorar os dados mais sensíveis e confidenciais de
uma empresa. As empresas que coletam dados confidenciais precisam sabem protegê-los Em resposta a
esse crescimento na coleta de dados, várias leis exigem que as empresas que coletam informações
pessoais notifiquem os indivíduos, se ocorrer uma violação de seus dados pessoais. Para ver uma lista
dessas leis, clique em aqui.
Lei da Privacidade de Comunicações Eletrônicas (Electronic Communications Privacy Act, ECPA)
A Lei da privacidade de comunicações eletrônicas (Electronic Communications Privacy Act, ECPA) aborda
uma variedade de problemas jurídicos de relacionados à privacidade que resultaram do uso cada vez
maior de computadores e de outras tecnologias específicas de telecomunicações. As seções dessa lei
abordam comunicações por e-mail, por celular, privacidade no local de trabalho e uma série de outros
problemas relacionados à comunicação por via eletrônica.
Computer Fraud and Abuse Act (1986)
A Computer Fraud and Abuse Act (CFAA) tem estado em vigor há mais de 20 anos. A CFAA proporciona
o fundamento para leis dos EUA que criminalizam o acesso não autorizado a sistemas de computador. A
CFAA torna um crime acessar, conscientemente um computador considerado um computador do governo
ou um computador usado no comércio interestadual, sem permissão. A CFAA também criminaliza o uso
de um computador em um crime que é de natureza interestadual.
A lei criminaliza o tráfico de senhas ou informações de acesso semelhantes, além de tornar um crime
transmitir, conscientemente, um programa, código ou um comando que resulta em danos.
Proteção da privacidade
As seguintes leis dos EUA protegem a privacidade.
Ato de privacidade de 1974
Essa lei estabelece um código de práticas justas de informação que rege a coleta, a manutenção, o uso e
a divulgação de informações pessoalmente identificáveis sobre os indivíduos que são mantidas em
sistemas de registros por agências federais.
Lei de liberdade de informação (FOIA)
A FOIA permite o acesso público aos registros do governo dos EUA. A FOIA carrega uma suposição de
divulgação, para que o fardo do motivo para a não divulgação da informação seja do governo.
Existem nove isenções de divulgação pertencentes à FOIA.
• Informações de política externa e de segurança nacional
• Pessoal interno, regras e práticas de uma agência

• Informações especificamente isentadas pelo estatuto
• Informações comerciais confidenciais
• Comunicação entre ou intra-agência sujeita a processo deliberativo, de litígio e outros privilégios
• Informações que, se divulgadas, constituiriam uma invasão claramente injustificada da privacidade

pessoal
• Registros de segurança pública que implicam um de um conjunto de preocupações enumeradas
• Informações da agência de instituições financeiras
• Informações geológicas e geofísicas sobre poços
Registros de educação de família e Ato de privacidade (FERPA)
Essa lei federal deu a estudantes acesso a seus registros de educação. A FERPA opera com a escolha
em participar, já que o estudante deve aprovar a divulgação de informações, antes da divulgação real.
Quando um aluno completa 18 anos, ou entra em uma instituição pós-secundária em qualquer idade,
esses direitos na FERPA são transferidos dos pais do aluno para o aluno.
U.S. Computer Fraud and Abuse Act (1986)
Essa lei federal aplica-se à coleta on-line de informações pessoais, por pessoas ou entidades sob a
jurisdição dos EUA, de crianças com menos de 13 anos de idade. Antes das informações das crianças
(com menos de 13 anos de idade) serem coletadas e usadas, obtenha a permissão dos pais.
Lei de proteção à privacidade on-line de crianças (U.S. Children’s Online Privacy Protection Act,
COPPA)
Essa lei federal aplica-se à coleta on-line de informações pessoais, por pessoas ou entidades sob a
jurisdição dos EUA, de crianças com menos de 13 anos de idade. Antes das informações das crianças
(com menos de 13 anos de idade) serem coletadas e usadas, obtenha a permissão dos pais.
Lei de proteção de crianças na Internet nos EUA (U.S. Children’s Internet Protection Act, CIPA)
O congresso americano aprovou a CIPA em 2000 para proteger crianças com menos de 17 anos contra
exposição a conteúdo ofensivo e a material obsceno na Internet.
Video Privacy Protection Act (VPPA)
A Video Privacy Protection Act protege uma pessoa contra ter as fitas de vídeo, DVDs e jogos alugados
divulgados para terceiros. O estatuto fornece as proteções por padrão, exigindo assim uma empresa de
aluguer de vídeo obter consentimento do inquilino optar por não as proteções, se a empresa quer divulgar
informações pessoais sobre arrendamentos. Muitos defensores da privacidade consideram a VPPA a lei
de privacidade mais forte dos EUA.
Lei de responsabilidade e de portabilidade do seguro-saúde
Os padrões exigem proteções para armazenamento físico, manutenção, transmissão e acesso à

informação de saúde dos indivíduos. A HIPAA exige que as empresas que usam assinaturas eletrônicas
atendam a padrões que garantam a integridade das informações, autenticação do signatário e não-
repúdio.
Projeto de lei do senado da Califórnia 1386 (SB 1386)
A Califórnia foi o primeiro estado a aprovar uma lei sobre a notificação da divulgação não autorizada de
informações de identificação pessoal; Desde então, muitos outros estados seguiram seus passos. Cada
uma dessas leis de aviso de divulgação é diferente, tornando o caso interessante para um estatuto federal
de unificação. Essa lei exige que as agências forneçam aos consumidores aviso de seus direitos e
responsabilidades. Isso exige que o estado notifique os cidadãos, sempre que PII for perdida ou
divulgada. Desde a aprovação da SB 1386, vários outros estados têm feito leis tendo essa lei como
padrão.
Políticas de privacidade
Políticas são a melhor maneira de garantir a conformidade em toda a empresa e uma política de
privacidade desempenha um papel importante dentro da empresa, especialmente com as várias leis
promulgadas para proteger a privacidade. Um dos resultados diretos dos estatutos legais associados à
privacidade tem sido o desenvolvimento de uma necessidade de políticas de privacidade empresarial
associada à coleta de dados.
Avaliação de impacto da privacidade (PIA)
Uma avaliação de impacto da privacidade garante que as informações de identificação pessoal (PII)
sejam tratadas corretamente em toda uma empresa.
• Estabelece o escopo da PIA.
• Identifica os principais participantes.
• Documenta todo o contato com PII.
• Analisa os requisitos legais e regulamentares.
• Documenta possíveis problemas encontrados ao comparar requisitos e práticas.
• Revê as descobertas com os principais interessados.
Leis internacionais
Com o crescimento da Internet e das conexões de rede global, a entrada não autorizada em um sistema
de computador ou a invasão de um computador tem emergido como uma preocupação que pode ter
consequências nacionais e internacionais. Existem leis nacionais para a invasão de computadores em
muitos países, mas sempre pode haver lacunas como essas nações lidam com esse tipo de crime.
Convenção sobre o crime digital
A Convenção sobre o crime digital é o primeiro tratado internacional sobre crimes na Internet (UE, EUA,
Canadá, Japão e outros). Políticas comuns lidam com o crime digital e abordar o seguinte: violações de
direitos autorais, fraudes relacionadas a computadores, pornografia infantil e violações de segurança da
rede. Clique aqui para ler mais sobre a Convenção sobre o crime digital.
Electronic Privacy Information Center (EPIC)
O EPIC promove políticas de privacidade e leis e políticas abertas do governo globalmente e se concentra
nas relações UE-EUA. Clique aqui para obter as notícias mais recentes.
Banco de dados nacional de vulnerabilidades
O banco de dados nacional de vulnerabilidades (NVD) é um repositório padronizado de dados do governo

dos EUA para controle de vulnerabilidades que usa o protocolo de automação de conteúdo de segurança
(SCAP). O SCAP é um método para usar padrões específicos para automatizar o controle de
vulnerabilidades, a medição e a avaliação de conformidade com a política. Clique aqui para visitar o site
do banco de dados nacional de vulnerabilidades.
O SCAP usa padrões abertos para enumerar falhas de software de segurança e problemas de
configuração. As especificações organizam e medem as informações relacionadas à segurança de forma
padronizada. A comunidade SCAP é uma parceria entre o setor público e privado para avançar a
padronização das operações de segurança técnica. Clique aqui para visitar o site do protocolo de
automação de conteúdo de segurança.
O NVD usa o sistema de pontuação de vulnerabilidade comum para avaliar o impacto das
vulnerabilidades. Uma empresa pode usar a pontuação para classificar a gravidade das vulnerabilidades
que encontra dentro de sua rede. Isso, por sua vez, pode ajudar a determinar a estratégia de mitigação.
O site também contém um várias checklists que proporcionam orientação sobre como configurar sistemas
operacionais e aplicativos para fornecer um ambiente codificado. Clique aqui para visitar o repositório do
programa nacional de checklist.
CERT
O Software Engineering Institute (SEI) da Universidade Carnegie Mellon ajuda governos e empresas do
setor a desenvolver, operar e manter sistemas de software que são inovadores, acessíveis e confiáveis. É
um centro de pesquisa e desenvolvimento financiado pelo governo federal com dinheiro do Departamento
de Defesa dos EUA.
A divisão CERT de estudos SEI estuda e resolve problemas na área de segurança cibernética, incluindo
vulnerabilidades de segurança nos produtos de software, mudanças nos sistemas em rede e treinamento,
para ajudar a melhorar a segurança cibernética. O CERT proporciona os seguintes serviços:
• Ajuda a resolver vulnerabilidades de software
• Desenvolve ferramentas, produtos e métodos para realizar exames de computação forense
• Desenvolve ferramentas, produtos e métodos para analisar vulnerabilidades

• Desenvolve ferramentas, produtos e métodos para monitorar redes grandes
• Ajuda as empresas a determinar se suas práticas relacionadas à segurança são eficazes
O CERT tem uma extensa base de dados de informações sobre vulnerabilidades de software e código
malicioso para ajudar a desenvolver soluções e estratégias de remediação. Clique aqui para visitar o site
do CERT.
Internet Storm Center
O Internet Storm Center (ISC) fornece uma análise e um serviço de aviso gratuitos para as empresas e
usuários da Internet. Ele também funciona com provedores de serviços de Internet para combater
criminosos digitais. O Internet Storm Center coleta todos os dias milhões de entradas de registro de
sistemas de detecção de invasão com sensores que incluem 500.000 endereços IP em mais de 50
países. O ISC identifica sites usados para ataques e proporciona dados sobre os tipos de ataques
lançados contra vários setores e regiões do mundo.
Clique aqui para visitar o Internet Storm Center. O site oferece os seguintes recursos:
• Um arquivo de blog de diário InfoSec
• Podcasts que incluem o Stormcasts diário, atualizações diárias de ameaças à segurança da

informação de cinco a dez minutos
• Postagens de emprego InfoSec
• Notícias de segurança da informação
• Ferramentas InfoSec
• Relatórios InfoSec
• Fóruns InfoSec SANS ISC
O Instituto SANS suporta o Internet Storm Center. O SANS é uma fonte confiável para pesquisa,
certificação e treinamento de segurança da informação.
Advanced Cyber Security Center
O Advanced Cyber Security Center (ACSC) é uma empresa sem fins lucrativos que reúne indústria,
academia e governo para abordar ameaças cibernéticas avançadas. A empresa compartilha informações
sobre ameaças digitais, faz pesquisa e desenvolvimento sobre segurança cibernética e cria programas de
educação para promover a profissão de segurança cibernética.
O ACSC definiu quatro desafios que ajudarão a moldar as suas prioridades:
• Construir sistemas resilientes para se recuperar de ataques e falhas.
• Melhorar a segurança móvel.
• Desenvolver o compartilhamento de ameaças em tempo real.
• Integrar os riscos cibernéticos com as estruturas de risco da empresa.
Clique aqui para visitar o Advanced Cyber Security Center.

Teste de penetração
O teste de penetração (pen testing) é um método de testar áreas de fraquezas em sistemas usando várias
técnicas maliciosas. O teste de penetração não é o mesmo que teste de vulnerabilidade. O teste de
vulnerabilidade apenas identifica os possíveis problemas. O pen testing envolve um especialista em
segurança cibernética que entra em um site, rede ou servidor com permissão da empresa para tentar
obter acesso a recursos com o conhecimento de nomes de usuários, senhas ou outros meios normais. A
diferenciação importante entre criminosos virtuais e especialistas em segurança cibernética é que os
especialistas em segurança cibernética têm a permissão da organização para realizar os testes.
Um dos motivos principais por que uma empresa usa o pen testing é encontrar e corrigir todas as
vulnerabilidades, antes dos criminosos virtuais. Testes de penetração são também conhecidos como
ataque ético de hacker.
Packet Analyzers
Os packet analyzers (ou analisadores de pacotes) interceptam e registram o tráfego de rede. O packet
analyzer captura cada pacote, mostra os valores de vários campos no pacote e analisa o conteúdo. Um
sniffer pode capturar o tráfego em redes com e sem fio. Packet analyzers executam as seguintes funções:
• Análise de problemas de rede
• Detecção de tentativas de invasão da rede
• Isolamento do sistema explorado
• Log de tráfego
• Detecção de uso indevido da rede
Clique aqui para ver uma comparação de packet analyzers.

Ferramentas de segurança
Não há um padrão universal quando se trata das melhores ferramentas de segurança. Muito vai depender
da situação, circunstância e preferência pessoal. Um especialista em segurança cibernética deve saber
onde obter informações fundamentadas.
Kali
Kali é uma distribuição de segurança Linux de código aberto. Profissionais de TI usam o Kali Linux para
testar a segurança de suas redes. O Kali Linux incorpora mais de 300 testes de penetração e programas
de auditoria de segurança em uma plataforma Linux. Clique aqui para visitar o site.
Reconhecimento da situação da rede
Uma empresa precisa da capacidade de monitorar redes, analisar os dados resultantes e detectar
atividade maliciosa. Clique aqui para obter acesso a um conjunto de ferramentas de análise de tráfego
desenvolvidas pelo CERT.
Definição das funções dos profissionais de segurança cibernética
O padrão ISO define a função dos profissionais de segurança cibernética. A estrutura do ISO 27000
exige:
• Um gerente sênior responsável por TI e ISM (frequentemente o responsável de auditoria)
• Profissionais de segurança da informação
• Administradores de segurança
• Gerente de segurança do local/física e contatos das instalações
• Contato de RH para assuntos de RH, como ação disciplinar e treinamento
• Gerentes de sistemas e rede, arquitetos de segurança e outros profissionais de TI
Os tipos de cargos de segurança da informação podem ser divididos da seguinte forma:
• Os definidores proporcionam políticas, diretrizes e normas e incluem consultores que fazem

avaliação de risco e desenvolvem o produto as arquiteturas técnicas e indivíduos de nível sênior
dentro da empresa que têm um conhecimento amplo, mas não muito aprofundado.
• Os construtores são os técnicos reais que criam e instalam as soluções de segurança.
• Monitores administram as ferramentas de segurança, executam a função de monitoramento de

segurança e melhoram os processos.
Clique em cada cargo de segurança da informação que desempenha um papel fundamental em qualquer
empresa, para saber sobre os componentes-chave de cada um.
Ferramentas de busca de emprego
Uma variedade de sites e aplicativos móveis anunciam empregos de tecnologia da informação. Cada site
é direcionado a diferentes candidatos e proporciona diferentes ferramentas para candidatos que procuram
o cargo ideal. Muitos sites são agregadores de sites de emprego, ou seja, um site de busca de emprego
que reúne anúncios de outros sites de emprego e de sites de carreira de empresas e os exibem em um
único local.
Indeed.com
Anunciado como o site de empregos número 1 do mundo, o Indeed.com atrai mais de 180 milhões de
visitantes únicos por mês de mais de 50 países diferentes. O Indeed é, verdadeiramente, um site mundial
de empregos. O Indeed ajuda as empresas de todos os tamanhos a contratar os melhores talentos e
oferece a melhor oportunidade para os candidatos a emprego.
CareerBuilder.com
O CareerBuilder atende a muitas empresas grandes e de prestígio. Como resultado, esse site atrai
candidatos específicos que normalmente têm mais educação e credenciais mais altas. Os empregadores
que publicam no CareerBuilder normalmente conseguem mais candidatos com ensino superior,
credenciais avançadas e certificações do setor.
USAJobs.gov
O governo federal publica vagas no USAJobs. Clique aqui para saber mais sobre o processo de
candidatura usado pelo governo dos EUA.
Quais são os três serviços que o CERT proporciona? (Escolha três.)
Select one or more:
desenvolver ferramentas, produtos e métodos para analisar vulnerabilidades
criar ferramentas de malware
desenvolver ferramentas, produtos e métodos para realizar exames de computação

forense
Impor padrões de software
resolver vulnerabilidades de software
desenvolver ferramentas de ataque
Feedback
O CERT proporciona vários serviços, incluindo:
• ajuda a resolver vulnerabilidades de software

• desenvolve ferramentas, produtos e métodos para realizar exames de computação
forense
• desenvolve ferramentas, produtos e métodos para analisar vulnerabilidades
• desenvolve ferramentas, produtos e métodos para monitorar redes grandes
• ajuda as empresas a determinar se suas práticas relacionadas à segurança são
eficazes
The correct answers are: resolver vulnerabilidades de software, desenvolver ferramentas,

produtos e métodos para analisar vulnerabilidades, desenvolver ferramentas, produtos e
métodos para realizar exames de computação forense
Question 2
Incorrect
Flag question
Question text
Um consultor é contratado para fazer recomendações sobre o gerenciamento de ameaças
do dispositivo em uma empresa. Quais são as três recomendações gerais que podem ser
feitas? (Escolha três.)
Select one or more:
Ativar dispositivos de mídia.
Ativar o bloqueio de tela.
Impor políticas rigorosas de RH.
Desativar os direitos de administrador dos usuários.
Remover filtros de conteúdo.
Ativar verificações antivírus automatizadas.
Feedback
As estações de trabalho podem ser fortalecidas com a remoção de permissões
desnecessárias, a automatização de processos e a ativação de funcionalidades de
segurança.
The correct answers are: Desativar os direitos de administrador dos usuários., Ativar o
bloqueio de tela., Ativar verificações antivírus automatizadas.
Question 3
Correct
Flag question
Question text
Quais são as duas possíveis ameaças para aplicações? (Escolher dois.)
Select one or more:
interrupções de energia
acesso não autorizado
perda de dados
engenharia social
Feedback
As ameaças a aplicações podem incluir o seguinte:
• Acesso não autorizado a data centers, salas de computador e armário de fiação

• Período de inatividade do servidor para manutenção
• Vulnerabilidade de software do sistema operacional de rede
• Acesso não autorizado a sistemas
• Perda de dados
• Período de inatividade de sistemas de TI por um tempo prolongado
• Vulnerabilidades de desenvolvimento de aplicativos cliente/servidor ou Web
The correct answers are: perda de dados, acesso não autorizado

Question 4
Incorrect
Flag question
Question text
Quais são as três maiores categorias para posições de segurança de informações?
(Escolha três.)
Select one or more:
infratores
monitores
criadores
construtores
definidores
seekers
Feedback
As posições de segurança de informações podem ser categorizadas como:
• definidores
• construtores
• monitores
The correct answers are: definidores, construtores, monitores

Question 5
Correct
Flag question
Question text
Um administrador de escola está preocupado com a divulgação de informações de alunos
devido a uma violação. As informações de alunos estão protegidas sob qual lei?
Select one:
FERPA
HIPPA
CIPA
COPPA
Feedback
O Family Education Records and Privacy Act (FERPA) proíbe a divulgação inadequada de
registros de formação pessoal.
The correct answer is: FERPA
Question 6
Correct

Flag question
Question text
Como um profissional de segurança, existe a possibilidade de ter acesso a dados
confidenciais e ativos. Qual é o item que um profissional de segurança deve compreender
para tomar decisões éticas informadas?
Select one:
provedores de nuvens
parcerias
leis que regem os dados
possível ganho
possível bônus
Feedback
A ética na profissão de segurança é extremamente importante por causa da
confidencialidade dos dados e ativos. A conformidade com requisitos de estado e de
governo é necessária para fazer bons julgamentos.
The correct answer is: leis que regem os dados
Question 7
Correct
Flag question
Question text
Se uma pessoa acessar conscientemente um computador do governo sem permissão, ela
estará sujeita a quais leis federais?
Select one:
ECPA
CFAA
SOX
GLBA
Feedback
O Computer Fraud and Abuse Act (CFAA) fornece a base para as leis dos EUA que
criminalizam o acesso não autorizado a sistemas de computador.
The correct answer is: CFAA
Question 8
Correct
Flag question
Question text
Quais são as três isenções de divulgação que pertencem ao FOIA? (Escolha três.)
Select one or more:
informações públicas de instituições financeiras
informações de política externa e de segurança nacional
informações comerciais confidenciais
informações especificamente não isentas por estatuto
registros de segurança pública que implicam um de um conjunto de preocupações

enumeradas
informações não geológicas sobre poços
Feedback
As nove isenções do Freedom of Information Act (FOIA) incluem o seguinte:
1. Informações de política externa e de segurança nacional

2. Pessoal interno, regras e práticas de uma agência
3. Informações especificamente isentadas pelo estatuto
4. Informações comerciais confidenciais
5. Comunicação entre ou intra-agência sujeita a processo deliberativo, de litígio e
outros privilégios
6. Informações que, se divulgadas, constituiriam uma invasão claramente injustificada
da privacidade pessoal
7. Registros de segurança pública que implicam um de um conjunto de preocupações
enumeradas
8. Informações da agência de instituições financeiras
9. Informações geológicas e geofísicas sobre poços
The correct answers are: informações de política externa e de segurança nacional,

informações comerciais confidenciais, registros de segurança pública que implicam um de
um conjunto de preocupações enumeradas
Question 9
Correct
Flag question
Question text
Quais são os dois itens que podem ser encontrados no site do Internet Storm Center?
(Escolher dois.)
Select one or more:
informações históricas
relatórios InfoSec
postagens de emprego InfoSec
leis atuais
Feedback
O site do Internet Storm Center tem um blog diário do InfoSec, ferramentas do InfoSec e
notícias entre outras informações do InfoSec.
The correct answers are: relatórios InfoSec, postagens de emprego InfoSec
Question 10
Correct

Flag question
Question text
Por que o Kali Linux é uma escolha comum para testar a segurança de rede de uma
empresa?
Select one:
É uma ferramenta de verificação de rede que prioriza os riscos de segurança.
Ele pode ser usado para testar os pontos fracos apenas com software mal-intencionado.
É uma distribuição de segurança Linux de código aberto e contém mais de 300

ferramentas.
Ele pode ser usado para interceptar e registrar o tráfego de rede.
Feedback
Kali é uma distribuição de segurança Linux de código aberto normalmente usada por
profissionais de TI para testar a segurança de redes.
The correct answer is: É uma distribuição de segurança Linux de código aberto e contém
mais de 300 ferramentas.
Question 11
Correct
Flag question
Question text
Um auditor é solicitado para avaliar a LAN de uma empresa em busca de possíveis
ameaças. Quais são as três ameaças possíveis que o auditor pode apontar? (Escolha
três.)
Select one or more:
detecção de rede e varredura de porta não autorizada
sistemas bloqueados
senhas complexas
a política de uso aceitável
acesso desbloqueado ao equipamento de rede
um firewall desconfigurado
Feedback
A LAN pode ter muitos dispositivos de terminal conectados. A análise dos dispositivos de
rede e dos endpoints conectados é importante na determinação de ameaças.
The correct answers are: acesso desbloqueado ao equipamento de rede, detecção de rede
e varredura de porta não autorizada, um firewall desconfigurado
Question 12
Correct
Flag question
Question text
Um profissional de segurança é solicitado a executar uma análise da situação atual da
rede de uma empresa. Qual é a ferramenta que o profissional de segurança usaria para
verificar a rede apenas para os riscos de segurança?
Select one:
scanner de vulnerabilidades
packet analyzer
pentest
malware
Feedback
Os scanners de vulnerabilidades são comumente usados para verificar as seguintes
vulnerabilidades:
• Uso de senhas padrão ou senhas comuns

• Patches não instalados
• Portas abertas
• Erro de configuração de software e de sistemas operacionais
• Endereços IP ativos
The correct answer is: scanner de vulnerabilidades

Question 13
Correct
Flag question
Question text
Uma empresa implementou uma infraestrutura em nuvem privada. O administrador de
segurança é solicitado para proteger a infraestrutura de possíveis ameaças. Quais são as
três táticas que podem ser implementadas para proteger a nuvem privada? (Escolha três.)
Select one or more:
Desativar ping, detecção e varredura de porta.
Contratar um consultor.
Atualizar dispositivos com correções e patches de segurança.
Desativar firewalls.
Testar tráfego de entrada e de saída.
Conceder direitos administrativos.
Feedback
As empresas podem gerenciar as ameaças para a nuvem privada usando os seguintes
métodos:
• Desativar ping, detecção e varredura de porta.

• Implementar sistemas de detecção e de prevenção contra invasão.
• Monitorar anomalias de tráfego IP de entrada.
• Atualizar dispositivos com correções e patches de segurança.
• Conduzir testes de penetração pós-configuração.
• Testar tráfego de entrada e de saída.
• Implementar um padrão de classificação de dados.
• Implementar o monitoramento e a varredura da transferência de arquivos para tipo
de arquivo desconhecido.
The correct answers are: Desativar ping, detecção e varredura de porta., Testar tráfego de
entrada e de saída., Atualizar dispositivos com correções e patches de segurança.
Question 14
Correct
Flag question
Question text
Uma falha ocorre em uma empresa que processa informações de cartão de crédito. Qual é
a lei específica do setor que rege a proteção de dados de cartão de crédito?
Select one:
ECPA
SOX
GLBA
PCI DSS
Feedback
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS)
administra a proteção de dados de cartão de crédito à medida que comerciantes e bancos
fazem as transações.
The correct answer is: PCI DSS
Question 15
Correct
Flag question
Question text
O que pode ser usado para avaliar ameaças por uma pontuação de impacto para enfatizar
vulnerabilidades importantes?
Select one:
ACSC
ISC
NVD
CERT
Feedback
O National Vulnerability Database (NVD) é usado para avaliar o impacto de
vulnerabilidades e pode auxiliar uma empresa a classificar a gravidade de vulnerabilidades
encontradas em uma rede.
The correct answer is: NVD
Question 16
Correct
Flag question
Question text
Uma empresa está tentando diminuir o custo na implantação de software comercial e está
considerando um serviço baseado em nuvem. Qual seria o melhor serviço baseado em
nuvem para hospedar o software?
Select one:
Iaas
RaaS
SaaS
PaaS
Feedback
O SaaS (software como serviço) proporciona o acesso ao software que é centralmente
hospedado e acessado por usuários por um navegador da Web na nuvem.
The correct answer is: SaaS
Question 17
Correct
Flag question
Question text
Uma empresa teve vários incidentes envolvendo usuários que baixam software não
autorizado e usam sites não autorizados e dispositivos USB pessoais. O CIO quer pôr em
prática um esquema para gerenciar as ameaças do usuário. Quais são os três itens que
podem ser colocados em prática para gerenciar as ameaças? (Escolha três.)
Select one or more:
Proporcionar treinamento.
Implementar a ação disciplinar.
Usar filtros de conteúdo.
Mudar para clientes finos.
Monitorar todas as atividades pelos usuários.
Desativar o acesso de CD e USB.
Feedback
Se os usuários não receberem as instruções necessárias, não estarão a par dos
problemas que suas ações podem causar no computador. Com a implementação de várias
práticas técnicas e não técnicas, a ameaça pode ser reduzida.
The correct answers are: Desativar o acesso de CD e USB., Usar filtros de conteúdo.,
Proporcionar treinamento.
Question 18
Incorrect
Flag question
Question text
Os visitantes não autorizados entraram em um escritório da empresa e estão andando ao
redor do edifício. Quais são as duas medidas que podem ser implementadas para impedir
o acesso de visitante não autorizado ao edifício? (Escolher dois.)
Select one or more:
Realizar treinamento regularmente.
Fechar armários.
Estabelecer políticas e procedimentos para os convidados que visitam o edifício.
Proibir a saída do edifício durante o horário de trabalho.
Feedback
Qualquer pessoa não autorizada que acessa uma instalação pode representar uma
possível ameaça. As medidas comuns para aumentar a segurança física incluem o
seguinte:
• Implementar controle de acesso e cobertura de circuito fechado de TV (CCTV) em

todas as entradas.
• Estabelecer políticas e procedimentos para os convidados que visitam as
instalações.
• Testar a segurança do edifício usando meios físicos para obter acesso de forma
secreta.
• Implementar a criptografia de crachá para acesso de entrada.
• Realizar treinamento regularmente.
• Implementar um sistema de identificação de ativo.
The correct answers are: Estabelecer políticas e procedimentos para os convidados que
visitam o edifício., Realizar treinamento regularmente.
Question 19
Correct
Flag question
Question text
Como parte da política de recursos humanos em uma empresa, uma pessoa pode recusar
o compartilhamento de informações com terceiros que não sejam os empregadores. Qual
é a lei que protege a privacidade de informações pessoais compartilhadas?
Select one:
SOX
FIRPA
GLBA
PCI
Feedback
O Gramm-Leach-Bliley Act (GLBA) inclui provisões de privacidade para os indivíduos e
fornece métodos para restringir o compartilhamento de informações com empresas de
terceiros.
The correct answer is: GLBA

Cisco Cybernet

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cisco Cybernet

Enviado por

Direitos autorais:

Formatos disponíveis

Capítulo 1: Segurança cibernética - Um mundo de

Exemplos de domínios de segurança cibernética

Os especialistas na Google criaram um dos primeiros e mais poderosos domínios dentro

O Facebook é outro domínio poderoso dentro da Internet mais ampla. Os especialistas no

O LinkedIn é ainda outro domínio de dados na Internet. Os peritos no LinkedIn

Quem são os criminosos virtuais?

Nos primeiros anos do mundo da segurança cibernética, os típicos criminosos virtuais

Amadores, ou os hackers inexperientes, têm pouca ou nenhuma qualificação profissional,

Clique aqui para ver representações pictóricas de perfis de hackers.

Motivos dos criminosos virtuais

Por que tornar-se um especialista em segurança cibernética?

A demanda por especialistas em segurança cibernética tem crescido mais do que a

• O nível de qualificação profissional necessária para um especialista em segurança

• A tecnologia da informação está em constante mudança. Isso também ocorre com a

• A carreira de um especialista em segurança cibernética também é altamente portátil.

• Os especialistas em segurança cibernética proporcionam um serviço necessário para

Tornar-se um especialista em segurança cibernética é uma oportunidade de carreira

Como impedir criminosos virtuais

• Criar bancos de dados abrangentes de vulnerabilidades conhecidas do sistema e

• Estabelecer sensores de aviso precoce e redes de alertas. Devido ao custo e à

• Compartilhar informações de inteligência cibernética. Empresas, agências do governo

• Estabelecer padrões de gerenciamento de segurança da informação entre

• Promulgar novas leis para desencorajar violações de dados e ataques cibernéticos.

Ameaças comuns aos usuários finais

Ameaças e vulnerabilidades são as principais preocupações dos profissionais de

• Quando uma ameaça é a possibilidade de um evento prejudicial, como um ataque.

• Quando uma vulnerabilidade torna um alvo suscetível a um ataque.

Tipos de registros pessoais

Registros de educação incluem informações sobre as notas, pontuações nas provas,

Registros de emprego e financeiros

Informações de emprego podem incluir empregos anteriores e desempenho. Registros de

Ameaças a serviços de internet

Os criminosos usam ferramentas de sniffing de pacotes para capturar streams de dados

Serviço de nome de domínio (DNS) converte um nome de domínio, como

Os exemplos fornecidos apenas arranham a superfície dos tipos de ameaças que os

Ameaças a setores importantes de indústrias

Os principais setores da indústria oferecem sistemas de infraestrutura de rede, como

Um ataque cibernético poderia derrubar ou interromper setores de indústrias, como

A possível ameaça que existe hoje exige um grupo especial de especialistas em

Ameaças ao estilo de vida das pessoas

Segurança cibernética é o esforço contínuo para proteger sistemas em rede e dados

Profissionais de segurança cibernética são, muitas vezes, envolvidos no trabalho com as

Ameaças internas e externas

Ameaças à segurança interna

Os ataques podem se originar de dentro de uma organização ou de fora da organização,

• Tratar erroneamente os dados confidenciais

• Ameaçar as operações de servidores internos ou de dispositivos de infraestrutura de

• Facilitar ataques externos conectando mídias USB infectadas no sistema de

• Convidar acidentalmente malware para a rede por e-mail ou sites mal-intencionados

Ameaças à segurança externa

Ameaças externas de amadores ou invasores habilidosos podem explorar vulnerabilidades

Dados corporativos incluem informações pessoais, propriedade intelectual e dados

No passado, os funcionários normalmente usavam computadores fornecidos pela empresa

O surgimento da Internet das coisas

O impacto do Big data

O big data é o resultado de conjuntos de dados grandes e complexos, tornando os

• O volume ou a quantidade de dados

• A velocidade ou a rapidez dos dados

• A variedade ou a gama de tipos e fontes de dados

Há vários exemplos de grandes ataques corporativos de hackers nos jornais. Empresas

Uso de armas avançadas

Há uma crescente sofisticação percebida nos ataques cibernéticos de hoje. Um Advanced

Ataques de algoritmo podem rastrear dados de geração automática de relatório do