Defesa Cibernetica

CYBER SECURITY
FORENSICS, ETHICAL HACKING

& DEVSECOPS
Defesa Cibernética
Prof. Marcelo Lau

marcelo.lau@fiap.com.br
Introdução à segurança cibernética
Fighting viruses, defending the net
Fonte: https://www.ted.com/talks/mikko_hypponen_fighting_viruses_defending_the_net
Defining Cyberwarfare
Fonte: https://www.ted.com/talks/daniel_garrie_defining_cyberwarfare_in_hopes_of_preventing_it
The Future of Cyberwarfare
Fonte: https://www.youtube.com/watch?v=L78r7YD-kNw
Motivação para os ataques
• Atacantes • Motivação
• Script Kiddies; • Só Diversão;
• Scammers; • Só Dinheiro;
• Hackers (pesquisa); • Desafio, Dinheiro e
• Crackers; diversão;
• Nation States (países); • Propriedade intelectual
• Insiders; ou e chantagem;
• Qualquer outro • Vingança, dinheiro e
atacante. desespero; ou
• Outra motivação.
Script Kiddies
• Utilizam ferramentas automáticas.
• “Point and Click”.
• Apenas usuários de ferramentas de outras
pessoas.
Scammers
• Esperam apenas 1% de sucesso.
• Campanha massiva.
• Utilizam engenharia social.
• Geralmente sem muito conhecimento técnico.
• Podem utilizar malwares comprados.
Hackers / Pesquisadores
• Encontram brechas em sistemas comerciais.
• Muitos participam de programas como “Bug
Bounty”.
• Desenvolvem ferramentas.
Nation States / Países
• Equipes altamente especializadas.
• Alvos geralmente são companhias que possuem
propriedade intelectual de grande valor.
• Também podem ser alvos pequenas companhias.
• Utilizam ferramentas avançadas.
• APT.
Insiders
• Visam propriedade intelectual, dados sensíveis ou
qualquer outra informação que pode
comprometer a empresa.
• São mais difíceis de se detectar em companhias
que não possuem controles rígidos.
• As vezes possuem controle total de todo o
ambiente informatizado.
Qual é a motivação comum de cada um deles ?
• Script Kiddies:
– Diversão.
• Scammers:
– Dinheiro.
• Hackers (pesquisadores):
– Desafios, dinheiro, diversão e fama.
• Países:
– Propriedade intelectual, espionagem e chantagem.
• Insiders:
– Vingança, dinheiro e por desespero.
Prevalência dos ataques
Quantificação dos danos
Tipos de ataques e proteções
• 3 alvos principais, podendo ter vários tipos de
ataques e proteções.
• Aplicações WEB.
• Serviços de rede.
• Pessoas.
Aplicações Web
Aplicações Web
• Métodos de Proteção:
– Revisão das garantias dos fornecedores:
• Preocupação adicional quando for terceirizado.
• Quais as garantias???
– Criptografar dados no armazenamento.
– Criptografar dados em trânsito.
– Programação segura.
– Revisão de código.
– Pentest para aplicação web.
– Entre outras medidas.
Serviços de Rede
• Existiam antes das aplicações web.
• Existiam antes da engenharia social.
• Para os administradores de redes:

– Você sabe exatamente o que está rodando em cada
servidor da sua rede?
– E em cada estação de trabalho?
– Tudo o que está rodando é absolutamente necessário?
– E quanto aos patches de segurança?
Serviços de Rede
• Ataques:
– Exploração de
vulnerabilidades.
– Força bruta.
– Senhas fracas.
– Serviços desnecessários.
– Serviços configurados de
forma errada.
Serviços de Rede
• Proteções:
– Segmentar a rede.
– Atualizar os sistemas.
– Remover privilégios de usuários.
– Utilizar firewall na borda.
– End point protection nos
clientes.
– Realizar scans periódicos.
• Dentro e fora da rede.
– Seguir sugestões de boas
práticas.
Pessoas
• Ataques:
– Engenharia social.
– Phishing.
– Personificação.
Proteções
• Treinamento para
conscientização dos usuários.
– Periódico x apenas para
cumprir regulamentação
• End point protection.
• Política de senhas.
• Política de segurança.
Controles de segurança aplicados às infraestruturas
críticas de comunicação, saúde, transporte, energia,
economia e demais infraestruturas
O que é o ciberespaço?
• “s.m. Espaço das comunicações por redes de
computação.”
• Dicionário Houaiss da Língua Portuguesa
• “It’s not a truck. It’s a series of tube”
• Senador Ted Stevens (2006)
• “A consensual hallucination experienced daily by

billions of legitimate operators, in every nation. .
. . A graphic representation of data abstracted
from the banks of every computer in the human
system. Unthinkable complexity. Lines of light
ranged in the nonspace of the mind, clusters and
constellations of data.”
• William Gibson em seu livro Neuromancer (1984)
• “The global domain within the information

environment consisting of the interdependent
network of information technology
infrastructures, including the internet,
telecommunications networks, computer
systems, and embedded processors and
controllers.”
• Especialistas do pentágono (2008)

• “Espaço virtual, composto por dispositivos

computacionais conectados em redes ou não,
onde as informações digitais transitam, são
processadas e/ou armazenadas.”
• Ministério da Defesa Brasileiro (2014)

• “At its essence, cyberspace is the realm of
computer networks (and the users behind them)
in which information is stored, shared, and
communicated online.”
• Peter Warren Singer em seu livro:
• Cybersecurityand Cyberwar
• What Everyone Needs to Know
• Ainda segundo Peter Warren o que torna o
ciberespaço um lugar único:
• “O ciberespaço é primeiramente e acima de tudo um

ambiente de informações. Isto é, constituído por dados
digitalizados que são criados, armazenados, e, mais
importante ainda, compartilhados. Isso significa que ele não
é apenas um lugar físico desafiando qualquer medição em
qualquer tipo de dimensão física.”
Características do ciberespaço
• O ciberespaço não é somente virtual, além disso
ele compreende todos os computadores que
transmitem os dados, os sistemas e toda a
infraestrutura necessária para interconexão entre
eles
• Segundo o professor Paul Rosenzweig, ele é
dividido em cinco camadas:
Camada geográfica
• A parte inferior representa a "camada geográfica”,
a localização física dos elementos da rede.
Embora o próprio ciberespaço não possua
existência física, cada equipamento responsável
por sua existência está fisicamente localizado em
algum lugar no mundo.
• Como consequência, as partes físicas da rede

estão sujeitos ao controle de muitos sistemas
políticos e jurídicos diferentes.
Camada de rede física
• Esta é a camada do hardware e de toda
infraestrutura do ciberespaço. Nela estão
inclusos:
– Todo o tipo de cabeamento (metálico ou óptico).

– Roteadores.
– Servidores.
– Computadores.
– Smart devices.
– Entre outros dispositivos.
Camada lógica
• É a principal camada do ciberespaço. Quando se
fala sobre ciberespaço de uma forma coloquial,
estão falando sobre a camada lógica.
• É nesta camada que os dados são trafegados.
Camada ciber pessoal
• Aqui nesta camada estão presentes os
identificadores cibernéticos, como:
– Endereço de e-mail de determinado usuário.

– Endereço IP de um computador.
– Número de telefone celular.
• Muitos indivíduos geralmente possuem mais de

uma “personalidade cibernética”
Camada pessoal
• Engloba todas as pessoas utilizando a Internet.
• Um indivíduo pode ter várias “personalidades
cibernéticas” e uma “personalidade cibernética”
pode ser utilizada por mais de um indivíduo,
dificultando a ligação de uma “personalidade
cibernética” a uma pessoa.
Ainda sobre ciberespaço
• Está em constante
evolução.
• Segundo Peter Warren:
– “A geografia do ciberespaço
é muito mais mutável do que
qualquer outro ambiente. É
impossível mover montanhas
e oceanos, mas porções
inteiras do ciberespaço
podem ser desligadas ou
ligadas com o clique de um
botão”
Mudanças comportamentais
• O ciberespaço vem realizando mudanças
comportamentais nos indivíduos, em especial nas
áreas de comunicação e compras.
– Hoje grande parte dos indivíduos utilizando a Internet
ao invés de buscar conteúdo em sites gera muito mais
conteúdo em mídias sociais como facebook e RenRen
(na China) e em microblogs como o Twitter ou os
equivalentes chineses Tencent e Sina.
Mudanças comportamentais
• Nos últimos anos cada vez mais setores
considerados como sendo parte da infraestrutura
crítica estão se conectando ao ciberespaço.
• Essa conexão se dá através da utilização dos

sistemas SCADA (Supervisory Control and Data
Aquisition)
• Mas o que é infraestrutura crítica?

Infraestrutura crítica - EUA
• O setor responsável por toda infraestrutura crítica

nos EUA é o Department of Homeland Security
Infraestrutura crítica - EUA
• Segundo o DHS:
– Há 16 setores de infraestrutura crítica, cujos ativos, sistemas

e redes, físico ou virtual, são considerados tão vital para os
Estados Unidos que a sua incapacidade ou destruição teria
um efeito debilitante sobre a segurança, a segurança
econômica nacional, a saúde ou a segurança pública
nacional, ou qualquer combinação dos mesmos.
– https://www.dhs.gov/critical-infrastructure-sectors
Infraestrutura crítica – EUA (I de II)
• Setor químico.
• Setor de comunicações.
• Setor de barragens.
• Setor de serviços de emergência.
• Setor de serviços financeiros.
• Instalações governamentais.
• Setor de tecnologia da informação.
• Setor de sistemas de transportes.
• Setor de instalações comerciais.
Infraestrutura crítica – EUA (II de II)
• Setor de manufatura crítica.

• Setor da indústria de defesa.
• Setor de energia.
• Setor de alimentos e agricultura.
• Setor de saúde e saúde pública.
• Setor de água e esgoto.
• Setor de reatores, materiais e dejetos nucleares.
Infraestrutura crítica - Austrália
• Instalações físicas, cadeias de abastecimento,
tecnologias da informação e redes de
comunicação, que se destruídos, degradados ou
se tornarem indisponíveis por um período
prolongado, teria um impacto significativo no
bem-estar social ou econômico da nação, ou
afetariam a capacidade da Austrália para realizar
a defesa nacional e assegurar a segurança
nacional
• http://www.tisn.gov.au/Pages/Critical_infrastruct
ure.aspx
Infraestrutura crítica - Canadá
• Infraestrutura crítica refere-se a processos,
sistemas, instalações, tecnologias, redes, bens e
serviços essenciais para a saúde, segurança ou
bem estar econômico dos canadenses e de
eficácia de funcionamento do governo.
infraestrutura crítica pode ser autônomo ou
interligado e interdependente dentro e entre as
províncias, territórios e fronteiras nacionais.
Interrupções de infraestrutura crítica pode
resultar em perda catastrófica da vida, efeitos
econômicos adversos e danos significativos para a
confiança do público
Infraestrutura crítica - Canadá
• Dividida em 10 setores:
– Saúde.
– Alimentação.
– Finanças.
– Água.
– Tecnologia da informação e comunicação.
– Segurança.
– Energia.
– Manufatura.
– Governo.
– Transportes.
Infraestrutura crítica - Brasil
• Segundo a Portaria nº 2 de 08/02/2008 / GSIPR -
Gabinete de Segurança Institucional da
Presidência da República.
• Parágrafo Único: Deverão ser consideradas as IEC
que possam afetar, de forma direta ou indireta, a
operação do setor considerado.
• Art. 2° Consideram-se IEC as instalações, serviços
e bens que, se forem interrompidos ou
destruídos, provocarão sério impacto social,
econômico, político, internacional ou à segurança
nacional.
Infraestrutura crítica - Brasil
• Art. 3º São consideradas áreas prioritárias de

Infraestrutura críticas, sem prejuízo de outras que
vierem a ser definidas:
I – Energia;
II – Transporte;
III – Água;
IV - Telecomunicações; e
V - Finanças.
O que quer dizer segurança?
• Existe uma antiga brincadeira no setor de segurança
sobre manter um computador seguro:
– “Basta desligá-lo”
• Existem inúmeras formas de desviar um computador

de sua finalidade. Quando este desvio ocorre ele é
chamado de mal funcionamento.
• Quando a diferença entre o comportamento esperado

e o comportamento atual é causada por um adversário
(ao invés de um simples erro ou acidente) o mal
funcionamento é um problema de segurança.
O que quer dizer segurança?
• Segurança não é apenas a noção de se estar livre
do perigo, como geralmente é definida, mas é
associada com a presença de um adversário
– Como a guerra, é necessário ao menos dois lados para
acontecer.
• Coisas podem quebrar e erros podem acontecer,
mas um problema só passa a se tornar um
problema de segurança se um adversário tenta
ganhar algo com essa atividade.
– Obter informação privilegiada.
– Comprometer o sistema.
– Impedir seu uso legítimo.
A tríade da segurança
Propriedade de Propriedade de
manter a manter a informação
informação a acurada, completa e
salvo de acesso e atualizada. Protege
divulgação não contra alteração e
autorizados. adulteração.
Propriedade de manter a
informação disponível para
acesso e sem interrupções ou
indisponibilidades.
Fonte: M. E. Whitman and H. J. Mattord, Principles of Information Security, 3rd Edition, Thomson, ISBN 1-4239-0177-0
Resiliência
• Resiliência é o que permite um sistema suportar
as ameaças de segurança ao invés de falhar de
forma crítica.
• A chave da resiliência é aceitar que as ameaças

são inevitáveis, bem como possíveis falhas na
defesa.
• É se manter operacional entendendo que

ataques e incidentes vão acontecer sempre.
Aspectos de segurança aos componentes críticos
dispostos no ciberespaço
Projeto aurora
• Governo tornou público em 2011 um vídeo feito

em 2007 com o objetivo de conscientização para
as ameaças de segurança.
• Neste vídeo é mostrado a destruição de um

gerador, apenas utilizando comandos via
computador.
Projeto aurora
Fonte: https://ec.europa.eu/home-affairs/sites/homeaffairs/files/e-library/docs/pdf/ra_ver2_en.pdf
Watch hackers break into the US power grid
Fonte: https://www.youtube.com/watch?v=pL9q2lOZ1Fw
Vulnerabilidade x Ameaça
• Qual a diferença entre uma vulnerabilidade e uma
ameaça?
• De uma forma análoga, uma porta aberta é uma

vulnerabilidade, mas não uma ameaça caso
ninguém queira entrar. Ao mesmo tempo uma
vulnerabilidade pode levar a várias ameaças:
– Pela porta aberta pode entrar um terrorista com uma
bomba, competidores para roubar segredos, ladrões
para roubarem bens ou mesmo vândalos.
Quem é a Target ?
Quem é a Target ?
Quem é a Target ?
Um cenário de ataque cibernético
Cenário de ataque cibernético - Target
Cards Stolen in Target Breach Flood Underground Markets

Taxonomia dos eventos
Se desejamos nos proteger, vamos

entender como ocorreu em mais
detalhes estes ataques...
Taxonomia dos eventos - Target
Citadel: a cyber-criminal’s ultimate weapon?

New BlackPOS Malware Emerges in the Wild, Targets Retail Accounts

Compliance versus Security - Target
Quem esta em compliance esta seguro?

Compliance com PCI-DSS - Target
Consequências - Target
Consequências - Target
Lições aprendidas - Target
Stuxnet
• O Stuxnet pode ser considerado um divisor de
águas entre as ameaças já estudadas
• Através dele foi possível observar que ataques no
ambiente cibernético podem causar estragos no
ambiente físico
O que é o Stuxnet
• Stuxnet é uma APT que foi desenvolvida tendo como
alvo uma fábrica específica
• Ele foi na época de sua descoberta o worm com a
maior complexidade já vista
• Enquanto a média de tamanho de um vírus comum é
de 10KB, o tamanho do Stuxnet era 500KB
• Não é comum um vírus possuir um “zero-day”, o
Stuxnet possuía quatro.
• Também atuava como um rootkit, escondendo
evidências de sua presença.
• Foi o primeiro vírus a incluir códigos para atacar
sistemas SCADA.
Como o Stuxnet foi descoberto
• Foi descoberto por Sergey Ulasen em junho de
2010. Nesta época ele trabalhava em uma
pequena companhia de software antivírus
chamada VirusBlokAda.
• Um de seus clientes estava tendo problemas com

um elevado número de ocorrências de tela azul.
• Ao pesquisar o problema, acabou esbarrando no

vírus.
Stuxnet - Como é feita a contaminação
• Era esperado que o ambiente alvo fosse uma rede
do tipo “air-gapped”.
• A versão do Stuxnet descoberta em 2010
inicialmente se espalhava por flash drives
contaminados, escondendo arquivos do tipo .lnk
• Quando o computador era contaminado o vírus
apagava a evidência da contaminação.
• Esta vulnerabilidade foi corrigida pela Microsoft
no patch MS10-046:
– https://technet.microsoft.com/pt-br/library/security/ms10-
046.aspx
Linha do tempo do Stuxnet
Cracking Stuxnet - TED
Fonte: https://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyber_weapon?language=en#t-1391
Aspectos relacionadas às infraestruturas
tecnológicas que contribuem às questões de conflito
em ambiente virtual
How Nations Attack without Bullets or Bombs
Fonte: https://fortune.com/2018/05/12/cyberwar-cyberattacks/
Cyber Warfare Conflict Analysis
Fonte: http://web.mit.edu/smadnick/www/wp/2017-10.pdf
Vaccine Tester Center Cyber Attack
Fonte: https://www.forbes.com/sites/daveywinder/2020/03/23/covid-19-vaccine-test-center-hit-by-cyber-attack-stolen-data-posted-
online/#7b0f206818e5
Cyberattacks International Laws
Fonte: https://digitalpeacenow.org/does-international-law-protect-medical-facilities-from-cyberattacks/
Convenção de Budapeste
Fonte: https://www.coe.int/en/web/cybercrime/the-budapest-convention
Cyberwarfare and International Law - UN
Fonte: https://unidir.org/files/publications/pdfs/cyberwarfare-and-international-law-382.pdf
Red Cross
Fonte: https://www.icrc.org/en/document/international-humanitarian-law-and-cyber-operations-during-armed-conflicts
Leia mais: https://www.icrc.org/en/war-and-law/conduct-hostilities/cyber-warfare
Modelagem de ameaças cibernéticas e controles
críticos
Gerenciamento de Riscos
• Gerenciamento de risco é o balanceamento entre
potenciais perdas e o custo de proteção.
Potenciais
perdas
Custo de
proteção
Gerenciamento de riscos
• Lembrando que:
– O custo não está totalmente ligado ao dinheiro:
• Tempo.
• Energia.
• Retrabalho.
• Sugestão de leitura: “Risk Management

Framework for Information Systems and
Organizations: A System Life Cycle Approach for
Security and Privacy”
– https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final
FARM
Sugestão de leitura: “Managing Information Security Risk”

http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-
final.pdf
Gerenciamento de riscos
Um pouco sobre análise de risco
• Uma ameaça atua
em uma
vulnerabilidade e
cria um risco com
uma determinada
chance de ocorrer
e que apresentam
um impacto
negativo
(consequência).
Exemplo de riscos
• Ameaça:
– E-mail de phishing solicitando uma informação
sensível.
• Vulnerabilidade:
– Funcionários não estão treinados para identificar e
ignorar e-mails de phishing.
• Risco:
– Qual a probabilidade disso acontecer? Caso aconteça,
quais são as consequências?
Processo de análise de negócios
• Você sabe como sua empresa opera?
• Você sabe quais recursos sua empresa utiliza?
– Informação, dados, pessoas, tecnologias
• Você sabe onde essa informação está
armazenada?
• Você sabe quem tem acesso a informação? Quais
sistemas tem acesso a informação? Quem tem
acesso aos sistemas?
• Você sabe o que proteger?
Risk - Critical Infrastructure Protection
Fonte: https://ec.europa.eu/home-affairs/sites/homeaffairs/files/e-library/docs/pdf/ra_ver2_en.pdf
Risk Management and Critical Infrastructure
Fonte: https://fas.org/sgp/crs/homesec/RL32561.pdf
Vulnerabilidade em marca-passos
Fonte: https://www.techtudo.com.br/noticias/2018/08/vulnerabilidade-digital-afeta-marca-passos-alertam-pesquisadores.ghtml
NIST Cyber Security Framework
• Preocupação com as crescentes ameaças contra a
infraestrutura crítica dos Estados Unidos.
• 12/02/2013 – O presidente Obama publica a

ordem executiva número 13636 “Improving
Critical Infrastructure Cybersecurity”
– https://www.whitehouse.gov/the-press-office/2013/02/12/executive-
order-improving-critical-infrastructure-cybersecurity
• Objetivo: Melhorar a segurança e a resiliência da

infraestrutura crítica.
• Exatamente um ano após a publicação da ordem
executiva o NIST lança a primeira versão do seu
framework, no dia 12 de fevereiro de 2014.
• Algumas características do framework:

– Não visa substituir as normas vigentes.
– Não cria novos requerimentos ou regulamentações.
– Sua utilização é completamente voluntária.
– Atende organizações de qualquer tamanho e em qualquer
setor, não sendo necessariamente uma organização na área
de infraestrutura crítica.
• Atende organizações:
– De qualquer tamanho e operando em qualquer setor (não é
exclusivamente para organizações de infraestrutura crítica).
– Que possuem maturidade em análise de risco e programas
de segurança da informação bem estabelecidos.
– Que não possuem gerenciamento de risco ou um programa
de segurança da informação estabelecidos.
• Tem como missão ajudar as empresas se

manterem atualizadas no gerenciamento de
riscos e a enfrentar as ameaças aos negócios.
• Construído a partir de padrões, orientações e
práticas, o framework provê a uma organização
uma taxonomia comum e mecanismos para:
1. Descrever sua atual postura em cibersegurança.

2. Descrever sua meta para cibersegurança.
3. Identificar e priorizar oportunidades para melhorias no
contexto de processos contínuos e repetíveis.
4. Avaliar o progresso em direção à meta.
5. Comunicar as partes interessadas (internas e externas)
sobre os riscos em cibersegurança.
• O papel do framework é complementar e não
substituir um processo de gestão de riscos ou um
programa de segurança da informação. A
organização pode manter seus processos atuais e
utilizar o framework para fortalece-los.
• Por outro lado, uma organização que não possua

um programa de segurança da informação pode
utilizar o framework como referência para
estabelecer um.
NIST Cyber Security Framework - CORE
• O core do framework é um conjunto de atividades
de segurança cibernética, resultados desejados, e
e referências aplicáveis que são comuns em todos
os setores de infraestrutura crítica.
• O core apresenta os padrões da indústria,

diretrizes e práticas de uma forma que permite a
comunicação das atividades de segurança
cibernética e resultados em toda a organização,
desde o nível gerencial até o nível operacional.
NIST Cyber Security Framework - CORE
• Ele consiste em cinco funções contínuas e
concorrentes:
– Identificar.
– Proteger.
– Detectar.
– Responder.
– Recuperar.
• Também identifica categorias chave e
subcategorias para cada uma das funções e
relaciona cada uma delas com padrões existentes,
orientações e práticas.
Níveis de implementação
• Contextualiza como a organização enxerga os
riscos relacionados à segurança cibernética e os
processos adotados para gerenciar estes riscos.
• Os níveis caracterizam a prática adotada na

organização em um range, indo de parcial (Tier1)
até adaptativa (Tier4).
• Refletem uma progressão de respostas informais

e reativas para abordagens mais ágeis e
orientadas ao risco
Profile
• Representa os resultados das categorias e
subcategorias apontadas por uma organização,
baseadas em suas necessidades de negócios.
• O profile pode ser utilizado para identificar

oportunidades para melhorar postura da
organização em relação à segurança cibernética,
comparando um profile atual com um profile
desejado.
Critical Security Controls for Cyber Defense
• Mantido pelos SANS Institute (EUA)
• Desenvolvido com ampla participação de especialistas
• Participação internacional
• Reflete o conhecimento combinado dos atuais ataques e
as efetivas estratégias de proteção
• É o mais específico conjunto de medidas e estratégias
mensuráveis disponível para detectar, prevenir, responder
e mitigar danos mais comuns e as mais avançadas formas
de ataque
• Filosofia do “o que fazer primeiro”
Fonte: SANS - Critical Security Controls for Effective Cyber Defense, http://www.sans.org/critical-security-controls
Estratégias – Cyber Defense
PROATIVA PREVENTIVA DETECTIVA REATIVA & REMEDIAÇÃO
Identificar o que pode Mapear as Identificar um ataque ou Descobrir ataques ou

acontecer e impedi-lo vulnerabilidades e incidente em incidentes que já
Descrição
antes que aconteça existentes e trata-las andamento ocorreram
antes que sejam
exploradas
• Discovery • Observação de • Anti-virus/ Malware

• Análise de • Compliance Eventos incidents
Principais Inteligência • Vulnerability • Correlação de • IPS/ IDS
funções scanning Eventos • DDoS incidents
• Análise de • Identificação de falso • CERT incidents
Vulnerabilidades positivos • Forense
• Implementar correções
(patches) e ferramentas • Descobrir • Trafego irregular na • Mitigação de ataque DDoS
de updates de dispositivos rede combinado com • Remoção de PCs/laptops
clandestinos na rede alta detecção de da rede
segurança para defesa
contra Zero Day e remove-los malwares • Remoção de
Exemplos • Atualizar a estratégia de • Reforçar a política e • Vários erros de login departamentos ou prédios
regras de compliance (password) seguidos de infectados da rede
mitigação DDoS
baseado informação de segurança trafego de rede vindo • Analise de cause raiz e
sobre atividade de estações de análise forense para
hacktivistas usuários identificar quem, porque e
quando
Determinar quando e Escanear o perímetro Monitoramento extensivo Capacidade de defender

Analogias onde o inimigo vai de rede para identificar para identificar um padrão de um ataque quando
atacar e implementar as brechas de segurança e ataque quando acontecer esta ocorrendo
defesas corrigi-las

Descrição
antes que sejam
exploradas

mitigação DDoS
quando

defesas corrigi-las

Descrição
antes que sejam
exploradas

mitigação DDoS
quando

defesas corrigi-las

Descrição
antes que sejam
exploradas

mitigação DDoS
quando

defesas corrigi-las
1. Ofensa informa defesa:
Aproveitar as lições aprendidas com os ataques e intrusões a sistemas para prover a base fundamental
para criar estratégias de defesas práticas e efetivas. Inclui somente aqueles controles que podem
demonstrar serem efetivos contra os ataques reais.
2. Priorização:
Investir primeiro nos controles que trarão a maior redução de riscos e proteção contra os mais perigosos
atores de ataques, e que tem viabilidade de implementação no seu ambiente computacional.
3. Métricas:
Estabelece métricas comuns que permitem reportar na linguagem dos executivos, especialistas de TI,
auditores e para os gerentes de segurança medirem a efetividade das medidas e estratégias de
segurança na empresa.
4. Monitoramento Constante:
Realiza monitoramento contínuo para testar e validar a efetividade das medidas de segurança presentes.
5. Automatização (Instrumentalização):
Automatiza (instrumentaliza) as defesas de maneira que empresas possam ter formar confiáveis,
escaláveis e continuamente de verificar à aderência aos controles e métricas.
Inventário dos dispositivos Processos e ferramentas para rastrear|controlar|prevenir|corrigir o acesso à
autorizados e não autorizados rede por dispositivos (computadores, elementos de rede, impressoras e qualquer
1 (Inventory of Authorized and Unauthorized
elemento com endereço IP) baseado no inventário de ativos no qual os
Devices)
dispositivos são permitidos conectar à rede
Inventário dos Softwares Processos e ferramentas para rastrear|controlar|prevenir|corrigir a instalação e

Autorizados e Não Autorizados
2 (Inventory of Authorized and Unauthorized
a execução de software e aplicações nos computadores baseado no inventário de
Software) software e aplicações permitidas
Configurações de Segurança para

Hardware e Software nos Processos e ferramentas para rastrear|controlar|prevenir|corrigir
3 Dispositivos Móveis, Laptops, configurações de segurança nas configurações de hardware e software nos
Estações e Servidores (Secure dispositivos móveis, laptops, estações e servidores baseado nos padrões de
Configurations for Hardware and Software on Mobile Devices,
Laptops, Workstations, and Servers)
gestão de configurações e processos de controles de mudanças
Processo Contínuo de Análise Processos e ferramentas para detectar|prevenir|corrigir vulnerabilidades de

de Vulnerabilidades e segurança nas configurações dos dispositivos listados e aprovados na base de
4 Correções (Continuous Vulnerability ativos
Assessment and Remediation)
Processos e ferramentas para detectar|prevenir|corrigir a instalação e a

Proteção Contra Malwares execução de software e/ou aplicações maliciosas em todos os dispositivos
5 (Malware Defenses)
Segurança de Software e Processos e ferramentas para detectar|prevenir|corrigir defeitos de
6 segurança no desenvolvimento e/ou aquisição de software, aplicações e
Aplicações
(Application Software Security) sistemas
Controle de Dispositivos e Processos e ferramentas para rastrear|controlar|prevenir|corrigir

7 Redes Wireless o uso seguro de redes wireless, pontos de acesso wireless e
(Wireless Device Control) dispositivos wireless
Processos e ferramentas para realizar back up e recuperar informações

Processo e Capacidade de
8 Recuperação de Dados e/ou dados críticos baseado em uma política de recuperação rápida de
(Data Recovery Capability) dados
Avaliação das Competências de

Processos e ferramentas para certificar que a conhece as deficiências
Segurança da Equipe e de conhecimentos técnicos de segurança na equipe, incluindo um plano
9 Treinamento Contínuo integrado para sanar as deficiências por meio de políticas, treinamentos
(Security Skills Assessment and Appropriate
Training to Fill Gaps) e programas de conscientização
Configurações de Segurança para Processos e ferramentas para rastrear|controlar|prevenir|corrigir

Dispositivos de Redes como
configurações de segurança padrão nos dispositivos de rede como
10 Firewalls, Roteadores e Switches
firewalls, roteadores e switches baseado no processo formal de gestão
(Secure Configurations for Network Devices
such asFirewalls, Routers, and Switches de configurações e gestão e controle de mudanças
Restrições e Controles às
Processos e ferramentas para rastrear|controlar|prevenir|corrigir
Portas, Protocolos e Serviços o uso de portas, protocolos e serviços em todos os dispositivos e
11 de Rede sistemas de rede
(Limitation and Control of Network Ports,
Protocols, and Services)
Restrições e Controles de Uso Processos e ferramentas para rastrear|controlar|prevenir|corrigir

12 e Acesso de Privilégios o uso, a atribuição e a configuração de privilégios administrativos em
Administrativos computadores, redes, sistemas e aplicações
(Controlled Use of Administrative Privileges)
Processos e ferramentas para detectar|prevenir|corrigir o fluxo de

13 Proteção do Perímetro da Rede informações transitando entre redes com diferentes níveis de segurança
(Boundary Defense)
com foco dados críticos
Manutenção, Monitoramento e Processos e ferramentas para detectar|prevenir|corrigir ataques

Análise dos Logs com base no uso de sistemas e informações de logs de eventos
14 (Maintenance, Monitoring, and Analysis of considerados significativos e que podem impactar a segurança da
Audit Logs)
empresa
Controle de Acesso Baseado no Processos e ferramentas para rastrear|controlar|prevenir|corrigir

Princípio “Need to Know” os acessos seguros às informações de acordo com política de quem
15 (Controlled Access Based on the Need to pode acessar, computadores e aplicações que tenham a necessidade e
Know)
direito de acessar baseado na classificação e aprovação
Monitoramento e Controle das Processos e ferramentas para rastrear|controlar|prevenir|corrigir
16 o uso das contas de sistemas e aplicações
Contas
(Account Monitoring and Control)
Prevenção de Perda/Vazamento Processos e ferramentas para rastrear|controlar|prevenir|corrigir

17 de Dados o armazenamento e o transito de dados e/ou informações baseado no
(Data Loss Prevention) conteúdo e sua classificação
Gerenciamento e Respostas Processos e ferramentas para garantir que a empresa um plano testado
18 e pessoas treinadas para lidar com qualquer evento de segurança
aos Incidentes
(Incident Response and Management) ou ameaças adversas.
Engenharia de Segurança das Processos e ferramentas para desenhar, atualizar e validar

topologias e infraestrutura de redes que possam adequadamente
19 Redes
resistir a ataques a ameaças adversas
(Secure Network Engineering)
Testes de Penetração e Processos e ferramentas para simular ataques contra a rede

interna e validar a postura e nível de preparo geral da empresa
20 Exercícios
(Penetration Tests and Red Team Exercises)
1: Inventário de Dispositivos Autorizados e Não Autorizados
Effective asset management ensures that assets are discovered, 1: Active device scanner scans network
registered, classified, and protected from attackers who exploit vulnerable systems
systems accessible via the Internet.
2: Passive device scanner captures
system information
3: Active scanner reports to inventory

database
4: Passive scanner reports to inventory

database
5: Inventory database stored off-line
6: Inventory database initiates alert system
7: Alert system notifies security defenders
8: Security defenders monitor and secure

inventory database
9: Security defenders update secure

inventory database
10: Network access control continuously

monitors network
11: Network access control checks and

provides updates to the asset inventory
database.
Ø Soluções para automatizar os Controles Críticos
1: Inventário de Dispositivos Autorizados e Não Autorizados
1.1 - Deploy an automated asset inventory discovery tool and use it to build a preliminary asset inventory of systems connected to an
public and private network(s). Both active tools that scan through network address ranges and passive tools that identify hosts based on
analyzing their traffic should be employed.
1.2 - Deploy dynamic host configuration protocol (DHCP) server logging, and utilize a system to improve the asset inventory and help
detect unknown systems through this DHCP information.
1.3 - Ensure that all equipment acquisitions automatically update the inventory system as new, approved devices are connected to the
network.
1.4 - Maintain an asset inventory of all systems connected to the network and the network devices themselves, recording at least the
network addresses, machine name(s), purpose of each system, an asset owner responsible for each device, and the department
associated with each device. The inventory should include every system that has an Internet protocol (IP) address on the network,
including but not limited to desktops, laptops, servers, network equipment (routers, switches, firewalls, etc.), printers, storage area
networks, Voice Over-IP telephones, multi-homed addresses, virtual addresses, etc. The asset inventory created must also include
data on whether the device is a portable and/or personal device.
1.5 - Deploy network level authentication via 802.1x to limit and control which devices can be connected to the network. The 802.1x must
be tied into the inventory data to determine authorized versus unauthorized systems.
1.6 - Deploy network access control (NAC) to monitor authorized systems so if attacks occur, the impact can be remediated by moving the
untrusted system to a virtual local area network that has minimal access.
1.7 - Utilize client certificates to validate and authenticate systems prior to connecting to the private network.
2: Inventário de Software (aplicações) Autorizados e Não Autorizados
Effective software management ensures that software are discovered, 1: Active device scanner
registered, classified, and protected from attackers who exploit vulnerable
software. 2: Active scanner reports to inventory
database
3: Inventory database compares to

inventory baseline
4: Inventory database initiates alerting

system
5: Alert system notifies security

defenders
6: Security defenders monitor and

secure inventory database
7: Security defenders update software

inventory database
8: Whitelisting tool continuously

monitors all systems on the network
9: Whitelisting checks and makes

updates to the software inventory
database.
Ø Soluções para automatizar os controles críticos

2: Inventário de Software (aplicações) Autorizados e Não Autorizados
2.1 - Deploy application white listing technology that allows systems to run software only if it is included on the white list and prevents
execution of all other software on the system. The white list may be very extensive (as is available from commercial white list vendors), so that
users are not inconvenienced when using common software.When protecting systems with customized software that may be seen as difficult to
white list, use item 8 below (isolating the custom software in a virtual operating system that does not retain infections.)
2.2 - Devise a list of authorized software that is required in the enterprise for each type of system, including servers, workstations, and
laptops of various kinds and uses. This list should be monitored by file integrity checking tools to validate that the authorized software has not
been modified.
2.3 - Perform regular scanning for unauthorized software and generate alerts when it is discovered on a system. A strict change-control
process should also be implemented to control any changes or installation of software to any systems on the network. This includes alerting when
unrecognized binaries (executable files, DLL's and other libraries, etc.) are found on a system, even inside of compressed archives. This
includes checking for unrecognized or altered versions of software by comparing file hash values (attackers often utilize altered
versions of known software to perpetrate attacks, and file hash comparisons will reveal the compromised software components).
2.4 - Deploy software inventory tools throughout the organization covering each of the operating system types in use, including servers,
workstations, and laptops. The software inventory system should track the version of the underlying operating system as well as the
applications installed on it. Furthermore, the tool should record not only the type of software installed on each system, but also its version
number and patch level.
2.5 - The software inventory systems must be tied into the hardware asset inventory so that all devices and associated software are
tracked from a single location.
2.6 - Dangerous file types (e.g., .exe, .zip, .msi) should be closely monitored and/or blocked.
2.7 - Virtual machines and/or air-gapped systems should be used to isolate and run applications that are required but based on higher
risk and that should not be installed within a networked environment.
2.8 - Configure client workstations with nonpersistent, virtualized operating environments that can be quickly and easily restored to a trusted
snapshot on a periodic basis.
2.9 - Deploy software that only provides signed software ID tags. A software identification tag is an XML file that is installed alongside software
and uniquely identifies the software, providing data for software inventory and asset management.
3: Configurações de Segurança nos Hardware e Software dos
Dispositivos Móveis, Laptops, Estações e Servidores
Effective configuration management ensures assets are configured
based on industry standards and protected from attackers who find 1: Secured system images applied to
and exploit misconfigured systems software. computer systems
2: Secured system images stored in a
secure manner
3: Configuration management system
validates and checks system images
4: Configuration policy enforcement
system actively scans production systems
for
misconfigurations or deviations from
baselines
5: File integrity assessment systems
monitor critical system binaries and data
sets
6: Whitelisting tool monitors systems
configurations and software
7: SCAP configuration scanner validates
configurations
8: File integrity assessment system sends
deviations to alerting system
9: Whitelisting tool sends deviations to
alerting system
10: SCAP configuration scanner sends
deviations to alerting system
11/12: Management reports document
configuration status.

3: Configurações de Segurança nos Hardware e Software dos
Dispositivos Móveis, Laptops, Estações e Servidores
3.1 - Establish and ensure the use of standard secure configurations of your operating systems. Standardized images should represent
hardened versions of the underlying operating system and the applications installed on the system. Hardening typically includes: removal of
unnecessary accounts (including service accounts), disabling or removal of unnecessary services, applying patches, closing open and unused
network ports, implementing intrusion detection systems and/or intrusion prevention systems, and use of host-based firewalls..
3.2 - Implement automated patching tools and processes for both applications and for operating system software. When outdated systems can
no longer be patched, update to the latest version of application software. Remove outdated, older, and unused software from the system.
3.3 - Limit administrative privileges to very few users who have both the knowledge necessary to administer the operating system and a
business need to modify the configuration of the underlying operating system. This will help prevent installation of unauthorized software and
other abuses of administrator privileges.
3.4 - Follow strict configuration management, building a secure image that is used to build all new systems that are deployed in the enterprise.
Any existing system that becomes compromised should be re-imaged with the secure build. Images should be created for workstations, servers,
and other system types used by the organization.
3.5 - Store the master images on securely configured servers, validated with integrity checking tools capable of continuous inspection, and
change management to ensure that only authorized changes to the images are possible.
3.6 - Any deviations from the standard build or updates to the standard build should be approved by a change control board and documented in
a change management system.
3.7 - Negotiate contracts to buy systems configured securely out of the box using standardized images, which should be devised to avoid
extraneous software that would increase their attack surface and susceptibility to vulnerabilities.
3.8 - Utilize application white listing to control and manage any configuration changes to the software running on the system.
3.9 - Do all remote administration of servers, workstation, network devices, and similar equipment over secure channels. Protocols such as
telnet, VNC, RDP, or others that do not actively support strong encryption should only be used if they are performed over a secondary
encryption channel, such as SSL or IPSEC.
3.8 - Utilize file integrity checking tools to ensure that critical system files (including sensitive system and application executables, libraries, and
configurations) have not been altered. All alterations to such files should be automatically reported security personnel. The reporting system
should have the ability to account for routine and expected changes, highlighting unusual or unexpected alterations.
3.9 - Implement and test an automated configuration monitoring system that measures all secure configuration elements that can be measured
through remote testing using features such as those included with tools compliant with Security Content Automation Protocol (SCAP), and alerts
when unauthorized changes occur. This includes detecting new listening ports, new administrative users, changes to group and local policy
objects, (where applicable), and new services running on a system.
3.10 - Deploy system configuration management tools, such as Active Directory Group Policy Objects for Microsoft Windows systems or Puppet
for UNIX systems that will automatically enforce and redeploy configuration settings to systems at regularly scheduled intervals. They should be
capable of triggering redeployment of configuration settings on a scheduled, manual, or event-driven basis.
4: Análise de Vulnerabilidades e Remediação Constantes
Effective vulnerability management will ensure that assets are monitored for vulnerabilities and are
patched, upgraded or services disabled to protect from exploit code.
1: Vulnerability intelligence service

provides inputs to vulnerability scanner
2: Vulnerability scanners scan production

systems
3: Vulnerability scanners report detected

vulnerabilities to a vulnerability
management system (VMS)
4: The VMS compares production systems

to configuration baselines
5: The VMS sends information to log

management correlation system
6: The VMS produces reports for

management
7: A patch management system applies

software updates to production systems

4: Análise de Vulnerabilidades e Remediação Constantes
4.1 - Run automated vulnerability scanning tools against all systems on the network on a weekly or more frequent basis and deliver prioritized lists of
the most critical vulnerabilities to each responsible system administrator along with risk scores that compare the effectiveness of system administrators and
departments in reducing risk. Use a SCAP-validated vulnerability scanner that looks for both code-based vulnerabilities (such as those described
by Common Vulnerabilities and Exposures entries) and configuration-based vulnerabilities (as enumerated by the Common Configuration
Enumeration Project).
4.2 - Correlate event logs with information from vulnerability scans to fulfill two goals. First, personnel should verify that the activity of the regular
vulnerability scanning tools themselves is logged. Second, personnel should be able to correlate attack detection events with earlier vulnerability scanning
results to determine whether the given exploit was used against a target known to be vulnerable.
4.3 - Perform vulnerability scanning in authenticated mode either with agents running locally on each end system to analyze the security configuration or
with remote scanners that are given administrative rights on the system being tested. Use a dedicated account for authenticated vulnerability scans, which
should not be used for any other administrative activities and should be tied to specific machines at specific IP addresses.
4.4 - Subscribe to vulnerability intelligence services in order to stay aware of emerging exposures, and use the information gained from this subscription
to update the organization's vulnerability scanning activities on at least a monthly basis. Alternatively, ensure that the vulnerability scanning tools you use
are regularly updated with all relevant important security vulnerabilities.
4.5 - Deploy automated patch management tools and software update tools for operating system and software/applications on all systems for which such
tools are available and safe. Patches should be applied to all systems, even systems that are properly air gapped.
4.6 - Carefully monitor logs associated with any scanning activity and associated administrator accounts to ensure that all scanning activity and
associated access via the privileged account is limited to the timeframes of legitimate scans.
4.7 - Compare the results from back-to-back vulnerability scans to verify that vulnerabilities were addressed either by patching, implementing a
compensating control, or documenting and accepting a reasonable business risk.
4.8 - Measure the delay in patching new vulnerabilities and ensure that the delay is equal to or less than the benchmarks set forth by the organization.
Alternative countermeasures should be considered if patches are not available.
4.9 - Evaluate critical patches in a test environment before pushing them into production on enterprise systems. If such patches break critical business
applications on test machines, the organization must devise other mitigating controls that block exploitation on systems where the patch cannot be deployed
because of its impact on business functionality.
4.10 - Establish a process to risk-rate vulnerabilities based on the exploitability and potential impact of the vulnerability, and segmented by
appropriate groups of assets (example, DMZ servers, internal network servers, desktops, laptops). Apply patches for the riskiest vulnerabilities first. A
phased rollout can be used to minimize the impact to the organization. Establish expected patching timelines based on the risk rating level.
5 – Proteção contra Malwares
Control the installation, spread, and execution of malicious code at multiple points in the enterprise, while
optimizing the use of automation to enable rapid updating of defense, data gathering, and corrective action
1: Anti-malware systems analyze

production systems and removable media
2: Removable media is analyzed when

connected to production systems
3: Email/web and network proxy devices

analyze all incoming and outgoing traffic
4: Network access control monitors all

systems connected to the network
5: Intrusion/network monitoring systems

perform continuous monitoring looking for
signs of malware.

5 – Proteção contra Malwares
5.1 - Employ automated tools to continuously monitor workstations, servers, and mobile devices with anti-virus, anti-spyware, personal firewalls, and host-based
IPS functionality. All malware detection events should be sent to enterprise anti-malware administration tools and event log servers.
5.2 - Employ anti-malware software that offers a remote, cloud-based centralized infrastructure that compiles information on file reputations or have
administrators manually push updates to all machines. After applying an update, automated systems should verify that each system has received its signature
update.
5.3 - Configure laptops, workstations, and servers so that they will not auto-run content from removable media, like USB tokens (i.e., "thumb drives"), USB hard
drives, CDs/DVDs, FireWire devices, external serial advanced technology attachment devices, and mounted network shares,.
5.4 - Configure systems so that they automatically conduct an anti-malware scan of removable media when inserted.
5.5 - Scan and block all e-mail attachments entering the organization's e-mail gateway if they contain malicious code or file types that are unnecessary for the
organization's business. This scanning should be done before the e-mail is placed in the user's inbox. This includes e-mail content filtering and web content
filtering.
5. 6 - Apply anti-virus scanning at the Web Proxy gateway. Content filtering for file-types should be applied at the perimeter.
5.7 - Enable anti-exploitation features such as Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR), virtualization/containerization, etc.
For increased protection, deploy capabilities such as Enhanced Mitigation Experience Toolkit (EMET) that can be configured to apply these protections to a
broader set of applications and executables.
5.8 - Limit use of external devices to those that have a business need. Monitor for use and attempted use of external devices.
5.9 - Block access to external e-mail systems, instant messaging services, and other social media tools.
5.10 - Ensure that automated monitoring tools use behavior-based anomaly detection to complement and enhance traditional signature-based detection.
5.11 - Use network-based anti-malware tools to identify executables in all network traffic and use techniques other than signature-based detection to identify
and filter out malicious content before it arrives at the endpoint.
5.12 - Implement an incident response process that allows the IT support organization to supply the security team with samples of malware running on
corporate systems that do not appear to be recognized by the enterprise's anti-malware software. Samples should be provided to the security vendor for "out-
of-band" signature creation and later deployed to the enterprise by system administrators.
5.13 - Enable domain name system (DNS) query logging to detect hostname lookup for known malicious C2 domains.
Critical Security Controls for Effective Cyber Defense
Guia: http://www.sans.org/critical-security-controls
Plano estratégico para proteção cibernética
Doutrina Militar de Defesa Cibernética
Fonte: https://www.gov.br/defesa/pt-
br/arquivos/legislacao/emcfa/publicacoes/doutrina/md31a_ma_08a_defesaa_ciberneticaa_1a_2014.pdf
• No contexto do Ministério da Defesa, as ações no
Espaço Cibernético deverão ter as seguintes
denominações, de acordo com o nível de decisão.
• Nível político - Segurança da Informação e

Comunicações e Segurança Cibernética -
coordenadas pela Presidência da República e
abrangendo a Administração Pública Federal
direta e indireta, bem como as infraestruturas
críticas da Informação Nacionais
• Nível estratégico - Defesa Cibernética - a cargo do

Ministério da Defesa, Estado Maior Conjunto das
Forças Armadas e Comandos das Forças Armadas,
interagindo com a Presidência da República e a
Administração Pública Federal.
• Níveis operacional e tático - Guerra Cibernética -

denominação restrita ao âmbito interno das
Forças Armadas.
Fonte: https://www.gov.br/defesa/pt-
br/arquivos/legislacao/emcfa/publicacoes/doutrina/md31a_ma_08a_defesaa_ciberneticaa_1a_2014.pdf
Órgãos e Departamentos de Defesa Cibernéticos
Global Cybersecurity Index
Fonte: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf
Global Cybersecurity Index
Fonte: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf
U.S. Army Cyber Command
Fonte: https://www.arcyber.army.mil/
Comando de Defesa Cibernética - Brasil
Fonte: https://www.eb.mil.br/web/noticias/noticiario-do-exercito/-/asset_publisher/MjaG93KcunQI/content/id/11305398
ANSSI - França
Fonte: https://www.ssi.gouv.fr/publication/la-strategie-de-la-france-en-matiere-de-cyberdefense-et-cybersecurite/
Bundeswehr - Alemanha
Fonte: https://www.bundeswehr.de/de/organisation/cyber-und-informationsraum/kommando-und-organisation-cir/kommando-
informationstechnik-der-bundeswehr/zentrum-fuer-cyber-sicherheit-der-bundeswehr
PLA Unit 61398 - China
Fonte: https://www.wired.com/2013/02/chinese-army-linked-to-hacks/
Jogos de Guerra (War Games)
Papéis em Jogos de Guerra
• Red Team – Papel de atacante
• Blue Team – Papel de

defensor
• Purple Team – Papel de obter

o melhor resultado dos Red e
Blue Teams.
Simulador - Cyberbit
Fonte: https://www.cyberbit.com/solutions/cyber-range/
Simulador - ThreatGEN
Fonte: https://threatgen.com/red-vs-blue-academy/redblue/red-vs-blue-videos/
Triton
Fonte: https://www.telesoft-technologies.com/product/cyber-warfare-simulation/
Infection Monkey – Open Source
Fonte: https://www.guardicore.com/infectionmonkey/
Caldera – Open Source
Fonte: https://github.com/mitre/caldera
Cybersecurity - Attack and Defense Strategies
Fonte: https://tsoungui.fr/ebooks/CYBER-Security.pdf
Survival
Fonte: https://fas.org/irp/doddir/army/fm3-05-70.pdf
OBRIGADO
/marcelo.lau /marcelolau /marcelolauds
Copyright © 2021 | Professor Marcelo Lau

Todos os direitos reservados. Reprodução ou divulgação total ou parcial deste documento, é expressamente
proibido sem consentimento formal, por escrito, do professor/autor.

Defesa Cibernetica

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Defesa Cibernetica

Enviado por

Direitos autorais:

Formatos disponíveis

CYBER SECURITY

FORENSICS, ETHICAL HACKING

Prof. Marcelo Lau

• Existiam antes da engenharia social.

• Para os administradores de redes:

• End point protection.

• “A consensual hallucination experienced daily by

• “The global domain within the information

• Especialistas do pentágono (2008)

• “Espaço virtual, composto por dispositivos

• Ministério da Defesa Brasileiro (2014)

• Peter Warren Singer em seu livro:

• “O ciberespaço é primeiramente e acima de tudo um

• Como consequência, as partes físicas da rede

– Todo o tipo de cabeamento (metálico ou óptico).

– Endereço de e-mail de determinado usuário.

• Muitos indivíduos geralmente possuem mais de

• Essa conexão se dá através da utilização dos

• Mas o que é infraestrutura crítica?

• O setor responsável por toda infraestrutura crítica

– Há 16 setores de infraestrutura crítica, cujos ativos, sistemas

• Setor de manufatura crítica.

• Art. 3º São consideradas áreas prioritárias de

• Existem inúmeras formas de desviar um computador

• Quando a diferença entre o comportamento esperado

• A chave da resiliência é aceitar que as ameaças

• É se manter operacional entendendo que

• Governo tornou público em 2011 um vídeo feito

• Neste vídeo é mostrado a destruição de um

• De uma forma análoga, uma porta aberta é uma

Cards Stolen in Target Breach Flood Underground Markets

Se desejamos nos proteger, vamos

Citadel: a cyber-criminal’s ultimate weapon?

New BlackPOS Malware Emerges in the Wild, Targets Retail Accounts

Quem esta em compliance esta seguro?

• Um de seus clientes estava tendo problemas com

• Ao pesquisar o problema, acabou esbarrando no

• Sugestão de leitura: “Risk Management

Sugestão de leitura: “Managing Information Security Risk”

• 12/02/2013 – O presidente Obama publica a

• Objetivo: Melhorar a segurança e a resiliência da

• Algumas características do framework:

• Tem como missão ajudar as empresas se

1. Descrever sua atual postura em cibersegurança.

• Por outro lado, uma organização que não possua

• O core apresenta os padrões da indústria,

• Os níveis caracterizam a prática adotada na

• Refletem uma progressão de respostas informais

• O profile pode ser utilizado para identificar

Identificar o que pode Mapear as Identificar um ataque ou Descobrir ataques ou

• Discovery • Observação de • Anti-virus/ Malware

Determinar quando e Escanear o perímetro Monitoramento extensivo Capacidade de defender

Identificar o que pode Mapear as Identificar um ataque ou Descobrir ataques ou

• Discovery • Observação de • Anti-virus/ Malware

Determinar quando e Escanear o perímetro Monitoramento extensivo Capacidade de defender

Identificar o que pode Mapear as Identificar um ataque ou Descobrir ataques ou

• Discovery • Observação de • Anti-virus/ Malware

Determinar quando e Escanear o perímetro Monitoramento extensivo Capacidade de defender

Identificar o que pode Mapear as Identificar um ataque ou Descobrir ataques ou

• Discovery • Observação de • Anti-virus/ Malware

Determinar quando e Escanear o perímetro Monitoramento extensivo Capacidade de defender

Inventário dos Softwares Processos e ferramentas para rastrear|controlar|prevenir|corrigir a instalação e

Configurações de Segurança para

Processo Contínuo de Análise Processos e ferramentas para detectar|prevenir|corrigir vulnerabilidades de